L’équipe du support Microsoft Intune vient de publier un billet pour un problème connu concernant les périphériques macOS 10.15.4. Il semble que ces derniers, constatent des messages d'invite ou à des blocages d'accès inattendus à des applications telles que le client mail natif.

Vous êtes dans ce scénario :

• Le périphérique macOS a été enregistré dans Intune
• Il y a une stratégie d'accès conditionnel exigeant un périphérique conforme.

En travaillant avec Apple, Microsoft a découvert que la mise à jour vers macOS 10.15.4 exposait un bug dans l'authentification pour plusieurs applications dont Mail et Calendar.

Microsoft et Apple travaillent sur une résolution.

Source

Bon nombre de clients utilisent toujours Microsoft BitLocker Administration and Monitoring (MBAM) pour gérer le chiffrement BitLocker sur els machines en attendant une migration vers le Cloud ou l’utilisation de System Center Configuration Manager (SCCM). Microsoft a repoussé la date de fin de support étendu au 14 Avril 2026.

Beaucoup de clients vont continuer d’utiliser MBAM en mode autonome. Microsoft a alors publié une procédure permettant de :

• Désactiver TLS 1.0 et 1.1 sur les serveurs MBAM
• Forcer TLS 1.2 sur les serveurs MBAM

Vous devez

1. Installer .NET Framework 4.8
2. Exécuter des scripts PowerShell de configuration

Plus d’informations sur : Steps to disable the TLS 1.0 and 1.1 on the MBAM Servers and force the use of TLS 1.2

Le 7 Avril 2020, Microsoft a tenu un Webinar sur le l’audit avancé proposé au travers de Microsoft 365. La solution donne une visibilité sur de nombreux types d'activités auditées dans de nombreux services différents de Microsoft 365.

Vous pouvez revoir le Webinar

Le 15 Avril 2020, Microsoft a tenu un Webinar sur le Compliance Score proposé au travers du centre de conformité de Microsoft 365. La solution calcule un score basé sur le risque mesurant vos progrès dans la réalisation des actions qui contribuent à réduire les risques autour de la protection des données et des normes réglementaires.

Vous pouvez revoir le Webinar

Microsoft vient de publier une mise à jour (1.5.29.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

Elle corrige un problème où les administrateurs du tenant soumis à l’authentification multi facteurs (MFA) ne pouvaient pas activer Directory Seamless Single Sign-On (DSSO).

En temps une version 1.5.22.0 a aussi été publié pour corriger un problème si vous avez cloné la règle In from AD - Group Join sans avoir cloné In from AD - Group Common.

Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#15290

Télécharger Microsoft Azure Active Directory Connect

Microsoft a annoncé que la prochaine version du client Unified Labeling d’Azure Information Protection ne supporterait que TLS 1.2 ou ultérieur. Les entreprises qui n’ont pas la configuration adéquate, ne pourront utiliser les stratégies, les tokens, l’audit ou la protection d’Azure Information Protection.

Ce changement est prévu pour Juin 2020.

Microsoft s’apprête à tenir un Webinar sur le télétravail et la protection des données avec Information Protection. Ceci inclut : Microsoft Information Protection, Azure Information Protection, Data Loss Prevention d’Office 365, etc. Il aura lieu le 27 Avril 2020 de 18h à 19h30 (heure française)

L’agenda est le suivant :

• Limiter les expériences de Teams pour les invités et les personnes extérieures à l’organisation - comment les entreprises peuvent utiliser les labels de confidentialité pour protéger le contenu des Teams, des groupes Office 365 et des sites SharePoint Online.
• Appliquer la prévention des pertes de données dans Teams
• Appliquer des labels de confidentialité pour protéger les données sensibles
• Réduire le risque interne grâce à Insider Risk Management, à Communications Compliance, et à Information Barriers
• Permettre des stratégies de rétention simples
• Questions et réponses

Pour ajouter le rendez-vous à votre calendrier

Pour rejoindre le Webinar

Après quelques semaines, vous vous demandez peut-être si vous pouvez déployer Microsoft Endpoint Manager Configuration Manager 2002 (SCCM) dans sa version Early Wave. Microsoft propose un résumé des principaux problèmes et pour la version 2002, il existe un problème où une séquence de tâches ne peut s’exécuter sur une machine qui communique avec la Cloud Management Gateway (CMG).

Ceci survient dans les scénarios suivants :

• Vous configurez le site pour fonctionner en mode Enhanced HTTP et le Management Point est configuré pour fonctionner en HTTP. Microsoft recommande de configurer le Management Point en HTTPS.
• Vous avez installé et enregistré le client avec un token d’enregistrement en masse pour l’authentification. Pour résoudre ce problème, vous pouvez utiliser une des méthodes suivantes :
  • Pré-enregistrer le périphérique sur le réseau interne
  • Configurer le périphérique avec un certificat d’authentification client
  • Joindre la machine à Azure AD

Le scénario numéro 1 est celui que vous avez le plus de chance de rencontrer. Dans ce cas, vous pouvez attendre un correctif sur la version finale 2002.

Source : Release notes for Configuration Manager

Il semble qu’un problème touche System Center Configuration Manager 1902, 1906, 1910, 2002 où vous utilisez une Cloud Management Gateway (CMG) pour gérer des clients Intranet. Vous êtes dans le scénario suivant :

• Le client est sur le réseau Interne ou connecté via un VPN.
• Le client est géré via une Cloud Management Gateway en lieu et place d’un Management Point comme défini dans les Boundary Groups.
• L’authentification utilisée se fait via le token Azure AD (pas de PKI)

Le fichier SCClient affiche des erreurs comme suit :

Using endpoint Url: https://*********.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72057594037927951:443/CMUserService_WindowsAuth, Windows authentication (Microsoft.SoftwareCenter.Client.Data.ACDataSource+<>c at <RefreshLocalSettingsAsync>b__16_0)

GetApplicationsAsync: The HTTP request was forbidden with client authentication scheme 'Negotiate'.. Unable to fetch user categories, unknown communication problem.      (Microsoft.SoftwareCenter.Client.ViewModels.SoftwareListViewModel+<LoadAppCatalogApplicationsAsync>d__164 at MoveNext)

Il semble qu’un client n’utilise pas l’authentification Azure AD comme cela est prévu pour parler à la CMG lorsqu’il est en mode Intranet. La solution de contournement revient à spécifier un Management Point dans les Boundary Groups (du VPN ou du site distant) en lieu et place d’une éventuelle CMG.

Note : Ceci n'affecte pas la gestion des clients Internet via un CMG

Source

En décembre dernier, Microsoft a publié les bonnes pratiques et paramétrages recommandés pour Exchange Online Protection (EOP) ainsi qu’Office 365 Advanced Threat Protection (ATP). Au travers d’un article, Microsoft recommande deux niveaux de sécurité : Standard et Strict. Le sujet couvre :

• La protection anti-spam d’Exchange Online Protection,
• La protection anti-malware d’Exchange Online Protection,
• La protection anti-phishing d’Exchange Online Protection,
• Les strategies anti-phishing d’Office ATP
• Les paramétrages Safe Links
• Les paramétrages Safe Attachments

En outre, Microsoft a publié un module PowerShell permettant d’évaluer voter configuration : Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA)
Vous pouvez l’installer via la commande : Install-Module -Name ORCA

Ensuite :

• Connectez-vous à Exchange Online avec les commandes :

$credential = Get-Credential

$exosession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid -Credential $credential -Authentication Basic –AllowRedirection

Import-PSSession $exosession

• Puis exécutez la commande : Get-ORCAReport

Cela donne un résultat comme suit et vous explique comment remédier les différentes règles selon les recommandations :

Lire Recommended settings for EOP and Office 365 ATP security

Microsoft vient de finaliser la version 1.2020.402.0 de son outil de packaging (MSIX Packing Tool). Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Cette version apporte les éléments suivants :

• Le paramètre "Package Integrity" est activé par défaut
• Possibilité d'ajouter automatiquement le support MSIX Core à un MSIX
• Possibilité d'importer ou d'exporter des fichiers de registre (.reg) dans l'éditeur de paquets
• La page "Create package" affiche maintenant l'emplacement de sauvegarde par défaut.
• Ajout de l'extension InstalledLocationVirtualization
• Amélioration de la qualité des icônes extraites
• Amélioration de l'extraction des icônes à partir des raccourcis
• Validation du format du manifest après édition
• Faire passer un message plus clair en cas d'échec de la première tâche de lancement
• Interdire les chemins relatifs pour l’Unpack
• Mise à jour des filtres de fichiers afin qu'ils indiquent les formats valables (par exemple, pour les installateurs, il était dit . et maintenant *.msi, *.exe, ...)
• Correction de la conversion des espaces dans les chemins d'accès en "%20" lors de l’Unpack
• Corrections de bugs

Pour accéder à l’outil, vous devez :

• Participer au programme Windows Insider Fast ou Slow Ring
• Avoir Windows 10 17701 ou plus
• Avoir les droits d’administrateur sur la machine
• Avoir un compte Microsoft pour accéder au Microsoft Store.

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Saaswedo a mis à jour son service de gestion des dépenses télécom (TEM) Datalert. Pour rappel, ce service de Telecom Expenses Management s’intègre à Microsoft Intune. Cette mise à jour v1.8.4.4 propose les améliorations suivantes :

• Les réglages sont désormais plus simples. Il inclut les dernières modifications de la notification d'arrière-plan Apple.
• Nouvelle application iOS (1.6.2) incluant de nouvelles règles d'Apple pour la gestion des activités de fond

Note la version 1.6.3 est attendue pour le 21 Avril avec :

• Une adaptation à la taille de l'écran de l'iPhone X et +
• iOS en mode sombre géré et affichera correctement les informations dans les paramètres de Datalert

Plus d’informations sur le site de Saaswedo.

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [iOS/iPadOS/macOS] Auparavant, vous ne pouviez pas supprimer un profil par défaut, ce qui signifiait que vous ne pouviez pas supprimer le jeton Automated Device Enrollment qui lui était associé. Maintenant, vous pouvez supprimer le jeton quand aucun appareil n'est attribué au jeton et qu’un profil par défaut est présent Pour ce faire, supprimez le profil par défaut, puis supprimez le jeton associé.
• [iOS/iPadOS/macOS] Intune supporte jusqu'à 1000 profils d'inscription par jeton, 2000 jetons d'inscription automatique de périphériques (anciennement appelés DEP) par compte Intune, et 75 000 périphériques par jeton. Il n'y a pas de limite spécifique pour les périphériques par profil d'inscription, en dessous du nombre maximum de périphériques par jeton. Intune supporte désormais jusqu'à 1000 profils Apple Configurator 2.

Gestion du périphérique

• [Général] Sur la page All Devices, les entrées de la colonne Managed by ont changé :
  • Intune est maintenant affiché à la place de MDM
  • Co-managed est maintenant affiché à la place de MDM/ConfigMgr Agent

Les valeurs d'exportation sont inchangées.

• [Général] Vous pouvez cibler les paramètres dans le volet de personnalisation sur des groupes d'utilisateurs. Pour trouver ces paramètres dans Intune, sélectionnez Tenant administration > Customization.

• [General] Vous pouvez configurer une notification "push" à envoyer à vos utilisateurs Android et iOS lorsque le type de propriétaire de leur périphérique a été modifié de "Personnel" à "Entreprise" par souci de confidentialité. Cette notification push est désactivée par défaut. Vous trouverez ce paramètre en sélectionnant Tenant administration > Customization.

• [Général] Vous pouvez maintenant voir le numéro de version de TPM sur la page du matériel d'un périphérique (Devices > choisissez un périphérique > Hardware > Regarder dans System enclosure).

Configuration du périphérique

• [iOS/iPadOS/macOS] Vous pouvez utiliser plusieurs règles VPN à la demande dans le même profil VPN avec l'action Evaluer chaque tentative de connexion (Devices > Configuration profiles > Create profile > iOS/iPadOS ou macOS comme plateforme > VPN pour profil > Automatic VPN > On-demand). Chaque règle est évaluée dans l'ordre où elle apparaît dans la liste des règles à la demande.

• [iOS/iPadOS] Sur les périphériques iOS/iPadOS, vous pouvez :
  • Dans les profils SSO (Devices > Configuration profiles > Create profile > iOS/iPadOS comme plateforme > Device features pour profil > Single sign-on), vous pouvez définir le nom principal Kerberos comme étant le nom de compte Security Account Manager (SAM) dans les profils SSO.
  • Dans les profils d'extension d'application SSO (Devices > Configuration profiles > Create profile > iOS/iPadOS pour plateforme > Device features comme profil > Single sign-on app extension), vous pouvez configurer l'extension Microsoft Azure AD iOS/iPadOS en moins de clics en utilisant un nouveau type d'extension d'application SSO. Vous pouvez activer l'extension Azure AD pour les périphériques en mode partagé et envoyer des données spécifiques à l'extension.
• [macOS] De nouveaux paramétrages de script Shell sont disponible sur macOS avec notamment :
  • Cacher les notifications de script sur les périphériques
  • Fréquence de script
  • Nombre maximum de tentative si le script échoue

Gestion des applications

• [Android Enterprise] Les entreprises qui utilisent les test tracks de Google Play pour tester les applications en préversion peuvent gérer ces tracks avec Intune. Vous pouvez assigner de manière sélective les applications qui sont publiées sur les tracks de pré-production de Google Play à des groupes de pilotes afin d'effectuer des tests. Dans Intune, vous pouvez voir si une track de test de pré-production d'une application a été publiée, et vous pouvez également attribuer cette track à des groupes. Cette fonctionnalité est disponible pour tous les scénarios Android Enterprise (work profile, fully managed, et dedicated). Plus d'informations.
• [Android Enterprise] Vous pouvez utiliser les stratégies de configuration d'application (Apps > App configuration policies > Add > Managed devices) pour gérer le paramètre S/MIME pour Outlook sur les périphériques Android Enterprise. Vous pouvez également choisir d'autoriser ou non les utilisateurs de l'appareil à activer ou à désactiver S/MIME dans les paramètres d'Outlook.

• [Android Enterprise] Les stratégies de configuration des applications Android ont été mises à jour pour permettre aux administrateurs de sélectionner le type d'inscription avant de créer un profil de configuration de l'application. La fonctionnalité est ajoutée pour tenir compte des profils de certificat qui sont basés sur le type d'inscription (Work profile ou Device Owner). Cette mise à jour apporte les éléments suivants :
  • Si un nouveau profil est créé et que le profil Work Profile et Device Owner sont sélectionnés pour le type d'inscription, vous ne pourrez pas associer un profil de certificat à la stratégie de configuration de l'application.
  • Si un nouveau profil est créé et que le profil Work Profile uniquement est sélectionné, les stratégies de certificat du Work Profile créées, peuvent être utilisées.
  • Si un nouveau profil est créé et que l'option Device Owner uniquement est sélectionnée, les stratégies de certificat du Device Owner créées, peuvent être utilisées.

Les stratégies existantes créées avant la publication de cette fonctionnalité (Avril 2020 - 2004) qui n'ont pas de profils de certificat associés à la stratégie seront par défaut le profil Work Profile et Device Owner pour le type d'inscription. De même, les stratégies existantes créées avant la mise en place de cette fonctionnalité et auxquelles sont associés des profils de certificat seront par défaut uniquement Work Profile.

• [Android Enterprise] Microsoft ajoute les profils de configuration Email Gmail et Nine qui fonctionneront à la fois pour les types d'inscription "Work Profile" et "Device Owner", y compris l'utilisation de profils de certificat sur les deux types de configuration Email. Toutes les stratégies Gmail ou Nine que vous avez créées sous Device Configuration pour les Work Profile continueront à s'appliquer aux périphériques et il n'est pas nécessaire de les déplacer vers les stratégies de configuration des applications.

• [macOS] Microsoft Teams est désormais inclus dans la suite Office 365 pour macOS. Intune reconnaîtra les périphériques Mac existants sur lesquels sont installées les autres applications Office pour macOS et tentera d'installer les Microsoft Teams la prochaine fois que le périphérique se connectera à Intune.

Supervision et Dépannage

• [macOS] Vous pouvez désormais collecter des journaux pour améliorer le dépannage des scripts attribués aux périphériques MacOS. Vous pouvez collecter des journaux jusqu'à 60 Mo (compressés) ou 25 fichiers, selon ce qui se produit en premier.

Sécurité

• [Android Enterprise] Intune supporte l'utilisation de derived credentials comme méthode d'authentification pour les périphériques Android. Les Derived Credentials sont une implémentation de la norme 800-157 du National Institute of Standards and Technology (NIST) pour le déploiement de certificats sur les périphériques. Vous pouvez utiliser les Derived Credentials comme méthode d'authentification pour les profils de configuration des périphériques pour le VPN et le WiFi. Vous pouvez également les utiliser pour l'authentification des applications, ainsi que pour la signature et le chiffrement S/MIME. Intune supporte les fournisseurs Derived Credentials suivants avec Android : Entrust Datacard et Intercedez. Un troisième fournisseur, DISA Purebred, sera disponible pour Android dans une prochaine version.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v81. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

Cette version 80 comprend 15 nouveaux paramètres de configuration machine et utilisateur. :

• Allow importing of Cookies
• Allow importing of extensions
• Allow importing of shortcuts
• Allow the audio sandbox to run
• Configure automatic sign in with an Active Directory domain account when there is no Azure AD domain account
• Enable a TLS 1.3 security feature for local trust anchors.
• Enable Ambient Authentication for InPrivate and Guest profiles
• Enable globally scoped HTTP auth cache
• Enable Microsoft Search in Bing suggestions in the address bar
• Enable stricter treatment for mixed content
• Specify how "in-page" navigations to unconfigured sites behave when started from Internet Explorer mode pages
• Use a default referrer policy of no-referrer-when-downgrade. (deprecated)

Voici un document présentant les différences entre la version 81 et 80

Plus d’informations sur l’article suivant :  https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-for-microsoft-edge-v81/ba-p/1303621

Télécharger Security Compliance Toolkit

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v80. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

Les paramétrages sont similaires à ceux recommandés pour la version 79 avec l’ajout du paramétrage "Configure Microsoft Defender SmartScreen to block potentially unwanted apps”. Les applications potentiellement non souhaitées (PUA) ne sont pas considérées comme des virus, des logiciels malveillants ou d'autres types de menaces, mais elles peuvent effectuer des actions sur les périphériques qui nuisent à leurs performances ou à leur utilisation (comme les logiciels publicitaires ou autres applications de faible réputation, etc).  À partir de Microsoft Edge 80, vous pouvez désormais bloquer les téléchargements PUA et les URL de ressources associées. 

Cette version 80 comprend 270 paramètres de configuration machine et 254 paramètres de configuration utilisateur.

Plus d’informations sur l’article suivant :  https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-for-microsoft-edge-v80/ba-p/1233193

Télécharger Security Compliance Toolkit

Je poste ce billet couvrant un bug dans Microsoft Intune lors de l’utilisation du portail d’entreprise en version 2.2.191101 pour les enregistrements des périphériques macOS. Normalement le bug n’est plus présent si l’utilisateur a mis à jour vers une version 2.2.191201 ou ultérieure. Le bug ne touche que le workflow Device Enrollement et n’impacte pas si le périphérique est enregistré au travers d’Apple Business Manager (ou DEP).

La version 2.2.191101 du portail d’entreprise publiée le 13 novembre 2019, comportait un bug d’enregistrement qui affectait la livraison des applications du programme d'achat en volume (VPP) sous licence utilisateur et des liens internet sur les périphériques Mac. Microsoft vous a normalement prévenu au travers du tableau de bord de santé via un bulletin IT199560.

Les utilisateurs finaux qui tentent de s’enregistrer avec la version concernée voient le message "We cannot enroll your device with this version of the Company Portal. To get an updated version of the Company Portal, download the latest version of the Company Portal app"

Microsoft vient d’annoncer la Public Preview de la classification automatique avec les labels/étiquettes de confidentialité avec Microsoft Information Protection pour les documents stockés sur OneDrive et SharePoint Online et pour les emails en transit dans Exchange Online.

Vous pouvez maintenant configurer des étiquettes de confidentialité à appliquer automatiquement aux fichiers Office (par exemple, PowerPoint, Excel, Word, etc.) et aux emails en fonction des stratégies de l’entreprise. Vous pouvez donc configurer des stratégies de classification automatique dans les services Microsoft 365 comme OneDrive, SharePoint Online et Exchange Online.

Pour plus d’informations sur la Preview : https://aka.ms/MIPC/O365AutolabelingPublicPreview

Source : Office 365 service-based auto-labeling for EXO (Data in transit) and SPO/OD (Data at rest) preview

Je vous partage un problème connu concernant Microsoft Information Protection et Azure Information Protection où les labels/étiquettes de confidentialité (Sensitivity) ne sont pas affichés sur Office Online ou Outlook Web. Ce problème survient quand les stratégies de labels ou d’étiquettes sont assignés à un ou plusieurs groupes imbriqués.

Un correctif est encore de préparation pour corriger ce problème. Dans l’immédiation, Microsoft recommande de ne pas utiliser les groupes imbriqués.

Source : https://support.microsoft.com/en-us/office/known-issues-with-sensitivity-labels-in-office-b169d687-2bbd-4e21-a440-7da1b2743edc?ui=en-us&rs=en-us&ad=us#ID0EBBAAA=Online

Certains tenants ont reçu un message IT206230, les mises à jour automatiques des applications métiers Android ne se mettaient pas à jour sur les périphériques Samsung fonctionnant sous Android 10 et plus lorsque le périphérique est inscrit en mode Device Administrator. Microsoft a publié la version 5.0.4722.0 du portail de l'entreprise qui traite de ce problème.

Avec ce problème, certains périphériques affichent la mention "Pending" pour les mises à jour d'applications métiers. Si c'est le cas, vous avez peut-être rencontré ce problème.

Une fois que l’utilisateur aura reçu la mise à jour du portail d'entreprise, son expérience des applications sera légèrement différente. À l'avenir, toutes les applications fournies par Intune, telles que les applications métiers, vous inviteront à mettre à jour les applications lorsqu'une mise à jour sera disponible.

C’est une demande commune quand on traite des sujets autour de Microsoft Information Protection (MIP) ou Azure Information Protection. Microsoft propose un livre blanc sur la mise en place de la taxonomie des labels de classification et de confidentialité. Il donne les bonnes pratiques pour établir un framework de classification de donnée avec 5 labels parents et 5 sous-labels par label parent pour un total de 25 labels au total. On retrouve aussi des indications sur les noms à utiliser.

Télécharger le livre blanc : https://aka.ms/DataClassificationWhitepaper

Avec la disponibilité générale du client unifié Azure Information Protection couvrant l’ensemble des fonctionnalités du client classique, Microsoft vient d’annoncer la dépréciation du client classique et du portail de gestion Azure pour le 31 Mars 2021. Ceci va laisser un an aux clients pour migrer les étiquettes/labels, stratégies et clients.  Il n'y a qu'une seule exception ici : Les tenant d’Azure Government GCC dont le support du client Unifié est prévu au cours du troisième trimestre.

Pour ce faire, vous devez :

1. Migrer vos labels/étiquettes et stratégies vers le centre de conformité Microsoft 365 en activant le portail Unified Labeling in Azure. Cette opération prend de 5 à 10 minutes et est exécutée comme une transaction, ce qui signifie que tant que vous n'aurez pas déplacé toutes les étiquettes, le portail Azure continuera à utiliser l'ancien magasin d'étiquettes. Il n'y a donc aucun impact sur le déploiement des produits.
   Une petite exception à ce processus automatique concerne les informations régionales et de localisation qui doivent être migrées manuellement. Microsoft fournit pour cela un script sans support.
   Plus d'informations sur le billet :
2. Mettre à niveau les clients vers le client Unifié ou commencez à utiliser l'étiquetage intégré dans le client Office ProPlus et supprimez le client classique. Deux raisons qui pourraient vous empêcher de mettre à jour les clients :
   1. La Public Preview pour le remplacement de HYOK est actuellement prévue pour le second trimestre
   2. Track and Revoke. Localization migration from AIP classic client to Security and Compliance Center
      Les clients qui utilisent activement ces fonctionnalités peuvent déposer une demande d'assistance étendue. Ces demandes doivent être déposées jusqu'au 30 juin 2020.

Voici une vidéo qui montre le processus de migration

Une fois ces deux étapes terminées, vous pouvez arrêter d'utiliser les tuiles "Labels" et "Policies" dans le portail Azure. Toutes les autres tuiles disponibles pour le portail Azure Information Protection devraient continuer d'exister et ne seront pas obsolètes le 31 mars 2021.

Plus d’information sur : https://aka.ms/aipclassicsunset

Microsoft continue d’adapter sa stratégie afin d’offrir de la flexibilité dû à la crise exceptionnelle du COVID-19. Ainsi une série de produits et services qui devaient arriver en fin de support pendant cette période, se voient offrir une extension du support. Parmi les annonces, on retrouve

• Windows 10 1709 (Enterprise, Education, IoT Enterprise) : 13 Octobre 2020 (en lieu et place du 14 Avril 2020).
• Windows 10 1809 (Home, Pro, Pro Education, Pro for Workstation, IoT Core) : 10 Novembre 2020 (en lieu et place du 12 Mai 2020). En outre, Microsoft interrompt temporairement les mises à jour des fonctionnalités pour les éditions Home et Pro. Le redémarrage du processus de déploiement des mises à jour de fonctionnalités initiées par Microsoft pour les appareils fonctionnant sous Windows 10, version 1809, sera considérablement ralenti et étroitement surveillé avant la date de fin de service reportée au 10 novembre 2020 afin de laisser suffisamment de temps pour un processus de mise à jour sans problèmes.
• Windows Server 1809 (Standard, Datacenter) : 10 Novembre 2020 (en lieu et place du 12 Mai 2020).
• System Center Configuration Manager 1810 : 1^er Décembre 2020 (en lieu et place du 27 Mai 2020)
• SharePoint Server 2020, SharePoint Foundation 2010, Project Server 2010 : 13 Avril 2021 (en lieu et place du 13 Octobre 2020)
• Dynamics 365 Cloud Services : La date de dépréciation du client web Microsoft Dynamics 365 Customer Engagement a été reportée de deux mois, à décembre 2020. En outre, Microsoft a mis en place un processus simplifié permettant aux clients de Dynamics 365 Finance, Supply Chain Management et Commerce de suspendre les mises à jour pendant une période prolongée.

Il est à noter que la date de fin de support pour Exchange Server 2010, Office 2010, Project 2010, Office 2016 pour Mac et Office 2013 pour la connectivité aux services Office 365 reste inchangée.

Source : https://support.microsoft.com/en-us/help/4557164/lifecycle-changes-to-end-of-support-and-servicing-dates

Début Mars, Microsoft annonçait la publication de la nouvelle application Office sur iOS et Android. Cette dernière regroupe Word, Excel et PowerPoint ainsi que d’autres outils de productivité dans une seule et unique application. Si vous utilisez les stratégies de protection d’applications mobiles (APP/MAM) pour protéger les données de l’entreprise dans des scénarios Bring Your Own Device par exemple, vous devez inclure cette nouvelle application dans vos stratégies existantes.

Pour ce faire :

1. Ouvrez le portail Microsoft Endpoint Manager
2. Naviguez dans Apps – App Protection Policies.
3. Identifiez votre stratégie et éditez-là.
4. Editez les applications :

1. Cliquez sur Select public Apps et ajoutez :
   • Office Hub pour iOS
   • Office Hub, Office Hub [HL] et Office Hub [ROW] pour Android

1. Cliquez sur Select puis sauvegardez la stratégie

Il est à noter que depuis le début 2019, une application similaire appelée Office Mobile est préinstallée sur les appareils Samsung ; elle sera automatiquement mise à jour vers la nouvelle application Office. Toute stratégie configurée pour Office Mobile sera reportée sur la nouvelle application Office.

L’information est un peu ancienne mais elle mérite d’être repartagée, Microsoft a corrigé fin février dernier, la méthode détection avancée de Microsoft Intune du Jailbreak sur iOS. Cette dernière ne fonctionnait pas correctement et avait été désactivée temporairement.

Les entreprises ont été avertis lorsqu’ils avaient déjà configuré la détection améliorée du Jailbreak. Microsoft a évalué que le rétablissement de la vérification requise dans les 72 heures serait plus perturbateur que prévu pour l’entreprise et les utilisateurs. Microsoft supprime donc la règle qui exigeait que les périphériques signalent leur statut de jailbreak toutes les 72 heures pour rester conformes. Tous les autres éléments de la fonctionnalité restent tels qu'ils étaient avant cet incident. L'ouverture manuelle de l'application du portail de l'entreprise ou le déplacement d'une distance importante dans un lieu donné déclenchera une vérification de détection du jailbreak lorsque la fonction sera de nouveau activée.

Afin de résoudre le problème, vous devez vous assurer que les utilisateurs ont bien mis à jour l’application du portail d’entreprise vers la version 4.3.1 ou plus.
Si un utilisateur a désactivé les services de localisation, il devra régler le service de localisation du portail d'entreprise sur "Always". Une fois qu'ils ont effectué ce changement et fourni les références nécessaires dans le portail d'entreprise, Intune peut alors enregistrer la conformité.

Microsoft a annoncé la fin du support principal de Windows 10 Mobile en décembre 2019. Comme mentionné, les utilisateurs de Windows 10 Mobile ne pourront plus recevoir de nouvelles mises à jour de sécurité, des correctifs non liés à la sécurité. Microsoft Intune mettra fin au support du portail d'entreprise pour l'application Windows 10 Mobile et le système d'exploitation Windows 10 Mobile le 11 mai 2020.

Si les entreprises ont des périphériques Windows 10 Mobile déployés dans leur entreprise, ils pourront, d'ici au 11 mai 2020, enregistrer de nouveaux périphériques, ajouter ou supprimer des stratégies et des applications, ou mettre à jour les paramètres de gestion. Après le 11 mai, Microsoft ne permettra plus les nouveaux enregistrements et supprimerons éventuellement la gestion de Windows 10 Mobile du portail Microsoft Intune. Dans ce cas, les périphériques ne pourront plus récupérer des stratégies Intune et Microsoft supprimera les données relatives aux périphériques et aux stratégies.  

Vous pouvez consulter la liste des périphériques concernés en allant dans Devices > All Devices et en filtrant sur le système d’exploitation.