Actus : Devices – Mai 2017

Actus Devices

Mai 2017 

Au sommaire :

• La sortie de la version 1703 de Windows 10

• Windows 10 S et Surface Laptop

• Les blocages d’updates de Microsoft

• La sortie de l’ADK 1703

• Les nouvelles possibilités fournies par SCCM 1702 pour la gestion des devices

• Et la découverte d’un outil de gestion des Drivers et Firmware

 

                 Windows 10 Creators Update 1703

Windows 10 Creators Update a été libéré en version CB. Nous entrons donc dans la phase Pilotes de son déploiement. Dans le même temps la version 1507 vient de perdre son support.

Voici la liste des nouveautés à destination des entreprises :

• Cortana peut être configurée avec un compte Azure Active Directory.
• Plus de détail concernant le mode de télémétrie
  • Basic : https://docs.microsoft.com/fr-fr/windows/configuration/basic-level-windows-diagnostic-events-and-fields
  • Complet : https://docs.microsoft.com/fr-fr/windows/configuration/windows-diagnostic-data
• WICD (Windows Imaging and Configuration Designer) change de nom et devient Windows Configuration Designer, quitte l’ADK et se retrouve dans le store : https://www.microsoft.com/store/apps/9nblggh4tx22
  • Intègre maintenant de nouveaux assistants pour par exemple Surface Hub, Hololens …
  • Permet de faire des enregistrements en masse dans Azure Active Directory
  • Permet de supprimer les logiciels préinstallés de type OEM (CleanPC)
• Convertir un disque de MBR à GPT pour une bascule en UEFI avec l’outil MBR2GPT.exe : https://docs.microsoft.com/fr-fr/windows/deployment/mbr-to-gpt
• Windows Update for Business :
  • Mises à jour de qualité peuvent être décalées de 35 jours
  • Mises à jour de fonctionnalités (Build) peuvent être décalées de 365 jours
  • La fonctionnalité Pause requiert une date de démarrage.
• Windows Insider for Business. Un compte Azure Active Directory est utilisable pour s’enregistrer et recevoir des Build Insider.
• Express Updates (reduction de la taille des Updates) est maintenant pleinement supporté par le couple Windows 10 1703 et SCCM 1702. https://docs.microsoft.com/fr-fr/windows/deployment/update/waas-optimize-windows-10-updates
• Les applications par défaut supprimer par les administrateurs ne seront plus réinstallé lors des prochaines Build.
• Delivery Optimisation permet de mettre des restrictions supplémentaires : https://docs.microsoft.com/fr-fr/windows/deployment/update/waas-delivery-optimization
  • Autoriser l’upload si le niveau de batterie est suffisant
  • Activer le Peer Caching alors que le périphérique utilise un VPN
  • Configurer la mémoire RAM minimum autorisée pour utiliser le caching
  • Configurer la taille de disque minimum autorisé pour utiliser le caching
  • La taille de fichiers du contenu minimum de peer caching
• Nouveaux paramètres de GPO compatible MDM :
  • Turn off the Windows Spotlight on Action Center
  • Do not use diagnostic data for tailored experiences
  • Turn off the Windows Welcome Experience
• Sous Windows 10 Pro possibilité comme sur la version Enterprise de configurer l’écran de démarrage et la barre de tâche.
• Barre de tache configurable via le MDM : https://docs.microsoft.com/fr-fr/windows/configuration/customize-windows-10-start-screens-by-using-mobile-device-management
• Nouvelles capacités de gestion de périphériques mobiles via des CSP (Configuration Service Providers) :
  • CSP DynamicManagement permet de gérer des périphériques en fonction de son emplacement, réseau ou de l’heure.
  • CSP BitLocker permet de gérer le chiffrement des périphériques.
  • CSP NetworkProxy permet de configurer le serveur proxy pour les connexion Ethernet et Wi-Fi. 
  • CSP Office permet à un client Office de s’installer sur un périphérique via les outils de déploiement Office. 
  • CSP EnterpriseAppVManagement est utilisé pour gérer les applications virtuelles dans Windows 10 Enterprise et Education. 
• MDM Migration Analysis Tool (MMAT) : détermine les stratégies de groupes configurées sur une machine qui peuvent être recrée via des stratégies MDM.
• Nouvelles cmdlets PowerShell : New-AppVSequencerVM et Connect-AppvSequencerVM qui permettent de créer des environnements de séquençage App-V en provisionnant une machine virtuelle.
• Windows Defender change de nom et devient Windows Defender Antivirus :
  • Il est maintenant possible de spécifier le niveau de la protection Cloud.
  • Intégration dans Windows Defender Security Center.
  • Mise à jour de la supervision comportemental et protection en temps-réel Always-On.
• Windows Defender Advanced Threat Protection (ATP)  :
  • Détection :
    • Utilisation de l’API Threat Intelligence pour créer des alertes personnalisées.
    • Amélioration des capteurs de mémoire système et kernel pour permettre la détection des attaquants quand ils utilisent des attaques au niveau du kernel et de la mémoire.
    • Mise à jour des détections pour les ransomware et autres attaques avancées.
    • Historique de détection qui permet de s’assurer que les nouvelles règles de détections ‘applique sur les données collectées pendant les 6 derniers mois.
  • Investigation
    • Intégration des détections Antivirus Windows Defender et des blocages Device Guard dans le portail ATP.
    • Amélioration des investigations : identification des comptes utilisateurs, investigation des potentiels compromissions.
    • Utilisation de l’API REST pour récupérer des alertes depuis Windows Defender ATP.
  • Réponse
    • Possibilité de lancer une action sur un device.
    • Possibilité de lancer une action sur un fichier en le stoppant ou en le mettant en quarantaine.
  • Vérification des capteurs d’état de santé pour récupérer les données.
• Nouveaux prérequis de sécurité pour Device Guard.
• Nouveaux prérequis de sécurité pour Credential Guard.
• Nouvelle option de sécurité par GPO : Interactive logon : Don’t display username at sign-in qui permet de déterminer si le nom d’utilisateur doit être affiché lors de la connexion.
• Paramétrage Interactive logon : Display user information when the session is locked. Ce paramètre fonctionne avec le paramètre de vie privée.
• Windows Hello for Business permet de réinitialiser un code PIN oublié sans avoir à supprimer les données et les applications gérées par l’entreprise.

Et toutes les infos : https://docs.microsoft.com/fr-fr/windows/whats-new/whats-new-windows-10-version-1703

 

              Windows 10 S

Microsoft a annoncé la sortie de Windows 10 S le 3 mai. Cette nouvelle version de l’OS est une version professionnelle rationnalisée pour plus de sécurité et de performance. Microsoft vise directement le marché de l’éducation actuellement possédé aux Etats Unis par l’OS de Google. Voici un tableau de comparaison entre les versions de Windows 10 :

Un lien pour en savoir plus : https://www.microsoft.com/fr-fr/windows/windows-10-s

 

                           Surface Laptop

Même si de nombreux constructeurs ont annoncé leurs devices équipé de Windows 10 S dans la suite de la conférence. Microsoft propose sont propre laptop dans la gamme Surface.

Il s’agit d’un ordinateur portable de 13.5 pouces conçu pour Windows 10 S. Il vise directement d’après le chef de produit les étudiant s’apprêtant à quitter le système scolaire. Comme sur certains covers de Surface Pro 4, l’alcantara recouvre son clavier rétroéclairé. Il dispose aussi d’un écran tactile LCD de 3.4 millions de pixel et pourra embarquer du Core I5 et I7.

Les prix vont de 1148 euro pour le Core I5, 4 go de Ram et 128 Go de SSD à 2499 euro pour le Core I7, 16 go de Ram et 512 Go de SSD. Les précommandes sont ouvertes sur le store Microsoft :   https://www.microsoft.com/fr-fr/store/d/surface-laptop/90FC23DV6SNZ/3GWH?icid=FR_Homepage_Hero_Surface-Laptop_5.2.17

Pour en savoir plus : https://www.microsoft.com/fr-fr/surface/devices/surface-laptop/overview 

 

            Blocage des Updates sur Windows 7 et 8.1

Il y a un an (en janvier 2016), Microsoft avait annoncé que le support de Windows 7 et Windows 8.1 prendrait fin à compter de juillet 2017 pour les PC est équipés d’un processeur x86 de dernière génération (Intel Core 6th Gen Skylake et Amd Bristol Ridge). Il n’y aurait donc plus de mises à jour pour ces configurations et seuls les anciennes versions de CPU continueraient à obtenir des patchs pour Windows 7 et 8.1.

Microsoft avait finalement renoncé à cette mesure deux mois plus tard à cause des levés de boucliers du monde informatique. Le support allait de nouveau jusqu’aux dates initiales soit le 14/01/2020 pour Windows 7 et le 10/01/2023 pour Windows 8.1.

Mais un an plus tard, Microsoft revient sur ce sujet et annonce que le support des systèmes Windows 7 et 8.1 va prendre fin avec les tous derniers processeurs (7éme génération). La plateforme Intel Skylake ne fait pas partie de ce plan et continuera donc à recevoir des patchs.

Microsoft s’attaque à la septième génération de CPU Intel (KabyLake) qui ne possède déjà pas de drivers officiels pour Windows 7 et 8.1. (L’installation de Windows 7 sur cette génération de processeur est de toute manière extrêmement compliquée)

Les CPU Amd Bristol Ridge, eux par contre verront également la diffusion des patchs Windows 7/8.1 bloquée. Il en est de même pour les générations supérieures (Ryzen) ou pour les SoC ARM Qualcomm Snapdragon 820 (MSM8996) pour les tablettes et smartphones.

Lorsque l’un de ces processeurs sera détectée, Windows Update affichera les messages d’erreur ci-dessous :

Matériel non pris en charge

Votre PC utilise un processeur qui n’est pas pris en charge sur cette version de Windows et vous ne recevrez pas de mises à jour.

Windows n’a pas pu rechercher les nouvelles mises à jour

Une erreur s’est produite lors de la recherche de mises à jour pour votre ordinateur.

Erreurs détectées :

Code 80240037 Windows Update a rencontré une erreur inconnue.

 

Microsoft avait annoncé l’an dernier, avant de revenir en arrière, que le blocage prendrait effet le 17 juillet 2017, mais les previews des prochaines mises à jour mensuelles cumulatives d’avril 2017 contiennent déjà la possibilité pour Windows Update de détecter la génération du processeur. Ce n’est peut-être que le préparatif, un test avant son utilisation ou bien Microsoft a décidé d’accélérer.

Il existe déjà des moyens de contourner les problèmes. Mais attention, le risque est grand car Microsoft ne testera plus ses mises à jour sur ce type de processeur, sans compter qu’il vous faudra refaire la manipulation pratiquement à chaque Patch Tuesday.

 

                L’ADK 1703 

Microsoft a mis à disposition la version de son ADK pour la version Creators Update de Windows 10.

Le Kit de déploiement et d’évaluation (ADK) contient tous les outils pour déployer Windows 10 dans une entreprise. Vous devez normalement suivre son évolution pour installer correctement la dernière Build de Windows 10. Mais pas cette fois.

En effet, cette version est actuellement soumise à plusieurs problèmes non encore résolu par l’éditeur.

• Un pilote n’est pas signé et Secure Boot et Windows 10 en bloque l’installation.

• Si vous utilisez App-V, le séquenceur n’est pas proposé lors de l’installation. Il vous faut alors télécharger toutes les sources, et rechercher ensuite à la main le séquenceur pour l’executer.

 

Mais qu’apporte cette nouvelle version :

• Disparition de WICD au profit d’une application Store.
• Deux nouveaux paramètres : https://msdn.microsoft.com/en-us/windows/hardware/commercialize/customize/desktop/unattend/changed-answer-file-settings-for-windows-10-build-1703
• De nouveaux CSP : https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/new-in-windows-mdm-enrollment-management#whatsnew_1703

Vous pouvez suivre la résolution du problème de cet ADK sur le blog de Microsoft : https://blogs.technet.microsoft.com/configurationmgr/2017/04/14/known-issue-with-the-windows-adk-for-windows-10-version-1703/

 

                  SCCM 1702

Au mois de Mars, SCCM CB est passé en version 1702. Celle-ci apporte quelques nouveautés concernant la gestion de vos devices :

• Support complet de Windows 10 1703 (Creators Update).
• Support de la fonctionnalité d’Express Files Update pour les mises à jour cumulatives Windows 10 (A partir de Windows 10 1607 avec KB3213986). Le but est de permettre aux clients ne télécharger que les binaires dont ils ont besoin pour mettre à jour Windows. Ceci permet d’optimiser l’usage de la bande passante et l’espace disque.
• Les applications Windows Store for Business disponibles en ligne sous licence peuvent être déployées sur des clients gérés de manière traditionnel. (Windows 10 1703)
• Synchronisation et déploiement des applications métiers depuis le Windows Store for Business.
• Support de plus d’applications dans les séquences de tâche (99) par l’étape Install Application
• Timeout configurable pour l’étape Auto Apply Driver.
• Personnalisation des avertissements du Software Center pour permettre de configurer des séquences de tâches à haut risqué de manière à personnaliser les avertissements que l’utilisateur voit lors de l’installation.
• Amélioration de la conversion du BIOS\UEFI. Une nouvelle variable TSUEFIDrive apparait afin que la tâche Restart Computer prépare le disque pour une transition vers UEFI.
• Simplification du déploiement et de la gestion de Device Guard en permettant la création de stratégie. En préversion.
• Nouvelle notification pour Windows 10 qui informe l’utilisateur qu’il doit procéder à des opérations supplémentaires pour compléter la configuration du code PIN pour Windows Hello for Business.
• Intégration de mécanismes qui permettent de faciliter le déploiement du client Office 365 :
  • Configuration des paramétrages d’installation.
  • Téléchargement des fichiers sur l’Office Content Delivery Network
  • Création automatique de l’application

Plus d’infos : https://docs.microsoft.com/fr-fr/sccm/core/plan-design/changes/whats-new-in-version-1702

 

          Gérer ses drivers avec un outil

Ce script Powershell génère une interface graphique PowerShell pour automatiser les processus de téléchargement, l’extraction et l’importation des packages de pilotes (SCCM et MDT) pour cinq fournisseurs : HP, Dell, Acer, Microsoft et Lenovo.

L’outil écrit par Maurice Daly (MVP) automatise les processus suivants :

• Contenu des requêtes XML pour Dell, Lenovo et HP
• Téléchargements des pilotes
• Téléchargements des BIOS pour Dell uniquement
• Création d’un script PowerShell pour la mise à jour du BIOS
• Création d’un package de mise à jour du BIOS
• Téléchargement des CAB de Drivers pour chaque modèle
• Extraction du CAB de pilote
• Importation des pilotes dans le dossier CAB extrait
• Création d’une catégorie basée sur le modèle de la machine
• Création d’un package de pilote basé sur le modèle de la machine et le nom
• Importation des pilotes associés dans le nouveau package de pilotes
• Création packages standard ou pilote pour vos déploiements sous SCCM
• Nettoyage des Pilotes inutilisés – Supprime les pilotes non associés à un package de pilote dans votre environnement SCCM
• Retirer les packages de pilotes – Enlève les packages de pilotes qui ont été remplacées par une version plus récente

Remarque : Soyez prudent lorsque vous utilisez les deux dernières options, car elles auront un impact sur vos séquences de tâches.

Le script peut être exécuté avec SCCM, MDT ou comme un utilitaire de téléchargement de pilote autonome. La liste de modèles est obtenue à partir des flux XML des fournisseurs.

Pour le télécharger : https://gallery.technet.microsoft.com/scriptcenter/Driver-Tool-Automate-9ddcc010

 

Vos contacts Devices chez Infeeny :

Franck Le Follotec
Enterprise WorkPlace Experience
Practice Director

Damien Sobczak
Enterprise WorkPlace Experience
Practice Manager End-User

Hervé Thibault
Enterprise WorkPlace Experience
Consultant Senior
Microsoft Regional Director

Jean-Yves Trarbach
Enterprise WorkPlace Experience  
Référent End-User
MVP Windows & devices for IT

Pour nous contacter : contact@infeeny.com