De nombreuses entreprises injectent les packs de langues dans le master ou le système d’exploitation, ceci permet à l’utilisateur de choisir la langue d’affichage de son système. La problématique survient lorsque vous souhaitez mettre à niveau un système d’exploitation antérieur (Windows 7, Windows 8.1) vers Windows 10. L’utilisation du scénario In-Place Upgrade pour mettre à niveau requiert plusieurs prérequis et comprend des limitations. En effet, l’installeur de Widnows 10 ne propose la mise à niveau que si la langue d’affichage du système correspond à celle du média d’instalaltion de Windows 10.

L’équipe Configuration Manager OSD Support revient sur la méthodologie automatisée permettant de :

• Passer le système sous-jacent en anglais
• De mettre à niveau le système vers Windows 10
• D’installer les packs de langues initialement présents

Pour cela le processus revient à utiliser un script permettant d’énumérer les packs de langues installés et de peupler des variables. Un second script permet la configuration des options régionales. L’article détaille ensuite où placer les différents scripts, tâches et conditions dans la séquence de tâches pour permettre de réaliser l’opération.

Lire : How to Upgrade Windows Clients with Multiple Languages installed to Windows 10

Microsoft s’est associé avec Lookout pour fournir une solution de sécurité visant à détecter les menaces sur les périphériques mobiles. Cette dernière s’intègre à Microsoft Intune pour remonter le niveau de menaces et l’utiliser notamment pour l’accès conditionnel aux ressources de l’entreprise.

Lookout propose une solution prédictive basée sur des patterns. La solution dispose de plus de 100 millions de sondes (comprendre périphériques personnels ou d’entreprise) qui remontent des informations sur les applications, les systèmes, les menaces. Les données remontées sont ensuite traitées via un mécanisme de Big Data et des experts qui analysent ces données. Lookout sépare les attaques en trois grandes catégories :

• Système d’exploitation avec le Jailbreak/Root, les vulnérabilités exploitées du système (Pegasus, Trident, etc.), les fuites de données.
• Application avec les applications malicieuses, à risque, vulnérables et les fuites de données.
• Réseau avec les interceptions de données (Man-In-The-Middle) et les configurations malicieuses.

Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Lookout avec les phases de mise en œuvre et d’exploitation.

Si vous n’avez pas vu la première partie de cette série, voici comment configurer la solution.

Vous pouvez maintenant passer au déploiement de l’application Lookout. Lookout fournit différentes applications. Certaines sont à destination du grand public. C’est le cas notamment de l’application Lookout, des applications détectant certaines failles de sécurité (Pegasus, Trident, etc.). L’application à destination des entreprises s’appelle Lookout for Work. Cette dernière est disponible sur iOS et Android. Elles ont chacun leur mode de déploiement.

Déploiement sur les périphériques Android

L’application Lookout for Work pour Android peut être téléchargée et déployée directement depuis le Google Play store. Vous pouvez alors la déployer via Microsoft Intune de manière obligatoire. L’utilisateur est alors invité à installer l’application dans le store ou alors l’application est installée automatiquement si le périphérique est géré par Android for Work. Pour Android for Work, je vous renvoie à mon article sur le sujet. Vous pouvez approuver l’application dans le Google Play for Work.

Dans le portail Azure et le service Microsoft Intune, vous pouvez ensuite déployer l’application Lookout for Work à partir de l’espace Mobile Apps – Apps :

Sélectionnez l’application puis cliquez sur Assignments. Choisissez un groupe et le type de déploiement souhaité. D’une, il est recommandé de déployer l’application de manière obligatoire :

Déploiement sur les périphériques iOS

L’application pour iOS est aussi disponible sur l’AppStore mais ne permet pas l’intégration dans Microsoft Intune. En effet, l’association du périphérique entre Intune et Lookout ne se fait pas. Vous devez pour cela télécharger une version spécifique de l’application qui doit être signées par vos soins. Ceci provient d’une limitation appliquée par Apple pour les applications proposées dans son Store. L’application du store ne permet pas non plus d’inventorier les applications présentes sur le store.

Création de l’application dans Azure AD

Avant de signer l’application commencez par autoriser l’authentification Azure AD pour les utilisateurs iOS. Connectez-vous au portail Azure et naviguez dans More Services > Azure Active Directory. Choisissez App registrations puis Add.

Renseignez le nom de l’application, le type Native et la redirection URI suivante : lookoutwork:// com.lookout.enterprise.<NOM DE L’ENTREPRISE>.

Une fois crée, sélectionnez l’application puis naviguez dans General – Redirect URIs. Ajoutez l’URI suivant : companyportal://code/lookoutwork.%3A%2F%2Fcom.lookout.enterprise.<NOM DE L’ENTREPRISE> 

Dans les propriétés de l’application, conservez l’identifiant pour l’utiliser dans la stratégie de configuration de l’application :

Il est ensuite nécessaire de configure des permissions. Cliquez sur Required permissions et sélectionnez Add. Ajoutez les deux APIs et permissions suivantes :

• API : Microsoft Graph
• Permissions: Sign in and read user profile

• API : Lookout MTP
• Permissions: Access Lookout MTP

Validez ensuite que vous avez les trois APIs suivantes :

• Windows Azure Active Directory
• Microsoft Graph
• Lookout MTP

Préparation des prérequis à la signature

Afin de signer l’application, vous devez disposer des prérequis suivants :

• Un Mac avec Xcode
• Un abonnement iOS Enterprise Developer avec le certificat associé.

Une fois ces prérequis validés, connectez-vous au portail iOS Enterprise Developer et dirigez-vous dans la partie Certificates pour récupérer un certificat de type In-House and Ad Hoc certificate.

Procédez ensuite à la création d’un identifiant d’application (Identifiers – App IDs). Renseignez le nom de l’application ainsi que l’identifiant explicite de l’application en utilisant le format : com.lookout.enterprise.<NOM DE L’ENTREPRISE>. Enregistrez l’application.

Enfin, procédez à la création d’un profil de distribution iOS en naviguant dans Provisioning Profiles – Distribution – In House. Spécifiez l’identifiant de l’application ainsi que le certificat de distribution iOS que vous avez créé plus haut.

Signature de l’application

Connectez-vous au portail Lookout et naviguez dans System – iOS Configuration. Récupérez le fichier .ipa.

Sur le Mac, utilisez l’outil de signature Lookout en sélectionnant le fichier IPA que vous avez téléchargé et le profil de provisionnement que vous avez créé. Renseignez aussi l’identifiant du bundle que vous avez défini (com.lookout.enterprise.<NOM DE L’ENTREPRISE>).

Sélectionnez ensuite le certificat de signature et enregistrez le fichier IPA fraichement signé. Une fois signé, uploader le fichier signé sur le portail Lookout dans System – iOS Configuration.

Ajout de l’application dans Microsoft Intune

Maintenant que l’application est signée, vous devez l’ajouter à Microsoft Intune pour pouvoir ensuite la déployer. Ouvrez le portail d’administration Azure puis dans le service Intune et naviguez dans Mobile Apps – Apps. Cliquez sur Add. Choisissez le type d’application Line-of-business app.
Dans App package file, sélectionnez le fichier ipa que vous avez signé puis renseignez les informations de l’application dans App information : Nom, Description, Fabricant, Logo, etc.

Configuration de l’application

Commencez par créer une stratégie de configuration de l’application mobile en naviguant dans Mobile apps – App configuration policies. Cliquez sur Add.

Cette opération permettra de préconfigurer l’application pour l’utilisateur. Renseignez les éléments suivants :

• Le nom de la stratégie de configuration applicative. Par exemple : Lookout for Work iOS App
• La description
• Le type d’enregistrement : Enrolled with Intune
• La plateforme : iOS
• L’application associée : Lookout for Work que vous avez ajouté
• Dans la partie Configuration Settings, renseignez le fichier XML suivant en remplaçant l’identifiant de l’application par celui défini dans Azure Active Directory :

<dict>
<key>MDM</key>
<string>INTUNE</string>
<key>DEVICE_UDID</key>
<string>{{deviceid}}</string>
<key>EMAIL</key>
<string>{{userprincipalname}}</string>
<key>AAD_CLIENT_APP_ID</key>
<string><IDENTIFIANT AAD DE L’APPLICATION></string>
</dict>

Déploiement de l’application et de la stratégie de configuration

Vous pouvez ensuite déployer l’application en naviguant dans Mobile Apps – Apps. Sélectionnez l’application Lookout for Work pour iOS. Dans la partie Assignments, sélectionnez le groupe Azure Active Directory de périphériques ou d’utilisateurs. Associez le type de déploiement souhaité. Il est préférable de déployer l’application de manière obligatoire (Required). Cliquez sur Save.

Répétez l’opération pour la stratégie de configuration d’applications en naviguant dans Mobile apps – App configuration policies. Sélectionnez la stratégie Lookout for Work iOS App et cliquez sur Assignments. Sélectionnez le groupe Azure Active Directory de périphériques ou d’utilisateurs précédemment utilisé. Cliquez sur Save.

Vous pouvez ensuite suivre l’état de déploiement de l’application et de la stratégie via la partie Monitor – Device/user install status sur l’application ou la stratégie.

Maintenant que les applications Lookout sont déployées sur iOS et Android, nous pouvons ensuite passer à l’exploitation de la solution.

Microsoft a publié des recommandations pour spécifier la désactivation des services du système Windows Server 2016 avec Desktop Experience. On retrouve 4 catégories :

• Doit être désactivé (Should Disable) : Une entreprise focalisée sur la sécurité doit préférer désactiver le service et la fonctionnalité associée
• Ok pour être désactivé (OK to Disable): Le service est utile pour certaines entreprises et les entreprises focalisée sur la sécurité qui ne l’utilisent pas, peuvent le désactiver. On retrouve par exemple :
  • AxInstSV
  • bthserv
  • CDPUserSvc
  • PimIndexMaintenanceSvc
  • dmwappushservice
  • MapsBroker
  • lfsvc
  • SharedAccess
  • lltdsvc
  • wlidsvc
  • NgcSvc
  • NgcCtnrSvc
  • NcbService
  • PhoneSvc
  • PcaSvc
  • QWAVE
  • RmSvc
  • SensorDataService
  • SensrSvc
  • SensorService
  • ShellHWDetection
  • ScDeviceEnum
  • SSDPSRV
  • WiaRpc
  • OneSyncSvc
  • TabletInputService
  • upnphost
  • UserDataSvc
  • UnistoreSvc
  • WalletService
  • Audiosrv
  • AudioEndpointBuilder
  • FrameServer
  • stisvc
  • wisvc
  • icssvc
  • WpnService
  • WpnUserService,
• Ne pas désactiver (Do Not Disable) : Désactiver le service impactera les fonctionnalités essentielles et ne doit être ainsi pas d’être désactivé.
• Pas de recommandation : Les services ne doivent pas être désactivés.

Plus généralement, Microsoft recommande la désactivation des services suivants :

Services:

1. Xbox Live Auth Manager
2. Xbox Live Game Save

Scheduled tasks:

1. \Microsoft\XblGameSave\XblGameSaveTask
2. \Microsoft\XblGameSave\XblGameSaveTaskLogon

Voir les recommandations sur la gestion des services de Windows Server 2016

Source : https://blogs.technet.microsoft.com/secguide/2017/05/29/guidance-on-disabling-system-services-on-windows-server-2016-with-desktop-experience/

Les premiers éléments remontent un problème sur System Center Configuration Manager 1702 lorsque vous utilisez Android for Work en mode hybride avec Microsoft Intune. Il semble que les comptes Android for Work ne sont pas nettoyés lorsque l’administrateur retire l’abonnement Microsoft Intune de la console. Ceci engendre une situation problématique. Deux solutions :

• Soit vous êtes proactif et vous pensez à supprimer les comptes Android for Work et ensuite l’abonnement Microsoft.
• Soit vous êtes déjà bloqué et vous devez exécutez la procédure suivante (à vos risques et périles)
  1. Supprimez l’ancien compte Android for Work de la base de données ConfigMgr à l’aide de SQL Server Management Studio et des requêtes :
     
     DELETE FROM AfwAccountStatus
     SELECT * FROM MDMVppLicenses WHERE VppProvider=3
     
     
  2. Bindez le nouveau compte Android for Work.
  3. Pensez à approuver au moins une application dans le Play Store for Work.
  4. Lancez la synchronisation.

Lorsque vous gérez vos périphériques de manière traditionnelles (ConfigMgr, MBAM, GPO, etc.), il existe de nombreux moyens de gérer et activer le chiffrement BitLocker (MBAM, déploiement de système d’exploitation, etc.). Quand vous gérez vos périphériques de manière moderne, il n’y a pas de remasterisation de la machine. De ce fait, vous devez procéder au chiffrement par des manières détournées. Il est possible d’initier le chiffrement automatique lors de la jointure à Azure Active Directory et la solution d’administration (Intune) lorsque votre périphérique est compatible InstantGo. C’est par exemple le cas des tablettes Surface mais ce n’est pas le cas de tous les périphériques. Dans ce cas de figure, vous n’avez pas de solution autre que l’activation manuelle. Avec l’arrivée de la GDPR, on retrouve des problématiques autour de ces enjeux. Microsoft a introduit des notifications et un assistant permettant à l’utilisateur d’initier le chiffrement.
Pieter Wigleven (MSFT) a travaillé une solution de scripts permettant d’initier le chiffrement automatique lorsque le périphérique est géré de manière moderne et quel que soit le matériel utilisé. Ces scripts ont été packagés au format MSI pour pouvoir être déployés par le canal MDM :

• Il installe les fichiers dans C:\Program Files (x86)\BitLockerTrigger\
• Il importe une nouvelle tâche planifiée qui s’exécute tous les jours à 14h00 en exécutant un script pour chiffrer le lecteur local et stocker la clé dans Azure Active Directory et OneDrive for Business (si configuré).

Note : Vous devez utiliser Windows 10 1703 x64.

Plus d’informations sur : Hardware independent automatic Bitlocker encryption using AAD/MDM

Microsoft vient d’annoncer la bêta des baselines de paramétrages de sécurité pour Windows 10 (Anniversary Update/RS2 – v703). On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

Voici les différences avec la baseline pour Windows 10 1607 :

• Désactivation du protocole Server Message Block (SMB) v1 en utilisant un fichier ADMX personnalisés afin que les paramétrages puissent être exposés par l’éditeur de stratégie de groupe.
• Suppression du paramétrage « Untrusted Font Blocking ». Microsoft a intégré de nombreux autres paramétrages qui mitigent et rend ce paramétrage non nécessaire. Pour en savoir plus sur la raison de cette suppression, rendez-vous sur : Dropping the “Untrusted Font Blocking” setting.
• Désactivation de VBScript dans Internet Explorer lors de la navigation sur les zones de sécurité Internet ou Restricted Site.
• Suppression du paramétrage “Network access: Do not allow storage of passwords and credentials for network authentication”. La configuration de ce paramétrage rend impossible la configuration d’une tâche planifiée qui a besoin d’un accès réseau authentifié avec un utilisateur et un mot de passe.
• Désactivation du support de TLS 1.0 pour les sites HTTPs dans Internet Explorer afin de n’autoriser que TLS 1.1 et 1.2.
• Désactivation des services Xbox et HomeGroup qui ne sont pas nécessaires dans le contexte d’entreprise.
• Exposition de deux paramétrages à travers l’ADMX personnalisé “MS Security Guide” pour forcer les protections des processus 32-bit et « Turn on Windows Defender protection against Potentially Unwanted Applications »

Plus d’informations sur l’article suivant : https://blogs.technet.microsoft.com/secguide/2017/06/15/security-baseline-for-windows-10-creators-update-v1703-draft/

Télécharger Windows 10 RS2 Security Baseline

Microsoft vient de publier la version finale (1.0) de Microsoft Security Compliance Toolkit 1.0 (SCT). Il remplace Security Compliance Manager. Cet outil permet de planifier, créer, et monitorer des baselines de sécurité pour vos postes clients. Le remplacement a été choisi par Microsoft du fait de la complexité de SCM et de la difficulté à maintenir l'outil pour chaque version de Windows. Aujourd'hui, SCT ne supporte pas Desired Configuration Management de System Center Configuration Manager ou SCAP.

Télécharger Microsoft Security Compliance Toolkit 1.0

Microsoft a créé un petit formulaire d’évaluation avec des questions vous permettant d’évaluer votre niveau de maturité face aux nouveaux enjeux en matière de mobilité et de sécurité. Le but est bien entendu de mettre en avant les éléments proposés par le suite Enterprise Mobility + Security (EMS). Néanmoins, ceci constitue un bon moyen de connaître l’état de l’art vis-à-vis de la cible souhaitée. Une fois terminé, vous retrouvez des guides et informations vous permettant d’adresser les points en souffrance.

Passer l’évaluation sur l’Enterprise Mobility

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune. Ce mois-ci, Microsoft a annoncé que les consoles d’administration de Microsoft Intune et de l’accès conditionnel dans le portail Azure, passaient en disponibilité générale.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement

• Intune supporte maintenant l’utilisation d’Apple School Manager (ASM) pour les iPads partagés en lieu et place d’Apple Device Enrollment Program pour fournir un enregistrement sorti du carton pour les périphériques iOS. L’utilisation d’ASM est nécessaire pour l’utilisation de l’application Classroom et pour la synchronisation des données depuis ASM vers Azure Active Directory via Microsoft School Data Sync.

Portail d’entreprise

• L’application du portail d’entreprise sur Android a ajouté un menu permettant d’initier le retrait du portail d’entreprise du périphérique. Ceci supprime le périphérique de la gestion Intune afin que l’application puisse être désinstallée du périphérique.
• L’application du portail d’entreprise de Windows 10 effectuera automatiquement une synchronisation des demandes d’installation d’applications pour le périphérique avec Windows 10 1703 et ce afin de réduire le problème où les applications restaient dans un état « Pending Sync ». De plus, l’utilisateur pourra aussi initier manuellement la synchronisation dans l’application.
• Mise à jour du portail d’entreprise pour iOS afin de changer le design des tuiles d’applications sur la page d’accueil pour refléter la couleur choisie pour le portail d’entreprise.
• Les utilisateurs des périphériques iOS peuvent maintenant choisir le compte lors de la connexion dans le portail d‘entreprise s’ils avaient utilisés un autre compte d’entreprise pour se connecter à une autre application Microsoft.

Gestion du périphérique

• Intégration de Microsoft Intune et TeamViewer (sous achat séparé) pour Android afin d’offrir des outils de prise en main à distance.

• Intégration des solutions (Lookout et Skycure) de protection contre les menaces mobiles (Mobile Threat Protection) dans le nouveau portail Azure

Gestion des applications

• Nouvelles conditions pour les stratégies de protection applicative pour la gestion des applications mobiles (MAM) sur iOS et Android permettant de :
  • Forcer une version minimum d’application
  • Forcer une version minimum de système d’exploitation
  • Forcer une version de SDK Intune App minimum pour les applications ciblées (sur iOS uniquement)
• Configurer les applications mobiles via des stratégies sur Android for Work. Vous pouvez ainsi pré peupler des champs et des options via un designer de configuration ou un éditeur JSON.
• Nouvelles capacités de configuration applicative pour la gestion des applications mobiles sans enregistrement. Cette fonctionnalité est équivalente à celle décrite précédemment.
• Configuration de la liste des URLs ou domaines bloqués ou autorisées pour le navigateur géré (Managed Browser)
• Les opérateurs/ITs peuvent maintenant vérifier l’état de licence et l’état des stratégies de protection applicative assignées aux utilisateurs dans la partie Troubleshooting.

Configuration du périphérique

• Amélioration des notifications pour la configuration d’un code PIN de démarrage sur les périphériques Samsung KNOX afin de les amener à l’endroit exact dans l’application Settings.
• Control des sites web visités sur les périphériques iOS via une des deux méthodes suivantes :
  • Ajout des URLs autorisées ou bloquées en utilisant le filtre de contenu Web intégré.
  • Autoriser uniquement les sites web spécifiés comme pouvant être accédés par Safari. Un favori est alors créé dans Safari pour chaque site.
• Pré configuration des permissions individuelles du périphérique pour les applications déployées via Android for Work. Vous pouvez automatiquement refuser/autoriser les permissions ou laisser le choix à l’utilisateur.
• Définissez un PIN spécifique aux applications du profil de travail pour les périphériques Android for Work (Android 7+)
• De nouveaux paramétrages pour les périphériques Windows 10 permettent de contrôler les affichages sans fil, la découverte du périphérique, les messages d’erreur de la carte de SIM, etc.
• Mise à jour du profil de déploiement de certificat via SCEP pour proposer l’option Custom dans le format du nom de sujet pour iOS, Android et Windows.
• Mise à jour du profil de déploiement de certificat PKCS pour proposer l’attribut Custom Azure AD dans le format du nom de sujet alternatif. L’option Department est disponible quand vous sélectionnez l’attribut Custom Azure AD.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

J’étais passé à côté de l’annonce mais Microsoft propose en Public Preview un connecteur entre son service Operations Management Suite et des outils IT Service Management (ITSM). Le connecteur s’intègre aujourd’hui aux solutions suivantes :

• System Center Service Manager
• Cherwell
• Provance
• ServiceNow

Il offre les capacités suivantes :

• Création d’évènements, d’alertes ou d’incident dans la solution ITSM basée sur les alertes Insights & Analytics.
• Lecture des incidents de la solution ITSM pour corréler avec les données de journaux afin de voir les connexions éventuelles entre les incidents et les services.
• Lecture des demandes de changement depuis la solution ITSM pour corréler les données avec la solution Change Tracking dans Azure Automation & Control.
• Visionnage des tableaux de bord pour obtenir des éléments sur les événements, alertes, incidents et systèmes impactés.
• Dépanner rapidement en corrélant les solutions de gestion dans Log Analytics.

Vous pouvez obtenir plus d‘informations sur les intégrations via : https://blogs.technet.microsoft.com/msoms/2017/05/11/it-service-management-connector-public-preview/

Nathan Mercer (MSFT) tient un webinar sur les nouveautés apportées par Windows 10 en matière de sécurité à destination des professionnels de l’informatique. Ce Webinar abordera les nouveautés de sécurité :

• Windows Defender Advanced Threat Protection (ATP)
• Windows Defender Antivirus (AV)
• Windows Hello for Business
• Credential Guard
• Device Guard

Il a lieu le 21 Juin 2017 à 20h.

Pour s’enregistrer : https://aka.ms/win10-security-ama

Plus d’informations : https://blogs.technet.microsoft.com/windowsitpro/2017/06/01/ask-microsoft-anything-about-windows-10-security-on-june-21st/

Microsoft a mis à disposition le 13 Juin 2017 le .NET Framework 4.7 sur Windows Server Update Services (WSUS) pour Windows 7 SP1, Windows 8.1, Windows 10 Anniversary Update (Version 1607), Windows Server 2008 R2 SP1, Windows Server 2012, Windows Server 2012 R2 et Windows Server 2016. Voici les informations concernant la publication :

• Le .NET Framework 4.7 est une mise à jour hautement compatible avec le .NET 4, 4.5, 4.5.1, 4.5.2, 4.6, 4.6.1 et 4.6.2. Cette mise à jour ne nécessite pas de recompiler les applications écrites avec ces Frameworks précédents.
• Le .NET Framework 4.6.1 s’installe à côté des versions du Framework inférieures à .NET 4 comme le .NET 3.5 SP1.
• Les Language Packs seront aussi disponibles pour ces plateformes. Il sera possible de mettre à jour les précédents language packs du .NET Framework 4, 4.5, 4.5.1, 4.5.2, 4.6, 4.6.1 et 4.6.2 que ce soit pour des systèmes d’exploitation localisés ou des packs MUI.
• La mise à jour du .NET Framework 4.7 pour Windows 7 SP1, Windows Server 2008 R2 SP1, et Windows Server 2012 embarque un vérification de la dépendance DirectX (D3DCompiler: %windir%\system32\d3dcompiler_47.dll). Ce fichier doit être présent avant que la mise à jour soit offerte sur ces plateformes. La dépendance est présente dans le Monthly Rollup de Mai 2017 :

Windows 7 SP1 and Server 2008 R2 SP2: KB4019265

Windows Server 2012: KB4019218

• Les entreprises peuvent bloquer le déploiement de cette version sur les ordinateurs gérés par Microsoft Update en utilisant des clés de registre. Pour cela, rendez-vous sur la KB4024204:  How to temporarily block the installation of the .NET Framework 4.7 and its corresponding language packs.

Attention : L’équipe Exchange rappelle que les tests de compatibilité n'ont pas été réalisés entre le .NET Framework 4.7 et Exchange Server 2016 ou Exchange Server 2013.

Pour plus de détails sur ce dernier, rendez-vous sur : https://docs.microsoft.com/en-us/dotnet/framework/whats-new/#v47

Microsoft l’avait annoncé, Windows Server et System Center vont prendre part au cycle de vie continu déjà connu pour Windows 10 et Office 365. Parmi les annonces, on apprend :

• System Center va suivre le même rythme de mise à jour que Windows 10, Office 365 et Windows Server.
• Outre Nano Server, Server Core fera aussi parti du cycle continu Semi-annual Channel. Microsoft recommande l’édition Server Core pour héberger des rôles d’infrastructure ou des conteneurs Nano Server ou plus généralement pour toute charge du Datacenter. Il est d’ailleurs précisé que c’est ce qui est utilisé comme image de base pour Azure ou Azure Stack.
• Les clients éligibles à Windows Server et System Center Semi-annual Channel sont ceux qui sont couverts par la Software Assurance ou ceux qui utilisent les services dans Azure via les images Windows Server associées.
• Windows Server et System Center comprennent deux canaux : Long-term Servicing Channel, et Semi-annual Channel.
  • La LTSB est publiée tous les 2 ou 3 ans comme habituellement avec un support principal de 5 ans et un support étendu de 5 ans plus éventuellement 6 ans supplémentaire via la Premium Assurance.
  • Le canal Semi-annual Channel proposera deux versions par an, chacune supportée pour une durée de 18 mois. Ces versions seront publiées en Mars et Septembre de chaque année avec la nomenclature déjà connue AAMM (exemple 1803 pour Mars 2018).

Plus d’informations sur la page : https://docs.microsoft.com/en-us/windows-server/get-started/semi-annual-channel-overview

En outre pour Windows Server, on apprend les investissements et changements suivants :

• Nano Server pour les conteneurs est une priorité importante pour les clients. Microsoft va donc rendre Nano Server le plus efficace pour les images en réduisant la taille de plus de 50% ainsi que le temps de démarrage. Ceci améliore la densité des conteneurs.
• Microsoft annonce le retrait des rôles d’infrastructure de Nano Server. En lieu et place, Microsoft recommande l’utilisation de Server Core.
• Le support natif des conteneurs et charges de travail Linux par Windows Server. On retrouvera donc l’extension des capacités d’isolation Hyper-V aux conteneurs Linux. Il ne sera plus nécessaire de déployer deux infrastructures de conteneurs différentes pour supporter des applications Windows et Linux.
• Microsoft va porter Windows Subsystem for Linux (WSL) (ou Bash) sur Windows Server.

Concernant System Center, la première version se focalisera sur System Center Operations Manager, Virtual Machine Manager, et Data Protection Manager avec un investissement particulier sur le support de Windows Server et Linux, une amélioration des performances, de la fiabilité et de l’extensibilité vers les services Azure. Ceci inclut :

• Le déploiement et la gestion de la virtualisation imbriquée
• Le support du Software Load Balancing
• Le provisionnement du Storage Quality of Service (QoS) en mode libre-service.
• Des tableaux de bord HTML 5 pour System Center Operations Manager
• De meilleures performances pour Virtual Machine Manager Host Refresher.
• Le support des environnements hétérogènes avec
  • La supervision de Linux via un agent FluentD,
  • La réduction du coût du stockage pour les sauvegardes VMware
  • La migration de ma chines virtuelles VMware basées sur un firmware UEFI vers des machines virtuelles Hyper-V de Génération 2.
• Intégration avec les services Azure via :
  • Des intégrations avec Azure Insight & Analytics Service Map afin de mapper les applications et les dépendances de serveur à travers les plateformes.
  • Du Reporting centralisé pour Data Protection Manager avec Azure Backup.
  • Des capacités d’envoyer des données d’incident vers Service Manager depuis Azure.

Afin de participer au programme, vous devez :

• Vous enregistrer au programme Windows Insider
• Enregistrer un périphérique Windows 10 dans le programme Windows Insider afin de pouvoir fournir des retours via l’application Feedback Hub.
• Téléchargez les Builds depuis la page Windows Server Insider Preview

Sources : https://blogs.technet.microsoft.com/hybridcloud/2017/06/15/delivering-continuous-innovation-with-windows-server/ & https://blogs.technet.microsoft.com/hybridcloud/2017/06/15/frequent-continuous-releases-coming-for-system-center/

L’équipe Enterprise Mobility a publié le résultat de la session de questions/réponses qui a été tenue récemment. Le billet propose un compte rendu des questions et réponses avec notamment des réponses aux questions suivantes :

• What options does Microsoft offer for managing Office mobile apps?
• What’s the difference between MDM and MAM?
• How can I project and manage apps on non-enrolled devices with Intune?
• How can I configure Application Protection policies for Office Mobile Apps with Intune?
• How can I define policies for Multi-Identity capabilities with Intune?
• Is there a way to set up risk based policies for Conditional Access to Office apps?
• How can I set up policies for automatic classification with Azure Information Protection?
• What are the right set of labels for my company?
• What actions can be triggered based on data classification?
• Is it possible to configure policies specific to groups or departments?
• Is there a way to bulk label existing data on file servers?
• Is it possible to track files shared with AIP and revoke access is case of unexpected sharing?
• Can you tell me what Enterprise Mobility Suite capabilities can be enabled from within the Office 365 admin console?
• Can Enterprise Mobility Suite wipe data from a device if it is compromised?
• I’d like to know how we can connect SAP applications using Azure AD, Intune? Any demo available?
• Does MDM-WE handle activating Office apps on Mobile device automatically once user enrolls into Microsoft Intune?
• What’s the time frame to provide Intune\Netscaler Conditional access for apps like the Intune managed browser?
• Is leveraging Enterprise Mobility Suite on top of my current IDAM (Identity & Access Management) solution possible?
• If we install Intune-WE on top of our MDM (Mobile Iron), login to Intune, then install Word from App Store, would Word be Auto-Activated?
• Is it possible to have Intune client and SCCM client on a single machine and be managed by SCCM/Intune Hybrid Config?
• Are there any good resources for getting up to speed with Intune\Graph API?
• Can Intune be connected to all devices e.g: IoT enabled and integrated with an ERP Solution?
• Does Azure AD recommend Best Practices for Security Policies which can be implemented without any changes?

Lire Post Enterprise Mobility + Security Tweet Chat Q&A

System Center Endpoint Protection (SCEP) et Windows Defender ont souvent été décriés pour la fiabilité, les retours sont variables selon les expériences. Les tests en ligne sont souvent cinglants malgré que les nombreux clients qui y sont passés, n’ont jamais repris un antivirus. La problématique des antivirus est plus globale puisqu’ils réagissent sur des signatures et ont souvent un temps de retard important sur la pandémie générée par la menace. Bien souvent, on retrouve aussi des menaces personnalisées et ciblées sur certaines entreprises. Dans ce cas de figure, les antivirus quel qu’ils soient n’ont pas de réponse.

Microsoft propose aujourd’hui un guide permettant l’évaluation de l’antivirus Windows Defender présent nativement dans Windows 10 et Windows Server 2016.

Télécharger le guide d’évaluation

Gartner a publié le résultat de l’étude 2017 sur l’Access Management. L’an dernier, cette étude portait le nom Identity and Access Management as a Service (IDaaS). Elle a évolué vers ce nouveau modèle et Microsoft est toujours leader avec Okta. Centrify est passé du statut de Leader à Visionnaire. On retrouve l’intégration de nouveaux acteurs : Oracle, CA Technologies, IBM, Ping Identity.

Parmi les forces :

• Microsoft a très bien réussi à vendre Azure Active Directory Premium puisqu’il est inclus d’autres offres comme les suites Office 365 ou l’Enterprise Mobility + Security ou Secure Productive Enterprise.
• Microsoft a une présence internationale pour tous ces services et continue à utiliser ces canaux internationaux pour faire grandir l’adoption du service.
• La stratégie de Microsoft démontre une compréhension forte des tendances du marché afin de retravailler son offre qui est souligné par le regroupement des fonctionnalités IAM, EMM, de gestion des droits etc.
• Microsoft dispose d'un ensemble important de services et d'une clientèle très importante. L'entreprise a pu utiliser des données provenant d'une multitude de sources avec les services afin de protéger les actifs en ligne contre les menaces et transformant ces données en composants de service fonctionnel qui donnent aux clients des analyses de menaces et des contrôles d'accès contextuel.

Parmi les faiblesses :

• Les clients peuvent avoir besoin de composants de produits multiples pour apporter des applications non-SaaS sous une gestion commune pour donner aux utilisateurs un tableau de bord unique de leurs applications. Microsoft AD FS, Microsoft Azure AD Application Proxy et les produits de Ping Identity peuvent tous être nécessaires - ce dernier peut être utile pour les applications qui ne peuvent pas supporter facilement les normes de fédération ou la technologie de reverse-proxy.
• Le support de Microsoft est solide pour les utilisateurs qui accèdent aux applications SaaS. Les composants B2C et B2B des offres Azure AD Premium sont relativement immatures et ne sont pas encore destinés aux acheteurs stratégiques à la recherche de fonctionnalités packagées à destination de leurs filiales.
• Le prix du scénario moyen de Microsoft prévu pour ce Quadrant magique était l'un des plus élevés. Les clients de Gartner ont également exprimé des préoccupations au sujet du modèle de prix B2C de Microsoft, qui comprend des composants pour les utilisateurs nommés et des transactions d'authentification, ce qui rend difficile le budget pour le service, à moins que les organisations ne disposent d'estimations fiables pour ces mesures.
• La fonctionnalité d'inscription et de connexion pour utiliser les identités des réseaux sociaux est prise en charge. Lier les identités sociales à une identité établie n'est pas encore disponible au public.

Vous pouvez accéder au rapport sur : https://info.microsoft.com/EMS-AM-MQ-2017.html

Source : https://blogs.technet.microsoft.com/enterprisemobility/2017/06/12/azure-ad-makes-the-leader-quadrant-in-gartners-2017-magic-quadrant-for-access-management/

Microsoft a publié une liste de mises à jour recommandées pour améliorer le processus Windows Update avec Windows Embedded Standard 7 SP1, POSReady7, et ThinPC :

• KB3138612
• KB3172605
• KB3177467

La procédure suivante doit être utilisée :

1. Arrêt du service Windows Update Agent (net stop wuauserv)
2. Installation des KBs
3. Répéter l’opération pour les 3 mises à jour
4. Lancez le processus Windows Update.

Plus d’informations sur : https://blogs.msdn.microsoft.com/windows-embedded/2017/05/24/improve-windows-update-performance-for-new-windows-embedded-image-deployments/

Microsoft s’est associé avec Lookout pour fournir une solution de sécurité visant à détecter les menaces sur les périphériques mobiles. Cette dernière s’intègre à Microsoft Intune pour remonter le niveau de menaces et l’utiliser notamment pour l’accès conditionnel aux ressources de l’entreprise.

Lookout propose une solution prédictive basée sur des patterns. La solution dispose de plus de 100 millions de sondes (comprendre périphériques personnels ou d’entreprise) qui remontent des informations sur les applications, les systèmes, les menaces. Les données remontées sont ensuite traitées via un mécanisme de Big Data et des experts qui analysent ces données. Lookout sépare les attaques en trois grandes catégories :

• Système d’exploitation avec le Jailbreak/Root, les vulnérabilités exploitées du système (Pegasus, Trident, etc.), les fuites de données.
• Application avec les applications malicieuses, à risque, vulnérables et les fuites de données.
• Réseau avec les interceptions de données (Man-In-The-Middle) et les configurations malicieuses.

Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Lookout avec les phases de mise en œuvre et d’exploitation.

Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. Lookout s’intègre à la fois à une configuration Microsoft Intune en mode autonome ou en mode hybride couplé à System Center Configuration Manager.

Préparation du tenant

Lors de la souscription à Lookout Mobile Endpoint Security, la création du tenant nécessitera certaines informations de votre tenant Azure Active Directory. Un tenant Lookout existant ne peut être utilisé pour l’intégration avec Microsoft Intune.

Vous allez devoir fournir au support Lookout les informations suivantes :

• L’identifiant du tenant Azure Active Directory.
• L’identifiant objet du groupe Azure Active Directory qui aura un accès en contrôle total à la console Lookout.
• L’identifiant objet du groupe Azure Active Directory qui aura un accès restreint à la console Lookout.

Le premier élément peut être récupéré dans le portail Azure en naviguant dans Azure Active Directory – Properties. Vous trouverez l’identifiant dans le champ Directory ID :

La création des groupes se fait aussi dans Azure Active Directory – Users and groups. Vous pouvez créer les groupes et y ajouter les membres. Vous pouvez ensuite obtenir l’identifiant de l’objet dans ses propriétés.

Une fois les informations récupérées, vous pouvez les transmettre à Lookout.

Configuration de l’abonnement Lookout

Vous recevrez un email avec le lien suivant : https://aad.lookout.com/les?action=consent

Connectez-vous avec un compte administrateur du tenant Azure AD et autorisez Lookout :

Une fois autorisé, connectez-vous à cette adresse avec un membre du groupe que vous avez créé pour obtenir le contrôle total de Lookout :  https://aad.lookout.com/

Vous ouvrez alors la console d’administration de Lookout :

Naviguez dans System puis Connectors. Faites Add Connector et sélectionnez Intune :

Une fois l’ajout effectué, cliquez sur Create Connector. Spécifiez en autre l’intervalle de connexion en minutes. Ce dernier permet la synchronisation des deux services pour remonter les différentes menaces.

Vous devez ensuite spécifier un groupe Azure Active Directory comprenant les utilisateurs qui pourront s’enregistrer dans le service Lookout. La création du groupe se fait dans le portail Azure en naviguant dans Azure Active Directory – Users and groups.

Une fois le groupe créé, vous pouvez le renseigner dans la console Lookout dans la partie Enrollment Management du connecteur Intune. Une fois que l’utilisateur ouvre l’application, le périphérique devient activé dans Lookout. Cette partie permet aussi de spécifier l’intervalle de vérification pour les nouveaux périphériques en minutes.

Attention : Le nom est sensible à la casse ! Vous devez donc copier le nom directement depuis la console Azure Active Directory. Lookout ne valide pas les groupes avant de sauvegarder, vous devez donc vous assurer que le nom d’affichage est exact. En outre, Lookout ne supporte pas les groupes imbriqués. Il ne doit alors contenir que des utilisateurs.
Note : Vous pouvez ajouter autant de groupes que vous le souhaitez.

La partie State Sync permet d’activer à la fois la synchronisation de l’état du périphérique dans Intune ainsi que l’état des menaces :

La section Managed Devices permet de voir la liste des périphériques gérés avec des problèmes.

Enfin la dernière page Error Management permet de spécifier une adresse email utilisée pour informer si le connecteur renvoie des erreurs :

Vous pouvez vérifier l’état du connecteur et les dernières synchronisation et validation d’état via le nœud Connectors :

Toujours dans Systems, l’onglet Manage Admins permet d’ajouter des administrateurs. L’onglet Enrollment Settings permet de configurer le nombre de jours avant que le périphérique soit marqué comme déconnecté ainsi que la langue utilisée pour les emails de communications :

Configuration de Microsoft Intune

Une fois la partie Lookout correctement configurée, vous pouvez passer à la configuration de Microsoft Intune. Cette dernière se fait pour l’instant toujours dans le nouveau portail. Connectez-vous avec un compte disposant des droits nécessaires et naviguez dans le service Intune puis Device Compliance – Mobile Threat Defense.  Cliquez sur Add pour ajouter le connecteur Lookout for Work. Choisissez ensuite les options de configuration :

• Connect Android 4.1+ devices to Lookout for Work MTD
• Connect iOS 8.0+ devices to Lookout for Work MTD
  
• Block unsupported OS versions pour bloquer les versions plus anciennes non supportées des systèmes
• Définir le nombre de jours avant que le périphérique soit considéré comme non répondant/actif.

Sauvegardez les paramètre puis validez l’état du service et la date de dernière synchronisation.

La configuration est maintenant terminée, nous allons pouvoir passer au déploiement de l’application.

Microsoft vient de mettre à disposition le serveur de rapports On-Premises pour Power BI. Power BI Report Server est disponible au travers de la licence Power BI Premium. Il permet d’offrir plus de capacité aux utilisateurs pour accéder, partager et distribuer le contenu Power BI. Le but notamment de fournir un serveur On-Premises pour héberger les rapports Power BI. Le service est construit sur la technologie SQL Server Reporting Services et inclut par conséquent toutes ses capacités (comme l’exécution de rapports RDL). Outre cette publication, on retrouve le client Power BI Desktop optimisé pour Power BI Report Server.

Télécharger :

• Microsoft Power BI Report Server - June 2017 GA
• Microsoft Power BI Desktop (Optimized for Power BI Report Server - June 2017 GA)

Microsoft vient de publier une nouvelle Community Technical Preview (6.7.30.0) du pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server 2008, 2008 R2, 2012 et 2016. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :

• Ajout d’un nouveau moniteur Availability Database Backup Status dans le groupe de disponibilité pour vérifier l’existence et l’âge des sauvegarde des bases de données (Ce moniteur est désactivé par défaut).
• Le moniteur Database Backup Status a été changé pour retourner uniquement l’état Healthy pour les bases de données qui sont des réplicas Always On puisque les bases de données de disponibilité sont maintenant surveillées par un monteur dédié.
• Correction d’un problème avec la vue Active Alerts qui n’affiche pas toutes les alertes.
• Correction d’un problème où les scripts PowerShell échouent avec l’erreur "Cannot process argument because the value of argument 'obj' is null".
• Correction d’un problème avec la description d’alerte pour les moniteurs "Disk Ready Latency" et "Disk Write Latency" affichent le nombre d’échantillions des valeurs de performance qui ont été mesurées.
• Correction d’un problème avec les informations d’emplacement de fichiers différents de "sys.master_files" et "sysfiles" causent des erreurs quand les fichiers de base de données secondaire des groupes de disponibilités sont dans des chemins différents.
• Correction d’un problème avec les règles "DB Transaction Log Free Space Total" renvoie de mauvaises données.
• Introduction de mises à jour mineures pour mettre à jour des chaines d’affichage.
• Moniteur Garbage Collection déprécié et les règles de performance appropriées. (SQL 2014/2016)
• La découverte Resource Pool est désactivée par défaut pour les pools qui ne contiennent pas de base de données avec les tables Memory-Optimized. (SQL 2014/2016)
• Le moniteur XTP Configuration supporte maintenant différents types de chemin (pas seulement C :, D :) (SQL 2014/2016)
• Correction d’un problème avec la vue "Resource Pool State" qui montre incorrectement des objets. (SQL 2014/2016)

Télécharger Microsoft System Center Management Packs (Community Technology Preview) for SQL Server

L’équipe Intune a publié un billet pour donner des éléments pour savoir si son compte Microsoft Intune a été migré. En effet lorsque vous vous connectez à la console Intune Silverlight, vous voyez apparaître un bandeau Preview the new Intune portal in Azure.

De plus en naviguant dans Groups – Groups, vous voyez apparaître une mention Intune groups are now managed as groups in Azure Active Directory.

Plus d’informations sur : https://blogs.technet.microsoft.com/intunesupport/2017/05/24/how-to-tell-if-your-intune-account-has-been-migrated/

Microsoft vient d’annoncer que la console d’administration Microsoft Intune intégrée dans le portail Azure passait en disponibilité générale. L’équipe travaille dessus depuis l’an dernier afin d’offrir une nouvelle expérience d’administration qui ne nécessite plus le composant Silverlight. Outre ces changements d’expérience pour l’administrateur, c’est l’ensemble du backend du service qui a été migré dans Azure afin d’offrir de meilleures performances et une augmentation des limitations. Plus généralement, Microsoft offre de nombreuses nouveautés et fonctionnalités comme l’automatisation via l’API Microsoft Graph, du reporting, de la délégation avec RBAC, etc.

Pour pouvoir bénéficier de cette expérience, vous devez avoir migré votre ancien tenant vers cette nouvelle plateforme. Pour ce faire, vous devez ne pas avoir rencontré de point bloquant. Pour vérifier si votre tenant a été migré, vous pouvez utiliser l’article : How to Tell if Your Intune Account Has Been Migrated

Si votre tenant n’a pas été migré, vous rencontrez surement un point bloquant. Pour ce faire, vous devez suivre l’un des liens suivants :

• Dépanner les blocages de la migration vers Azure
• http://aka.ms/intunemigrationblockers

C’est aussi la disponibilité générale de la console d’administration de l’accès conditionnel qui lui aussi a été intégré au portail Azure dans la partie Azure Active Directory. Notez aussi que Microsoft Teams peut maintenant être intégré à l’accès conditionnel.

Source : https://blogs.technet.microsoft.com/enterprisemobility/2017/06/08/the-new-intune-and-conditional-access-admin-consoles-are-ga/

Gartner vient de publier le résultat de l’étude 2017 sur l’Enterprise Mobility Management (EMM). Microsoft est positionné comme visionnaire démontrant que la direction prise est la bonne. Plusieurs éléments sont évalués : Les capacités sur la partie MDM, MAM, Identité Mobile, Gestion du contenu Mobile, et l’encapsulation. Microsoft a montré en moins d’un an des actions positives autour de l’Enterprise Mobility + Security (EMS), Office 365, les applications Office, Azure Information Protection, Azure Active Directory etc. Gartner souligne le travail fait par Microsoft pour migrer sa plateforme sur Azure avec tous les bénéfices associés (Interface, API, nouvelles fonctionnalités, etc.)

Parmi les forces :

• L’intégration avec Office 365 et notamment les applications mobiles que seul Microsoft peut gérer au travers de paramétrages de prévention pour la perte de données.
• Le prix attractif de la solution pour les entreprises de plus de 250 utilisateurs qui ont notamment un contrat d’entreprise (EA) Microsoft.
• L’intégration forte avec Azure AD, et les solutions Advanced Threat Protection permettant de donner des éléments de sécurité et de télémétrie.

Parmi les faiblesses :

• Les entreprises explique qu’il est parfois difficile de faire la configuration initiale et qu’il est recommandé d’utiliser le support FastTrack.
• Les entreprises qui ont investi dans des produits IAM tiers doivent savoir qu’Intune ne fournit une intégration qu’avec Azure AD comme produit d’IAM.
• Intune est disponible uniquement en service Cloud et n’offre pas de gateway On-Premises et hybride. Bien qu’il y ait un mode hybride avec ConfigMgr, les entreprises qui nécessitent une gestion locale devront se tourner vers d’autres solutions.

Vous pouvez accéder au rapport sur : https://info.microsoft.com/EMS-EMM-MQ-2017.html

Microsoft vient de proposer la version 2 en Preview de son outil qui permet d’importer/exporter des services Microsoft Azure. Il permet :

• Avant d’importer, vous pouvez utiliser l’outil pour copier des données sur les disques durs que vous allez délivrer au Datacenter Microsoft Azure.
• Après que l’import ait eu lieu, vous pouvez utiliser l’outil pour réparer les blobs qui sont corrompus, manquants, ou en conflits avec d’autres blob.
• Après avoir reçu le disque, vous pouvez utiliser l’outil pour réparer des fichiers corrompus ou manquant sur le disque.

Télécharger Download Microsoft Azure Import/Export tool V2

En octobre dernier, Microsoft présentait son nouveau modèle de mise à jour pour les systèmes antérieurs à Windows 10 (Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012, et Windows Server 2012 R2). Ce modèle a été adaptée au fil du temps mais quand est-il des systèmes de la branche Windows Embedded ? Pour y répondre, Microsoft a publié un billet répondant aux principales questions.

Comment les machines Windows Embedded hors ligne peuvent-elles accéder ou télécharger des correctifs cumulatifs mensuels ?
De la même manière qu’ils consomment des mises à jour hors ligne aujourd'hui. La seule différence est qu'ils n'ont qu'à télécharger une mise à jour au lieu d’un grand nombre.

Comment les machines Wndows Embedded hors ligne (souvent critiques) seront-elles traitées si un Correctif cumulatif mensuel entraîne un problème ?
Microsoft s’attend à ce que les scénarios MUC hors ligne aient des tests avancés en interne avant d'être diffusés sur les périphériques. En tant que tel, nous ne prévoyons pas de situations où un retour arrière est nécessaire si des contrôles de compatibilité ont déjà été effectués sur les systèmes de test. Si un Correctif cumulatif mensuel entraîne un problème, le client devra signaler le problème à CSS. Si un correctif est émis, il serait inclus dans la prochaine mise à jour pertinente.

Comment les machines avec des limitations de taille peuvent-elles télécharger des Correctifs cumulatifs mensuels ?
Microsoft comprend que certaines machines ont des limitations de taille. Bien que la mise à jour de sécurité uniquement ou le Correctifs cumulatifs mensuel soient nécessaires pour être couvert pour les correctifs de sécurité essentielles pour un mois donné, Microsoft recommande d'installer le Correctifs cumulatifs mensuel car chaque mise à jour ne téléchargera que les nouvelles corrections delta (pour les clients utilisant Windows Update ou WSUS avec Le support «fichiers d'installation express» est activé). De plus, avec de nouveaux Correctifs cumulatifs mensuels qui remplacent ceux des mois précédents, le nettoyage du disque supprime les anciens Correctifs cumulatifs mensuels installés et remplacés après un certain temps (voir ci-dessous Questions pour plus de détails). En comparaison, les mises à jour de sécurité seulement (qui ne sont pas remplacées par la mise à jour ultérieure de sécurité seulement) continueront à résider sur le disque et ne seront pas remplacées si des binaires sont dans plusieurs mises à jour, ce qui consomme plus d'espace dans le temps. Veuillez noter que l'élimination des mises à jour remplacées se produit automatiquement sur des versions Windows égales ou plus récentes que Windows 8. Pour Windows 7, l'utilisateur peut appliquer le planificateur de tâches pour créer une tâche récurrente pour exécuter l'outil de nettoyage de disque.

Plus d’informations sur l’article suivant : Windows Embedded OS Down-Level Servicing Model FAQ