Parmi les récents ajouts sur Microsoft Intune, on retrouve une section dédiée à la gestion des mises à jour et mises à niveau (Upgrade) pour les périphériques Windows 10 gérés de manière moderne. Il est possible de créer des stratégies de distribution des mises à jour (Windows 10 Update Rings).

Pour cela, ouvrez le portail Microsoft Azure et naviguez dans le service Microsoft Intune – Software Updates – Windows 10 Update Rings. Faites Create pour créer une stratégie.

Vous pouvez donner un nom à la stratégie selon votre convention de nommage. Vous avez ensuite le choix entre les paramètres suivants :

• Branche de distribution (Servicing branch) : CBB ou CB
• L’activation des mises à jour pour les produits Microsoft
• L’activation des mises à jour pour les drivers Windows
• Le comportement de mise à jour automatique :
  • Notifier le téléchargement
  • Installer automatiquement lors de la période de maintenance
  • Installer et redémarrer automatiquement lors de la période de maintenance
  • Installer et redémarrer automatiquement à un intervalle programmé
  • Installer et redémarrer automatiquement sans contrôle de l’utilisateur final
• L’intervalle d’activité : heure de début et heure de fin
• La période d’ajournement des mises à jour de qualité (en jour)
• La période d’ajournement des mises à jour de fonctionnalités (en jours)
• Le mode de téléchargement pour la fonctionnalité Delivery Optimization (P2P) :
  • HTTP uniquement, pas de partage
  • HTTP avec partage derrière le même réseau NATé
  • HTTP avec partage à travers des groupes privés
  • HTTP avec partage sur Internet
  • Mode téléchargement simple sans partage
  • Mode Bypass

Une fois créée, vous devez assigner la stratégie à un groupe. Ciblez un groupe de périphérique Windows 10.

Une fois la stratégie créée et déployée, le panneau Overview vous offre la capacité de mettre en pause le déploiement des mises à jour de qualité et/ou de fonctionnalités.

Les fonctionnalités de suivi et de rapports de la fonctionnalité ne sont toujours pas publiées mais vous pourrez y accéder :

• Sur une stratégie via Monitor – Device/User status
• Sur la fonctionnalité Software Updates via Monitor – Per update ring deployment state.

Note : Le service Windows Analytics Update Compliance permet de suivre en détail les mises à jour appliquées sur des postes Windows 10.

Microsoft a publié une nouvelle Preview (6.0.191.0) de son outil System Center Updates Publisher. Ce dernier permet d’intégrer des catalogues de mises à jour tierces voir de créer vos propres catalogues et mises à jour. Cette version apporte principalement le support de Windows 10 et Windows Server 2016. En outre, elle signe la fin du support de Windows 7 et WSUS 3.x (Windows Server 2008 SP2, 2008 R2)

Cette version est compatible :

• Windows 10, Windows 8.1, Windows Server 2012 R2, Windows Server 2016
• System Center 2012 Configuration Manager Service Pack 2
• System Center 2012 R2 Configuration Manager Service Pack 1
• A supported version of System Center Configuration Manager current branch, System Center Configuration Manager long-term servicing branch version 1606

Télécharger System Center Updates Publisher Preview

Plus d'informations sur : https://blogs.technet.microsoft.com/enterprisemobility/2017/07/03/system-center-updates-publisher-june-2017-preview-is-now-available/

Microsoft a publié de nouvelles ressources permettant de déployer Remote Desktop Services de manière hautement disponible. Le principe revient à utiliser Microsoft Azure ou le service Azure Site Recovery (ASR) :

• Leverage multiple Azure data centers to ensure users can access your RDS deployment, even if one Azure data center goes down (geo-redundancy)
• Deploy Azure Site Recovery to provide failover for RDS components in site-to-site or site-to-Azure failovers

Microsoft a publié des guides de mise en œuvre pour son service Windows Analytics Upgrade Readiness. Ce service a pour intérêt de vous aider à migrer Windows 10. La solution est disponible au travers d’Operations Manager Suite (OMS). Ce service dans le Cloud en Public Preview, peut vous aider à évaluer la compatibilité matérielle, drivers et logiciels des périphériques. Il utilise le principe de télémétrie pour collecter de la donnée dans votre environnement. Les clients renvoient ainsi les données nécessaires au service dans le Cloud qui les traite afin de ressortir les informations adéquates.

J’ai déjà publié un article présentant le service et décrivant la mise en œuvre. Vous pouvez le consultant sur : Windows Upgrade Readiness : Un service pour vous aider à migrer vers Windows 10 !

Microsoft propose aussi les guides suivants :

• Introducing Windows Analytics Upgrade Readiness
• Setting up Upgrade Readiness
• Streamlining your Windows upgrades with Upgrade Readiness

Microsoft a publié un Showcase sur la façon dont Microsoft IT a migré Azure Rights Management (RMS) vers Azure Information Protection proposé par l’Enterprise Mobility Suite (EMS).  Microsoft utilisait Active Directory Rights Management Services depuis sa sortie en 2002. Microsoft a donc mis en place une transition sans perte de service notamment pour les applications métiers qui en dépendaient. Le document revient sur les grandes étapes :

• La migration des modèles
• L’installation du connecteur RMS
• La migration des applications
• La migration des utilisateurs
• La migration des partenaires
• La migration vers Azure Key Vault

On retrouve notamment les bonnes pratiques telles que :

• Garder les modèles statiques pendant la migration
• Comprendre et documenter l’environnement
• Introduire Azure Information Protection aux utilisateurs avec une migration transparente
• Protéger les comptes à forts privilèges.

Télécharger Protecting files in the cloud with Azure Information Protection

Lorsque vous utilisez Microsoft Intune en mode autonome, vous devez créer des groupes Azure AD pour cibler les déploiements d’applications, les stratégies de configuration/conformité ou les profils de configuration. Je vous propose un article qui regroupe des requêtes basées sur les attributs standards :

• Appartenance du périphérique (Personnel, D’entreprise)
• Plateforme

Pour créer les groupes, vous devez ouvrir le portail Azure et naviguez dans Azure Active Directory – Users and groups – All groups. Sélectionnez ensuite New group. Entrez le nom du périphérique et le type d’appartenance (Membership type) : Dynamic Device. Choisissez Dynamic device members pour créer la requête. Vous avez le choix entre deux modes :

• Règle simple qui permet de filtrer via un seul attribut
• Règle avancée qui permet de filtrer sur plusieurs attributs en utilisant des opérateurs logiques (-or ou -and).

Vous pouvez ensuite utiliser les règles avancées suivantes :

Les périphériques par appartenance

All Personal Devices
(device.deviceOwnership -contains "Personal")

All Corporate Devices
(device.deviceOwnership -contains "company")

Les périphériques personnels par plateforme

All Windows Personal Devices
(device.deviceOSType -contains "Windows") -and (device.deviceOwnership -contains "Personal")

All iOS Personal Devices
(device.deviceOSType -contains "iPhone" -Or device.deviceOSType -contains "iPad") -and (device.deviceOwnership -contains "Personal")

All Android Personal Devices
(device.deviceOSType -contains "Android") -and (device.deviceOwnership -contains "Personal")

Les périphériques d’entreprise par plateforme

All Windows Corporate Devices
(device.deviceOSType -contains "Windows") -and (device.deviceOwnership -contains "company")

All iOS Corporate Devices
(device.deviceOSType -contains "iPhone" -Or device.deviceOSType -contains "iPad")-and (device.deviceOwnership -contains "company")

All iOS Supervised Devices
(device.deviceOSType -contains "iPhone" -Or device.deviceOSType -Contains "iPad") -and (device.enrollmentProfileName -ne null)

All Android Corporate Devices
(device.deviceOSType -contains "Android") -and (device.deviceOwnership -contains "company")

All Android Enterprise Fully Managed Devices
(device.deviceOSType -eq "AndroidEnterprise") -and (device.deviceOwnership -eq "Company")

All Android Enterprise Work Profile Device
(device.deviceOSType -eq "AndroidForWork") -and (device.deviceOwnership -eq "Personal")

Les périphériques par plateforme

All Windows 10 Devices
(device.deviceOSType -contains "Windows") -and (device.deviceOSVersion -startsWith "10.")

All Windows Devices
(device.deviceOSType -contains "Windows")

All iOS Devices
(device.deviceOSType -contains "iPhone" -Or device.deviceOSType -contains "iPad")

All Android Devices
(device.deviceOSType -contains "Android")

Microsoft a publié un correctif concernant un problème qui touche la Cloud Management Gateway (CMG) lorsque vous utilisez System Center Configuration Manager 1702 avec l’Update Rollup. Lorsque vous créez un Cloud Management Gateway, le provisionnement ne se termine pas. L’état reste affiché en Provisioning.

Si vous regardez l’état du service Cloud dans le portail Azure, vous pouvez observer les erreurs suivantes :

Waiting for role to start... Unhandled Exception: Could not load file or assembly 'interop.COMAdmin, Version=5.0.8498.1711, Culture=neutral, PublicKeyToken=31bf3856ad364e35' or one of its dependencies. The located assembly's manifest definition does not match the assembly reference. (Exception from HRESULT: 0x80131040) at Microsoft.ConfigurationManager.AzureRoles.ProxyService.WebRole.ConfigureBGBServer() at Microsoft.ConfigurationManager.AzureRoles.ProxyService.WebRole.OnStart() at Microsoft.WindowsAzure.ServiceRuntime.RoleEnvironment.InitializeRoleInternal(RoleType roleTypeEnum) at Microsoft.WindowsAzure.ServiceRuntime.Implementation.Loader.RoleRuntimeBridge.b__0() at System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx) at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx) at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state) at System.Threading.ThreadHelper.ThreadStart() [date time] Last exit time: date time]. Last exit code: 0.

Le correctif n’est pas disponible via le mécanisme de mise à niveau dans la console (Update & Servicing), vous devez installer le correctif à la main. La procédure est la suivante :

1. Vérifiez que le fichier Cloudproxyservice.cab a été copié sur le rôle Service Connection Point distant.
2. Supprimez les Cloud Management Gateway en échec qui ont été créé après l’application du Rollup.
3. Pour les anciennes CMG, exécutez le script SQL suivant sur la base de données de site pour mettre à jour les CMG : EXEC dbo.spInsertAzureCloudServiceUpgradeTask N'CloudProxyService'

Télécharger le correctif KB4033015

Source : KB4033015 : Provisioning not completed when creating a Cloud Management Gateway in System Center Configuration Manager version 1702

Microsoft vient de publier une mise à jour (3.0.337) de Mouse and Keyboard Center. Anciennement IntelliPoint IntelliType Pro, cet outil permet de personnaliser la façon dont vous travaillez avec votre PC et vos périphériques Clavier et Souris Microsoft.

Télécharger Mouse and Keyboard Center 3.0

Shitanshu Verma (Microsoft IT) a publié un billet décrivant l’organisation de l’équipe en charge de System Center Configuration Manager et Microsoft Intune dans le Service Informatique de Microsoft. L’équipe a une approche DevOps, c’est-à-dire qu’ils sont proches des équipes de développement de Configuration Manager et Microsoft Intune.

Voici la répartition de l’équipe en 4 silos :

• Security & Compliance Management (2 FTEs + 4 Contingent staff)
  • Monthly Security Patching and Anti malware definition update
  • Mobile Device Security Policy management
  • Conditional Access Policies management
  • Windows Hello for Business cert and policy delivery
  • Windows Information Protection Policy management (formerly EDP)
  • Internal Test Pass – Deployment and validation for pre- release security update
  • Device resource Access – Wi-Fi certs, VPN Profile deployment
  • Mobile Application Management (MAM) Policies
• Application & OS Deployment/Upgrade Management (2 FTEs + 4 Contingent staff)
  • Application Packaging and Deployment
  • Windows 10 Operating System Upgrades
  • Mobile device App publishing automation/workflow
  • Setting Management
  • Company Portal & Software Center related services
• Client/Device Health & Infrastructure Management (2 FTEs + 6 Contingent staff)
  • ConfigMgr Client health and reach
  • Device Health and Enrollments
  • Access mgmt. like RBAC etc.
  • ConfigMgr Infra health and uptime
  • Access mgmt. like RBAC etc.
  • Infra capacity and performance
  • ConfigMgr Infra Incident, Change, Problem mgmt.
• SQL administration/Reporting and Asset Mgmt. (1 FTEs + 1 Contingent staff)
  • Custom CM Report and Power BI Dashboard/Reports
  • Hardware and Software inventory extension mgmt.
  • SQL Server administration – maintenance jobs (DBA)
• Program and Service Management (1 FTE)
  • Project and service management
  • Service catalog and SLA review
  • Sprint Master

Plus d’informations sur : https://blogs.technet.microsoft.com/system_center_in_action/2017/06/03/configmgrintune-service-engineering-team-structure-and-silos/

Microsoft vient de publier une mise à jour des outils Surface à destination des ITs pour déployer, gérer et sécuriser les périphériques Surface dans l’entreprise. On retrouve notamment :

• Cisco EAP Supplicant Installer
• Surface Data Eraser v3.2.36.0 pour effacer de manière sécurisée les données des Surface.
• Surface Deployment Accelerator v2.0.8.0 permet de facilement déployer une image Windows sur des Surface.
• Surface Diagnostic Toolkit v1.1.50.0 fournit des outils pour tester le matériel.
• Surface Dock Updater v2.1.15.0 permet de mettre à jour le Dock.
• Surface UEFI Configurator v1.0.74.0
• Surface UEFI Manager v2.2.21.0
• Surface WOL

Télécharger Surface Tools for IT

L’équipe Ask the Core a publié deux articles qui permet de décrire pas à pas comment déployer des périphériques Surface Studio en utilisant une clé USB ou Microsoft Deployment Toolkit (MDT). Si vous êtes novice avec les technologies de déploiement, ces deux articles constituent une bonne source d’information.

Lire :

• Deploy Windows from USB drive to Surface Studio
• Deploy Surface Studio using MDT

Wei H Lim (MSFT) a publié un tableau de bord qui peut être utilisé pour le service Operations Management Suite (OMS). Il fournit une vue résumée de l’ensemble de l’état de la consommation du quota de données et comment la limite d’upload journalière du Tier gratuit est dispersé au travers des services ou atteint. Le tier gratuit autorise jusqu’à 500 MB de données par jour avec 7 jours de rétention.

Télécharger Sample OMS Free Tier Data Consumption Tracker Dashboard

A l’occasion de la conférence Infiltrate 2017, l’équipe Cloud and Enterprise Red présent comment appliquer des techniques d’attaques réseaux traditionnelles et comment les adresser dans Microsoft Azure. On peut voir des attaques types sur Azure et les mécanismes qui peuvent être mis en œuvre pour limiter ces dernières.

Microsoft a publié des améliorations pour la fonctionnalité Work Folders à destination des systèmes iOS, Android et Windows 10 1703. Pour rappel, les Work Folders permettent aux utilisateurs d’accéder à leurs fichiers/documents de manière sécurisée en dehors de l’entreprise quel que soit le périphérique utilisé. On pourrait l’apparenter à une solution comme OneDrive en mode On-Premises.

On retrouve notamment :

• Support d’Azure Active Directory Application Proxy pour permettre l’accès sécurisé aux fichiers à distance.
• Amélioration de l’expérience SSO (moins de fenêtres d’authentification) lors de l’utilisation d’Azure Active Directory Application Proxy avec le support de Token Broker.
• Des paramétrages de stratégies de groupe pour gérer l’emplacement du répertoire Work Folders sur les périphériques Windows.

Plus d’informations sur : https://blogs.technet.microsoft.com/filecab/2017/05/31/work-folders-updates-for-windows-10-version-1703-android-and-ios/

Microsoft a publié une un article dans la base de connaissances résumant les exclusions et exceptions antivirales applicables à System Center Configuration Manager Current Branch. L’équipe des PFE System Center a aussi publié un très bon billet dans ce sens.

On retrouve notamment :

Exclusions Core

• %allusersprofile%\NTUser.pol 
• %windir%\Security\database\*.chk 
• %windir%\Security\database\*.edb 
• %windir%\Security\database\*.jrs 
• %windir%\Security\database\*.log 
• %windir%\Security\database\*.sdb 
• %windir%\SoftwareDistribution\Datastore 
• %windir%\SoftwareDistribution\Download 
• %windir%\system32\GroupPolicy\registry.pol
• %windir%\system32\GroupPolicy\Machine\registry.pol“ 
• %windir%\system32\GroupPolicy\User\registry.pol“ 

 Exclusions Core d’installation SCCM (Toutes Versions)

• <InstallDrive>\Program Files\Microsoft Configuration Manager\Client
• <InstallDrive>\Program Files\Microsoft Configuration Manager\ClientUpgrade 
• <InstallDrive>\Program Files\Microsoft Configuration Manager\Inboxes\*.*  
• <InstallDrive>\Program Files\Microsoft Configuration Manager\Install.map 
• <InstallDrive>\Program Files\Microsoft Configuration Manager\Logs
• <InstallDrive>\Program Files\SMS_CCM\Logs 
• <InstallDrive>\Program Files\SMS_CCM\ServiceData 

 Exclusions Core d’installation SCCM (Versions Current Branch)

• Applicable à 1511+
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\AdminUIContentPayload
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\AdminUIContentStaging
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\cd.latest
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\CMUStaging 
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\EasySetupPayload 
• Applicable à 1602+
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\CMUClient 
• Applicable à 1610+
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\PilotingUpgrade
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\RLAStaging
• Applicable à 1702+
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\CMProviderLog

Exclusions de la librairie de contenu SCCM

• <InstallDrive>\SMSPKG 
• <InstallDrive>\SMSPKGC$ 
• <InstallDrive>\SMSPKGE$ 
• <InstallDrive>\SMSPKGSIG 
• <InstallDrive>\SMSSIG$ 
• <InstallDrive>\SCCMContentLib 
• <InstallDrive>\<ConfigMgr Backup Directory> 
  • Ex. D:\SCCMBackup 
• <InstallDrive>\<ConfigMgr OSD Images> 
  • Ex. D:\SCCMImages 
• <InstallDrive>\<ConfigMgr Package Source Files> 
  • Ex. D:\SCCMSource

Exclusions d’imaging SCCM

• %SystemDrive%\_SMSTaskSequence 
• <X:>\ConfigMgr_OfflineImageServicing 
  • Incluant des sous-réseaux
• %windir%\TEMP\BootImages 
  • Incluant des sous-réseaux

Exclusions des processus SCCM

• Smsexec.exe 
• Ccmexec.exe 
• CmRcService.exe 
• Sitecomp.exe 
• Smswriter.exe 
• Smssqlbbkup.exe 
• Wmiprvse.exe 

Exclusions SQL Server

• SQL Server Processes Exclusions 
  • SQLServer.exe 
    • <InstallDrive>\Microsoft SQL Server\<SQL Version>. <InstanceName>\MSSQL\Binn\SQLServr.exe 
  • ReportingServicesService.exe 
    • <InstallDrive>\Microsoft SQL Server\<SQL Version>.<InstanceName>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe 
  • MSMDSrv.exe 
    • <InstallDrive>\Microsoft SQL Server\<SQL Version>.<InstanceName>\OLAP\Bin\MSMDSrv.exe 
• SQL Server data files      
  • *.mdf 
  • *.ldf 
  • *.ndf 
• SQL Server backup files  
  • *.bak 
  • *.trn 
• SQL Audit files 
  • *.sqlaudit 
  • *.sql 
• Full-Text catalog files  
  • <InstallDrive>\Microsoft SQL Server\<SQL Version>.<InstanceName>\MSSQL\FTData 
• Analysis Services backup files 
  • <InstallDrive>\Microsoft SQL Server\MSSQL.X\OLAP\Backup 
  • <InstallDrive>\Microsoft SQL Server\MSSQL.X\OLAP\Log 
• Si vous utilisez un logiciel antivirus sur un cluster, assurez-vous d'inclure ces emplacements.
  • <Quorum Drive> (Ex. Q:\) 
  • %windir%\Cluster 

Exclusions IIS

• * .ida 
• %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files 

Exclusions WSUS

• *.cab  
• %ProgramFiles%\Update Services\LogFiles\WSUSTemp
• <InstallDrive>\WSUS\UpdateServicesDBFiles 
• <InstallDrive>\WSUS\WSUSContent 

Lire la KB Recommended antivirus exclusions for Configuration Manager 2012 and Current Branch Site Servers, Site Systems, and Clients

Plus d’informations sur : https://blogs.technet.microsoft.com/systemcenterpfe/2017/05/24/configuration-manager-current-branch-antivirus-update/

Dirk Brinkmann (MSFT) a publié une fonction PowerShell pour System Center Operations Manager 2012 et 2016 permettant de convertir le Management Pack en rapports HTML. On peut comparer ça aux outils proposés par Silect (MP Studio) ou les rapports SQL que j’ai publié, il permet d’exporter toutes les workflows (découvertes, moniteurs, règles, etc.) accompagnés des seuils par défaut ainsi que les overrides associés.

Télécharger PS function to convert SCOM 2012/2016 MP's into readable HTML reports

Microsoft s’est associé avec Lookout pour fournir une solution de sécurité visant à détecter les menaces sur les périphériques mobiles. Cette dernière s’intègre à Microsoft Intune pour remonter le niveau de menaces et l’utiliser notamment pour l’accès conditionnel aux ressources de l’entreprise.

Lookout propose une solution prédictive basée sur des patterns. La solution dispose de plus de 100 millions de sondes (comprendre périphériques personnels ou d’entreprise) qui remontent des informations sur les applications, les systèmes, les menaces. Les données remontées sont ensuite traitées via un mécanisme de Big Data et des experts qui analysent ces données. Lookout sépare les attaques en trois grandes catégories :

• Système d’exploitation avec le Jailbreak/Root, les vulnérabilités exploitées du système (Pegasus, Trident, etc.), les fuites de données.
• Application avec les applications malicieuses, à risque, vulnérables et les fuites de données.
• Réseau avec les interceptions de données (Man-In-The-Middle) et les configurations malicieuses.

Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Lookout avec les phases de mise en œuvre et d’exploitation.

Si vous n’avez pas vu les parties précédentes, je vous invite à lire :

• Comment configurer la solution
• Déploiement de l’application Lookout

Aperçu de la console d’opérations Lookout

Une fois la solution configurée et l’application déployée, nous pouvons passer à l’exploitation et son utilisation dans l’accès conditionnel. Dans un premier temps, vous pouvez vous connecter à la console Lookout qui vous offre différents espaces agrégeant les données renvoyées par les périphériques.

Le nœud Dashboard offre une vision d’ensemble avec :

• Le nombre de périphériques déployés et les états associés (activés, en attente, désactivés).
• Les périphériques à risque en fonction des niveaux : Faible, Moyen et Haut risque.
• Les menaces actives par niveau de risque et catégories (Applications, Fichiers, Réseau, Système)
• L’utilisation du licensing Premium donne accès à une analyse des applications avec le pourcentage d’accès aux données, d’accès aux services Cloud, le pourcentage de malware, et le pourcentage d’applications qui effectuent des transferts de données. Ces informations sont basées par extrapolation sur une base de connaissances localisée chez Lookout.

Depuis cet espace, on retrouve différentes sous-parties permettant d’obtenir plus de détails comme par exemple le tableau des détections de menaces par classification :

Un espace Threats regroupe les différents menaces découvertes classifiables en fonction des éléments suivants :

• Niveau de risque
• Etat (Actif, Résolu, Ignoré)
• Système d’exploitation
• Type de menaces (Applications, Fichiers, Réseau, Système d’exploitation)
• Classifications (Malware, Adware, etc.)

En sélectionnant une menace en particulier, vous retrouvez différentes informations comme l’état, le risque, le type, l’utilisateur, le temps avant résolution, du détail plus précis sur le fichier et la menace ainsi que l’historique associé (détection, etc.). Vous pouvez voir l’analyse des binaires qui a pu être réalisé par Lookout. Cet espace permet aussi d’agir sur l’état de la menace.

L’espace Devices donne une vision des périphériques avec une vision plus précise par périphérique. Outre les informations sur les menaces, on retrouve des éléments sur le périphérique en lui-même :

• Fabriquant
• Modèle
• Système d’exploitation
• Identifiant du périphérique dans Lookout
• Package de l’application Lookout
• Solution d’administration utilisée
• Date de dernière connexion.

La partie Policy permet de définir un niveau de sévérité personnalisé pour les différentes menaces en fonction de leur classification (Trojet, Worm, Virus, Exploit, etc.)

Aperçu des remontées d’informations dans Microsoft Intune

Vous pouvez observer l’état de conformité d’un périphérique de plusieurs façons. Dans le portail Intune, vous pouvez d’abord naviguer dans Devices – All Devices. Vous voyez l’état de conformité pour la liste de tous les périphériques. Cette même information est disponible sur le périphérique en lui-même dans les parties Overview ou Hardware :

Vous pouvez aussi voir le détail de la conformité dans Device Compliance pour chacune des stratégies.

Configuration d’une stratégie d’accès conditionnel dans Microsoft Intune

L’intérêt de l’intégration de Lookout avec Microsoft Intune est l’utilisation des informations de menaces pour l’utilisation lors de l’accès conditionnel aux ressources de l’entreprise telles qu’Office 365.

Vous pouvez pour cela créer une stratégie d’accès conditionnel via le nouveau portail Microsoft Intune en naviguant dans Device compliance – Manage - Policies. La création de la stratégie (Create Policy) offre un assistant où vous pouvez paramétrer la sous partie Device Health. Un paramétrage Require the device to be at or under the Mobile Threat Level en définissant le niveau de menaces maximal autorisé parmi :

• Not Configured
• Secured
• Low
• Medium
• High

Je vous recommande la création de stratégies pour iOS, Android et/ou Android for Work afin de couvrir toutes les plateformes.

Une fois créée, vous devez déployer les stratégies de conformité via la partie Assignements :

Les éléments Device/User/Per-setting status vous permettent de suivre l’état de déploiement/application de la stratégie.

Kevin Holman (MSFT) a publié un Management Pack permettant de suivre l’état des agents dans System Center Operations Manager (SCOM). On retrouve ainsi :

• Une découverte de la version de l’agent, l’Update Rollup appliqué, les Management Group, les versions de PowerShell, la version du système, le Management Server principal et la liste des failovers.
• Des tâches pour exécuter des tests d’événements, un redémarrage de service, un nettoyage et redémarrage de l’Health Service, l’ajout ou la suppression d’un Management Group.

Plus d’informations sur son billet : Agent Management Pack – Making a SCOM Admin’s life a little easier

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Publication de la version 2 (Preview) de l’outil d’import/export des services Microsoft Azure. Cet outil permet de préparer les disques que vous délivrez au Datacenter Azure. Il permet aussi de déparer les blobs et fichiers corrompus, manquants ou en conflit.
• Preview limitée Storage Service Encryption with Customer Managed Keys permettant le chiffrement Azure Storage Service avec les clés gérées par les clients en utilisant Azure Key Vault.
• Microsoft propose un événement virtuel appelée Azure OpenDev le 21 juin.
• Microsoft annonce de nouvelles passerelles VPN Azure. La passerelle VPN basique existante n’est pas changée et offre une performance de 80-100MB avec un SLA à 99,9%. On retrouve 3 passerelles : VpnGw1 (650 MB), VpnGw2 (1GB), et VpnGw3 (1,25 GB).
• Microsoft joint la fondation Cloud Foundry comme membre d’or. Outre cette annonce, Microsoft étend l’intégration de Cloud Foundry avec Azure. Ceci inclut l’intégration backend avec Azure Database (PostgreSQL et MySQL) et le support du Cloud Broker pour SQL Satabase, Service Bus et Cosmos DB.
• Migration de la plateforme Azure Security Center pour une intégration plus importante avec l’Operations Management Suite. Microsoft va déployer le Microsoft Monitoring Agent sur toutes les machines virtuelles. Pendant une période, les deux agents fonctionneront en parallèle.
• Disponibilité Générale d'Azure Traffic Manager Fast Failover permettant de basculer à un intervalle de temps équivalent à 10 secondes.

IaaS

• Private Preview de la solution de gestion des mises à jour pour les machines virtuelles Azure. Cette solution permet d’obtenir le statut rapide des mises à jour disponibles, d’initier le processus d’installation des mises à jour requises et de voir le résultat du déploiement. La solution est supportée pour Windows Server 2012 et plus ainsi que RedHat Linux 6 & 7, Ubuntu Server 12.04 LTS, 14.04 LTS, 15.10, et 16.04. Notez que la solution est basée sur celle présente dans OMS.
• Disponibilité Générale d’Azure Storage Service Encryption pour les disques gérés (Managed Disks). Cette fonctionnalité fournit du chiffrement au repos afin de protéger les données. La fonctionnalité est activée par défaut pour tous les disques, instantanés, et images dans toutes les régions publiques. A partir du 10 juin, tous les nouveaux disques/images/instantanés et toutes les données écrites sur des disques gérés existants seront automatiquement chiffrés.
• Disponibilité Générale de nouvelles tailles de disque avec des vitesses de 250 MBps et 7500 IOPS. On retrouve ainsi les tailles P40 (2TB), P50 (4TB), S40 (2TB), S50 (4TB).

Azure Storage

• L'option Secure transfert required est disponible sur les comptes de stockage Azure pour permettre de forcer toutes les demandes à travers une connexion sécurisée.

Enterprise Mobility + Security

• Intégration de Microsoft Intune et TeamViewer pour Android afin d’offrir des outils de prise en main à distance comme le chat, le redémarrage à distance, la vidéo, l’annotation d’écran, le transfert de fichiers.
• Disponibilité Générale des consoles d’administration d’accès conditionnel (Conditional Access) et Microsoft Intune au travers du nouveau portail Microsoft Azure.
• Preview de la fonctionnalité « Do Not track » d’Azure Information Protection. Cette fonctionnalité permet à l’entreprise de configurer une stratégie pour un groupe d’utilisateurs pour lesquels les documents ne doivent pas être traqués pour des raisons de respect de la vie privée ou de conformité.

Azure Active Directory

• L’accès conditionnel supporte maintenant Microsoft Teams et le portail Azure. L’administrateur peut définir des conditions d’accès (emplacement, périphérique, etc.) au portail Microsoft pour les administrateurs mais aussi à Microsoft Teams pour les utilisateurs. Ceci impact tous les points de gestion Azure (Le portail Azure classique, le nouveau portail Azure, l’API Service Management, le fournisseur ARM, et PowerShell).
• Support de l’accès à Work Folders via Azure AD Application proxy pour Android, iOS et Windows 10 1703.
• Preview de Microsoft Azure Active Directory Connect Provisioning Agent. Cet agent de provisionnement s’intègre avec l’API Workday Human Resources afin de provisionner des comptes utilisateurs dans Active Directory.
• Disponibilité Générale de Ping Access pour Azure Active DIrectory pour fournir un accès aux applications On-Premises aux utilisateurs Azure AD qui ne supportent pas les standards SAML, OAuth 2.0, Kerberos. Les clients Azure AD Premium peuvent connecter plus de 20 applications On-Premises sans surcout.

Office 365

• Disponibilité Générale de Microsoft Stream, un service permettant aux utilisateurs de partager des vidéos. Outre ces fonctionnalités de base, on retrouve la détection faciale, la translation audio en texte, etc.

Operations Management Suite

• Log Analytics Service Map ajoute les groupes d’ordinateurs.
• Changement du mode de licence pour les solutions Security and Compliance :
  • Les solutions Security and Compliance déployées après le 19 juin 2017, la limite de données journalière ne sera pas appliquée aux données collectées par ces solutions. Vous pouvez utiliser ces solutions gratuitement pendant les 60 premiers jours
  • SI vous supprimez les solutions avant la fin de la période d’essai 60 jours, vous ne serez pas facturés. Si vous continuez d’utiliser la solution après la période, vous serez facturé avec un mode par nœud.

Azure Analysis Service

• Extension du support pour Azure Active Directory pour inclure Azure AD B2B Collaboration. Le but est de pouvoir inviter des utilisateurs à consulter des éléments dans votre tenant.
• Nouveaux exemples de modèle pour Azure Analysis Service.

Azure Government

• Les services Azure Government sont disponible au travers du programme Cloud Solution Provider (CSP).

Autres services

• Support de nouvelles langues (Russe, Anglais Britannique, Mexicain) pour Azure Media Indexer v2.
• Des nouveautés pour les outils HDInsight pour IntelliJ. On retrouve la simplification de la création de projet Scala, l’amélioration du dépannage Spark à distance, l’intégration run as et debug as.
• Disponibilité Générale de Draft, un outl permettant le développement d’applications s’exécutant sur des clusters Kubernetes par Azure Container Service.
• Fin du service Azure BizTalk Services à partir du 31 Mai 2018. Les capacités ont été intégrées dans Azure Logic Apps et Azure App Service Hybrid Connections.
• Disponibilité Générale de nouvelles fonctionnalités pour Power BI Desktop.
• Migration de Power BI Embedded vers le service Power BI.
• Disponibilité Générale de nouveaux packs de contenu pour Power BI : Microsoft Dynamics 365—Social Engagement, Microsoft Azure Consumption Insights, TyGraph pour Yammer 3.0, Easy Projects, Microsoft Dynamics 365 pour Financials, Webtrends pour SharePoint, et Transit IQ.
• Azure Event Hubs propose une nouvelle fonctionnalité Auto-Inflate permettant d’accroitre automatiquement les Throughput Units (TUs).
• Azure Media Services supporte l’authentification par Azure Active Directory (AAD). On retrouve une nouvelle tuile de gestion dans le portail Azure pour simplifier l’usage des authentifications. Cette annonce permet de bénéficier de RBAC. Dans le même temps, Microsoft annonce la dépréciation de l’authentification ACS pour dans 12 mois!
• Publication de la version 1.1 des librairies de gestion Azure pour Java avec l’ajout du support de Cosmos DB, Azure Container Service and Registry, et Active Directory Graph.
• Bright Cluster Manager s'intègre maintenant avec Azure HPC.

Microsoft vient de mettre à disposition la Technical Preview 1706 (5.0.8533.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

IMPORTANT : Avant de lancer la mise à niveau, retirez le connecteur OMS sous peine faire planter la mise à niveau.

System Center Configuration Manager TP 1706 comprend les nouveautés suivantes :

Général

• Nouveaux raccourcis clavier pour se déplacer dans la console :
  • Ctrl + M – Change le focus sur le panneau principal.
  • Ctrl + T - Change le focus vers le nœud principal de la page de navigation.
  • Ctrl + I - Change le focus de la barre de navigation, sous le ruban.
  • Ctrl + L - Change le focus sur le champ Rechercher, lorsqu'il est disponible.
  • Ctrl + D - Change le focus sur le volet d'informations, lorsqu'il est disponible.
  • Alt – Change le focus sur le volet d'information, nous sommes disponibles.
• Amélioration de la navigation dans le volet de navigation lorsque vous tapez les lettres d'un nom de nœud.
• La navigation du clavier à travers la vue principale et le ruban est maintenant circulaire.
• La navigation par clavier dans le volet d'informations est maintenant circulaire. Pour revenir à l'objet ou au volet précédent, en utilisant Ctrl + D, puis Maj + TAB.
• Après avoir rafraîchi une vue Workspace, le focus est mis sur le volet principal de cet espace de travail.
• Correction d'un problème pour permettre aux lecteurs d'écran d'annoncer le nom des éléments de la liste.
• Ajout de noms accessibles pour plusieurs contrôles sur la page qui permet aux lecteurs d'écran d'annoncer des informations importantes.

Gestion du contenu

• Capacité de déplacer un point de distribution entre deux sites primaires. Cette fonctionnalité ne peut pas être utilisée dans la Technical Preview puisqu’il existe une limite à un seul site primaire autonome.
• Amélioration des groupes de limites pour les Software Update Points avec notamment :
  • La configuration du temps de bascule (fallback) vers les groupes de limite voisins avec un temps minimum de 120 minutes.
  • Indépendamment de la configuration de la bascule (fallback), un client tente d’atteindre le Software Update Point qu’il utilise pendant 120 minutes. Après des échecs de communication pour le temps de 120 minutes, le client vérifie les Softwre Update Point disponibles afin d’en trouver un nouveau.
    • Tous les Software Update Points dans le groupe de limite courant sont ajoutés au pool du client immédiatement.
    • Parce que le client essaye d’utiliser son serveur originel pendant 120 minutes afin de chercher un nouveau, aucun serveur additionnel n’est contacté avant que les deux heures soient écoulées.
    • Si la bascule vers un groupe voisin est configurée pour un minimum de 120 minutes, les Software Update Points de ce groupe de limite feront partis des serveurs disponibles.
  • Après l’échec de communication avec le serveur originel pendant les deux heures, le client change avec un cycle de communication vers le nouveau Software Update Point plus court.

Enregistrement de périphériques mobiles

• Il est possible de restreindre l’enregistrement d’iOS et Android pour les périphériques personnels. Dans ce cas, les périphériques doivent être préenregistrés ou enregistrés par des programmes comme l’Apple DEP, etc.

Gestion et Déploiement d’Applications

• Vous pouvez spécifier des emplacements de contenu différent pour l’installation et la désinstallation. Le problème survenait lorsque vous deviez utiliser un fichier de désinstallation que vous deviez inclure dans l’emplacement de contenu, le client retéléchargeait alors tout le contenu dont celui utilisé pour l’installation.

Mise à jour logicielles et conformité

• Vous pouvez gérer les mises à jour de drivers pour les périphériques Microsoft Surface. Ceci requiert l’utilisation de Software Update Point qui exécutent Windows Server 2016.
• Vous pouvez créer et exécutez des scripts PowerShell depuis la console ConfigMgr directement sur des collections. Ces scripts peuvent être approuvé/refusé et exécutez sur les clients ConfigMgr Windows. Vous n’avez plus besoin de les déployer et ils sont exécutez presque en temps réel.
• Il est possible de créer des stratégies d’ajournement pour Windows Update for Business (WUfB).
• Les stratégies Device Guard peuvent inclure des fichiers et dossiers spécifiques de confiance. Ceci permet de gérer les problèmes de comportement avec des installeurs, d’ajouter des applications métiers qui peuvent ne pas être déployées avec ConfigMgr, d’ajouter des applications inclues dans l’image de système d’exploitation.
• Support des autorités de certification Entrust pour le déploiement de certificats PFX pour les périphériques gérés par Microsoft Intune.
• Support de Cisco (IPSec) pour la création de profils VPN macOS.
• De nouveaux paramétrages pour les objets de configuration Widnows :
  • Password
    • Device Encryption
  • Device
    • Region settings modification (desktop only)
    • Power and sleep settings modification
    • Language settings modification
    • System time modification
    • Device name modification
  • Store
    • Auto-update apps from store
    • Use private store only
    • Store originated app launch
  • Microsoft Edge
    • Block access to about:flags
    • SmartScreen prompt override
    • SmartScreen prompt override for files
    • WebRTC localhost IP address
    • Default search engine
    • OpenSearch XML URL
    • Homepages (desktop only)
• Amélioration de stratégie de conformité de périphérique permettant d’effectuer des actions pour les périphériques non conformes en envoyer un email à l’utilisateur final ou marquer les périphériques comme non conformes après une période de grâce (entre 0 et 365 jours).
• Nouvelles règles de stratégie de conformité de périphérique avec
  • Required password type pour Windows Phone 8+, Windows 8.1+ ou iOS 6+
  • Block USB debugging on device pour Android 4.0+ et Samsung KNOX Standard 4.0+.
  • Block apps from unknown sources pour Android 4.0+ et Samsung KNOX Standard 4.0+.
  • Require threat scan on apps Android 4.2 à 4.4 et Samsung KNOX Standard 4.0+
• Nouveaux paramètres de stratégie de gestion d’applications mobiles (MAM) :
  • Bloquer la capture de l’écran (périphériques Android uniquement).
  • Désactiver la synchronisation de contacts.
  • Désactivation de l’impression.
• Mise à jour des descriptions de paramétrages pour les objets de configuration d’Android for Work pour : Allow data sharing between work and personal profile. Plus de détails sur l’article de Microsoft.
• Evaluation de l’état d’intégrité du périphérique (Device Health Attestation) pour les stratégies de conformité par l’accès conditionnel.

Déploiement de système d’exploitation (OSD)

• Support du démarrage réseau (PXE) avec l’IPV6. Cette option permet le boot PXE en IPv4 et IPv6. Il n’utilise pas le rôle Windows Deployment Services (WDS) mais une serveur PXE spécial.
• Vous pouvez contrôler quand la progression de la séquence de tâches est affichée à l’utilisateur avec une nouvelle variable TSDisableProgressUI. Vous pouvez l’utiliser à plusieurs reprises dans la séquence de tâches.
• Des Cmdlets Powershell permettent la création, l'édition et la suppression des séquences de tâches et leurs étapes :
  • Run command line (Verb-CMTaskSequenceStepRunCommandLine)
  • Install application (Verb-CMTaskSequenceStepInstallApplication)
  • Install software (Verb-CMTaskSequenceStepInstallSoftware)
  • Install update (Verb-CMTaskSequenceStepInstallUpdate)
  • Partition disk (Verb-CMTaskSequenceStepPartitionDisk)
  • Reboot (Verb-CMTaskSequenceStepReboot)
  • Run PowerShell script (Verb-CMTaskSequenceStepRunPowerShellScript)
  • Setup Windows and Configuration Manager (Verb CMTaskSequenceStepSetupWindowsAndConfigMgr)
  • Set variable (Verb-CMTaskSequenceStepSetVariable)

Infrastructure

• Haute disponibilité du rôle serveur de site (Site Server). Il devient possible d’installer un site primaire additionnel dans un mode passif. Ce dernier peut être utilisé immédiatement si nécessaire. La base de données de site doit être distante des deux serveurs de site. La promotion du site primaire passif en actif, se fait manuellement. Un site primaire en mode passif :
  • Utilise la même base de données de site que le serveur de site actif.
  • Reçoit une copie de la librairie de contenu du serveur de site actif qui reste ensuite synchronisé.
  • N’écrit pas de données dans la base de données de site tant qu’il est en mode passif.
  • Ne supporte pas l’installation ou la suppression de rôles de système de site optionnel dès lors qu’il est en mode passif.
  • Peut-être On-Premises ou dans le Cloud Azure.
  • Doit être dans le même domaine que le serveur de site actif.
• Changement sur l’assistant Azure Services pour supporter Upgrade Readiness.
• Nouveaux paramétrages client pour les services Cloud permettant de :
  • Contrôler quels clients ConfigMgr peut accéder à la Cloud Management Gateway (CMG).
  • Enregistrement automatique des clients ConfigMgr Windows 10 joints au domaine avec Azure Active Directory.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1706

Benjamin Reynolds (MSFT) a publié un très bon billet décrivant comment déplacer la base de données de site de System Center Configuration Manager vers un groupe de disponibilité AlwaysOn. Il n’est pas possible d’installer le produit directement sur un cluster SQL Server AlwaysOn. Vous devez auparavant l’installer sur un serveur autonome et déplacer la base. Son article complet revient sur toutes les étapes importantes :

• Les prérequis
• Les activités avant arrêt
• Les activités à réaliser pendant un arrêt
• La liste de vérifications

Lire Moving the ConfigMgr site database to an Always On Availability Group

Microsoft a publié un sondage à destination des utilisateurs de sa solution d’administration Microsoft Intune et/ou System Center Configuration Manager. Il aborde les applications métiers mobiles dans votre entreprise. Le sondage ne prend pas plus de 5 minutes et permet de répondre afin de prioriser le travail de développement pour plusieurs fonctionnalités à venir.

Répondre au sondage

Tim Mcfadden a sorti la version 8.5 de son outil Maintenance Mode Scheduler. Cette version permet d’apporter le support de System Center 2016 Operations Manager. Maintenance Mode Scheduler permet la planification de mise en mode maintenance pour des objets ou des groupes d’objets (machines) par les administrateurs et opérateurs de l’entreprise. Parmi les nouveautés, on retrouve :

• Changement dans la façon dont les paramètres One Click MM fonctionnent pour empêcher les attaques de type injection SQL.
• Si aucun ordinateur, groupe, ou classe sont sélectionnés et des erreurs seront levée au lieu d’une planification d’un job vide.
• Changement de l’outil de configuration pour fonctionner avec les sites web par défaut qui ont été déplacés.

Pour rappel, System Center 2016 Operations Manager comprend une fonction permettant de planifier des modes maintenance.

Une version d’évaluation (30 jours) est disponible

Plus d’informations sur : https://www.scom2k7.com/scom-2012-maintenance-mode-scheduler-version-8-5/  

L’équipe des PFE a publié un billet pour parler d’un problème touchant Windows 10 et la disparition des tuiles du Menu Démarrer lors de l’utilisation des profils itinérants. Ceci peut notamment survenir dans les environnements VDIs non persistants. Pour résoudre ce problème, Microsoft a publié un nouveau correctif et paramétrage de clé de registre dans la mise à cumulative du 14 Mars 2017.

Vous devez alors créer la clé SpecialRoamingOverrideAllowed dans HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer pour spécifier le comportement adéquat.

Plus d’informations sur : https://blogs.technet.microsoft.com/askpfeplat/2017/05/08/mysteriously-disappearing-start-menu-tiles-and-roaming-user-profiles/

C’est une demande régulière et une stratégie que nous mettons en place dans les entreprises pour qui ont intervient. Elle permet l’adoption plus aisée du service de stockage OneDrive for Business, offert par Office 365. Il est possible d’utiliser l’ancien mécanisme de redirection de dossiers pour rediriger automatiquement les dossiers de l’utilisateurs (Documents, Musique, Vidéos, etc.) dans le dossier de synchronisation OneDrive for Business. Le but est de rendre l’opération transparente pour l’utilisateur en limitant l’accompagnement utilisateur mais en optimisant l’adoption du service. Cela décorrèle aussi la donnée du poste de travail.

Microsoft a créé un article dans la base de connaissances pour décrire le mécanisme. On retrouve aussi les considérations :

• Les restrictions sur les noms, types et taille de fichiers.
• Les limitations pour les applications héritées qui utilisent le dossier document comme emplacement d’installation.
• Les limitations pour les fichiers mis à jour fréquemment. C’est le cas pour les OST Outlook, les bases de données, les serveurs Web, etc.

Plus d’informations sur: Redirect known folders to OneDrive for Business