Le blog technique

Toutes les astuces #tech des collaborateurs de PI Services.

#openblogPI

Voir tous les articles

Retrouvez les articles à la une

Defender Security Center – Collecte d’un package de diagnostique

par | 17 Mar 2021 | ,

Pour rappel, Defender Security Center représente la brique et le portail dédié associé a Defender for Endpoint, et représente l’offre SAS de Microsoft dans le domaine des EDR (Endpoint Detection and Response), encore appelé antivirus de nouvelle génération.

Dans le cadre de l’exploitation des données remontées par la solution, il peut être utile de collecter des données de diagnostique sans avoir a se connecter sur la machine cible.

1

Dans le portail Security Center, dans la zone Device Inventory, cliquer sur le device cible pour ouvrir la page du device.

2

Cliquer sur 3 et sélectionner Collect investigation package. La demande est initiée.

4

Apres quelques minutes, dans le même menu, sélectionner Action Center pour afficher la disponibilité du package

5

Cliquer sur le lien Package collection package available pour télécharger le package.

6

Le package contiens différents éléments:

7

– Programmes installés

– Diagnostiques réseaux (8)

– Une liste un dump du contenu du dossier Windows\Prefetch (9cf: Prefetcher — Wikipédia (wikipedia.org))

– Le détail des processes en cours

– les taches planifiées

– un export de l’eventlog Security

– Le détails des services

– les session SMB

– les infos du systeme (systeminfo.exe)

– les listes de contenu de differents dossier Temporaires

– Les users et groupes locaux

– La collecte de diagnostiques générée avec l’outil mpcmdrun.exe  (cf: Utiliser la ligne de commande pour gérer l’Antivirus Microsoft Defender – Windows security | Microsoft DocsCollecter des données de diagnostic de l’Antivirus Microsoft Defender – Windows security | Microsoft Docs)

O365 : Soft Match (SMTP) et Hard Match (ImmutableID)

par | 2 Mar 2021 | , ,

Lorsque l’on utilise Active Direcotry et Azure Active Directory, il se peut que l’on soit confronter à des conflits car l’utilisateur existe déjà dans les deux environnements (selon divers scénarios).

Quand il s’agit bien du même utilisateur (et non pas un homonyme) il est important  de créer un « matching » entre les deux comptes pour que l’AD Connect puisse les voir comme un seul et même compte et les synchroniser.

Pour ce faire il existe deux méthodes:

  1. Le Soft Match appelé aussi SMTP Matching
  2. Et le Hard Match (basé sur l’ImmutableID)

Le Soft Match

Le soft match appelé aussi « smpt matching » consiste à s’appuyer sur l’adresse SMTP de l’utilisateur pour faire l’association entre les deux comptes.

Ce dernier est censé fonctionner dans la plupart des cas, mais pour cela il y a quelques conditions à respecter. 

  1. L’utilisateur doit posseder une adresse email sur Microsoft Exchange Online.
    1. s’il s’agit d’un contact ou d’un groupe à extension de messagerie le soft match sera basé sur l’attribt « proxyaddresses »
  2. Vous ne devrez pas modifier l’adresse SMTP principale de l’utilisateur durant l’opération.
  3. Les adresses SMTP sont considérées comme unique assurez vous que seul cet utilisateur possède cette adresse.

Le Hard Match

Le hard match entre en action lorsque le soft match n’a pas réussi, ce dernier consiste à récupérer le GUID du compte Active Directory pour le transformer en ImmutableID et enfin l’appliquer au compte Azure Active Directory.

Cette opération permettera de faire la liaison entre les deux comptes pour n’en faire qu’un synchronisé.

MECM (SCCM) : Remettre à zéro l’indicateur d’installation

par | 27 Fév 2021 | ,

Une des bonne pratiques SCCM est d’activer la tâche de maintenance « Remettre à zéro l’indicateur d’installation ».

Cette tâche permet d’effacer les indicateurs d’installation lorsque la découverte par pulsations d’inventaire ne découvre aucun client au cours de la période de redécouverte.

L’avantage d’avoir activé cette tâche de maintenance est de garder les indicateurs d’installation des agents MECM à jour et de détecter les agents qui ne sont plus en bonne santé et les réinstaller.

Pour activer cette tâche, sur la console MECM, cliquer sur Administration > Configuration de site > Sites > Cliquer sur le site primaire puis sur Maintenance de site.

Chercher la tâche avec le nom « Remettre à zéro l’indicateur d’installation » et cliquer sur activer. il est possible également de définir la planification pour contrôler la fréquence d’exécution de la tâche.

Dans la capture d’écran ci-dessus, la tâche de maintenance a été activée pour détecter les agents qui n’ont pas contacté le site primaire MECM depuis 40 jours par pulsation d’inventaire, si c’est le cas, l’indicateur d’installation passera de « Oui » à « Non ».

– Si l’agent n’existe plus, l’indicateur reste « Non » jusqu’au nettoyage des objets obsolètes

– Si l’agent existe toujours mais était déconnectée pendant plus de 40 jours, à la prochaine connexion l’indicateur passera à « Oui »

– Si l’agent existe toujours mais ne communique pas avec MECM car il n’est plus en bonne santé, il sera réinstallé puisque l’indicateur d’installation est passé à « Non » mais la machine est connectée pour recevoir un nouveau push du client

 

Derniers articles

Catégories

Archives

Auteurs/Autrices