Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 4/11/2019

    [Intune] Les nouveautés de fin octobre 2019

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [Windows 10] Un nouveau paramétrage permet de n’afficher la page d’état de l’enregistrement (ESP) qu’aux périphériques provisionnés via l’expérience post installation (OOBE). Ceci permet d’éviter d’afficher cette page lorsqu’un nouvel utilisateur se connecte sur la machine. Ceci avait aussi un effet de bord de faire éventuellement tomber en timeout dans certaines conditions. Le paramétrage est disponible dans : Intune > Device enrollment > Windows enrollment > Enrollment Status Page > Create Profile > Settings > Only show page to devices provisioned by out-of-box experience (OOBE).

     

    Configuration du périphérique

     

    Gestion des applications

    • [Général] Vous pouvez créer une stratégie de protection des applications (APP/MAM) qui peut bloquer ou effacer sélectivement les données d'entreprise des utilisateurs en fonction de l’état du périphérique sans nécessiter l’enregistrement de ce dernier. L’état du périphérique est déterminé à l'aide d’une solution Mobile Threat Defense que vous avez choisie. Cette capacité existe aujourd'hui avec les périphériques enregistrés dans Intune en tant que paramètre de conformité des périphériques. Sur Android, cette fonctionnalité nécessite la dernière version du Portail d'entreprise. Sous iOS, cette fonctionnalité sera disponible lorsque les applications intégreront le dernier SDK Intune (v 12.0.15+).

    • [Général] Les stratégies de protection des applications (APP/MAM) permettent maintenant de spécifier la version minimale attendue du portail d’entreprise. Ce paramètre de lancement conditionnel permet de bloquer l’accès, effacer les données ou simplement avertir. Le paramétrage ne s’applique que pour les utilisateurs qui ont à minima la version 5.0.4560.0. Il n’a donc pas d’effet sur les versions plus ancienne.
    • [Windows 10] Vous pouvez maintenant configurer une date de mise à disposition et une date butoir pour les applications Win32 déployées de manière obligatoire. Lors de la mise à disposition (Start time), Microsoft Intune commencera à récupérer le contenu et à le stocker dans le cache. L’application sera donc disponible pour une installation lors de la date butoir. Pour les applications en libre-service, la date de mise à disposition est utilisée pour savoir quand l’application devient visible dans le portail d’entreprise.

    • [Windows 10] Il est maintenant possible d’exiger un redémarrage après l’installation avec succès d’une application Win32.

    • [Windows 10] Les stratégies supplémentaires Windows 10 S permettent de gérer le mécanisme Windows Defender Application Control. Ceci permet notamment d’installer et exécuter des applications Win32 sur des périphériques gérés en mode Windows 10 S. Pour ce faire, vous pouvez créer une ou plusieurs stratégies pour le mode S en utilisant les outils PowerShell de Windows Defender Application Control (WDAC). Vous devez ensuite signer les stratégies avec le portail de signature Device Guard, puis téléchargerr et distribuer les stratégies via Intune. Dans Intune, vous trouverez cette fonctionnalité en sélectionnant Client apps > Windows 10 S supplemental policies.

     

    Sécurité du périphérique

    • [Windows 10] Microsoft a ajouté en préversion la baseline de sécurité pour Microsoft Edge.

     

    Autre

      • Une nouvelle page d’accueil permettant de visualiser l’état de santé du tenant, du service, l’actualité, etc.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 4/11/2019

    Les annonces sur la partie Modern Workplace (Windows 10, EMS, Office 365, etc.) pour Octobre 2019

    L’actualité concernant la partie Modern Workplace est très riche ! Il est parfois difficile de tout s’approprié. Cet article résume les différentes annonces :

    Général

    Microsoft 365

    Desktop Analytics

    Microsoft Defender ATP

    Enterprise Mobility + Security

    Azure Active Directory

     

    Microsoft Intune

    Azure Information Protection

    Cloud App Security

    • Gartner nomme Microsoft leader dans la catégorie Cloud Access Security Broker (CASB)
    • Nouveau parseur de journaux ContentKeeper pour Cloud Discovery. Pour rappel, Cloud App Security Cloud Discovery analyse un large éventail de journaux de trafic pour classer et noter les applications.
    • On retrouve de nouvelles détections en Preview avec notamment :
      • Activité suspicieuse de suppression d’emails avertit lorsqu'un utilisateur effectue des activités inhabituelles de suppression d'e-mails. Cette politique peut vous aider à détecter les boîtes aux lettres des utilisateurs qui peuvent être compromises par des vecteurs d'attaque potentiels tels que les communications de commande et de contrôle (C&C/C2) par email.
      • Plusieurs partages inhabituels de rapports Power BI
      • Multiples activités de création de machine virtuelles pour détecter un nombre inhabituel de création de machines virtuelles. S’applique à Azure
      • Multiples activités de de suppression de stockage pour détecter un nombre inhabituel de suppression. S’applique à Azure

     

    Azure ATP

    • La version 2.99 apporte des améliorations et des corrections de bugs sur les capteurs mais aussi l’ajout de notifications depuis l’interface utilisateur sur la chronologie d’alerte pour signaler la disponibilité du portail Cloud App Security.
    • La version 2.98 apporte des améliorations et des corrections de bugs sur les capteurs mais aussi l’amélioration de l’alerte sur les attaques brutes forces suspectées avec l'utilisation d'analyses supplémentaires et d'une logique de détection améliorée pour réduire le nombre de résultats d'alertes bégnines True Positives (B-TP) et faux positifs (FP)..

    Office 365 et Office

     

    Communications unifiées

    • De plus, des améliorations à la configuration Auto Attendants et des Call Queues sont en cours de publication, y compris une conception plus simple des Auto Attendants et la prise en charge de la composition des numéros de poste et du transfert aux numéros de téléphone RTC/PSTN.
    • D’ici fin octobre, Microsoft va publier un rapport sur le pool des minutes PSTN/RTC vous donnant un aperçu de l'activité des audioconférences et des appels dans l’entreprise en vous indiquant le nombre de minutes consommées pendant le mois en cours. Vous pouvez voir une ventilation de l'activité, y compris la licence utilisée pour les appels, le nombre total de minutes disponibles, les minutes utilisées et l'utilisation de la licence par emplacement

     

    Collaboration

     

    Sécurité

    Office 365 ATP

    • 3/11/2019

    [Windows 10 1903] Erreur de provisionnement des profils Wi-Fi pour les machines Azure AD avec des packages de provisionnement

    Microsoft a publié il y a quelques semaines un billet à propos d’un problème touchant le provisionnement des profils Wi-Fi avec un package de provisionnement (PPKG) pour des machines Windows 10 1903 jointes à Azure Active Directory.

    Le problème touche les packages de provisionnement créés avec l’application Set up School PCs en version 1000.17145.1.0 ou l’application Windows Configuration Designer en version 2019.520.0.0. Avec ces versions, les machines commenceront une boucle de redémarrage infinie lors de la phase Setup on devices.

    Le problème a été corrigé pour l’application Set up School PCs en version 1000.17146.0.0.

    Plus d’informations sur : Known issue: Provisioning error on Wi-Fi for Azure AD joined Windows 10 version 1903

    • 3/11/2019

    Les sessions Microsoft Ignite 2019 sur le Modern Workplace & Sécurité à suivre de près !

    Microsoft Ignite 2019 a lieu dans quelques jours et cet événement va catalyser un grand nombre d’annonces. On ne retrouve pas moins de 1600 session et je vous propose un aperçu de ma sélection des sessions à suivre sur la partie Modern Workplace et Sécurité. On retrouve notamment les grands thèmes autour du déploiement moderne, de la gestion moderne et de la sécurité

    De nombreuses sessions couvrent l’ensemble de la stack de solution :

    • Why Windows 10 Enterprise and Office 365 ProPlus? Security, privacy, and a great user experience (DEP10)
    • Windows Autopilot: What's new, what’s coming, and tips for a smooth rollout (BRK3077)
    • What's new in Microsoft Intune and Configuration Manager, including Desktop Analytics and Windows Autopilot (Part 1 of 2) (BRK2082)
    • What's new in Microsoft Intune and Configuration Manager, including Desktop Analytics and Windows Autopilot (Part 2 of 2) (BRK3220)
    • Windows security internals: containers for the win! (BRK4010)
    • Windows Virtual Desktop overview (BRK2084)

    Concernant la partie les sessions sur le déploiement moderne, vous pouvez suivre :

    • Windows Autopilot: White glove pre-provisioning (THR3023)
    • Modern Windows 10 and Office 365 deployment with Windows Autopilot, Desktop Analytics, Microsoft Intune, and Configuration Manager (DEP20)
    • Streamlined deployment of specialized devices (86268)
    • Ask the experts: modern deployment and device management (BRK3076)

     

    On retrouve de nombreuses sessions sur le thème de la gestion moderne :

    • Ask the experts: modern deployment and device management (BRK3076)
    • Enterprise app management with MSIX (BRK2083)
    • Stay current while minimizing network traffic: the power of Delivery Optimization In Cache (DOINC) (BRK3078)
    • Keep it simple: Microsoft 365 device and app management (THR3026)
    • Strategic and tactical considerations for ring-based Windows 10 deployments (BRK3080)
    • Transforming update management with cloud controls (BRK3258)
    • iOS and iPadOS device management with Microsoft Intune (BRK3219)
    • Migrating from Device Admin to Android Enterprise with Microsoft Intune (THR3081)
    • Insights-driven device management: Use the power of analytics to optimize the user experience and enhance productivity (BRK3086)
    • Deploy and manage apps with MSIX (THR2031)
    • Make the Windows update experience smooth and seamless—for your IT team and your end users (BRK3081)
    • The benefits of Windows 10 Dynamic Update (THR3073)
    • Configure Microsoft 365 devices for the best user experience and privacy with Microsoft Intune (BRK3084)
    • The evolution of Windows feature update deployment (THR3117)
    • Reducing Windows TCO through data-driven insights for management, servicing, and support (BRK3085)
    • Android device management with Microsoft Intune (BRK3082)
    • Reaching for the cloud: Group Policy transformation to MDM with Microsoft Intune (THR3027)
    • Solving Windows 10 feature updates in a multilingual deployment (THR4002)
    • Streamline and stay current with Windows 10 and Office 365 ProPlus (DEP30)
    • Supercharge PC and mobile device management: Attach Configuration Manager to Microsoft Intune and the Microsoft 365 cloud (DEP40)
    • Why Microsoft 365 is essential to your zero-trust device management strategy (DEP50)
    • Protected, productive mobile browsing with Microsoft Edge mobile and Microsoft Intune (BRK3253)
    • Provide a great end user update experience by utilizing Windows Update management policies (THR3024)
    • MacOS device management with Microsoft Intune (THR3028)
    • How to manage Windows 7 Extended Security Updates (ESUs) for on-premises and cloud environments (BRK3079)
    • MSIX App Attach: The future of app delivery in virtual environments (THR3074)

    Sur Office 365, vous retrouvez :

    Plus globalement, vous retrouvez un résumé des sessions sur les services d'Office 365 sur :

    Sur les enjeux de sécurité, je vous recommande :

     

    Accéder au catalogue des sessions

    • 2/11/2019

    Les sessions Microsoft Ignite 2019 sur Windows Server à suivre de près !

    Microsoft Ignite 2019 a lieu dans quelques jours et cet événement va catalyser un grand nombre d’annonces. On ne retrouve pas moins de 1600 session et je vous propose un aperçu de ma sélection des sessions à suivre sur Windows Server. On retrouve de nombreuses sessions sur Windows Admin Center.

    • BRK2129 “What’s New and What’s Next” (Monday, 3:15pm – 4:00pm)
    • BRK3182 “Windows Server Deep Dive: Demopalooza” (Monday, 4:30pm – 5:15pm)
    • THR2146 “Stop paying someone else to do it – automatically monitor, secure, and update your on-premises servers from Azure with Windows Admin Center” (Tuesday, 9:00am – 9:20am)
    • BRK3184 “Automate and manage your Windows Server environment using Azure Management Services” (Tuesday, 10:30am – 11:15am)
    • WRK3003 “Power your hybrid environment with Windows Admin Center and Azure” (Tuesday, 10:45am – 12:00pm)
    • BRK3244 “Azure Guest Configuration, the evolution of Group Policy” (Tuesday, 11:45am – 12:30pm)
    • THR1084 “How to re-use your Windows Server licenses in Azure with Azure Hybrid Benefit” (Tuesday, 1:15pm – 1:35pm)
    • BRK2145 “Windows Virtual Desktop Overview” (Tuesday, 3:30pm – 4:15pm)
    • THR2135 Be a Windows Admin Center expert: best practices for deployment, configuration, and security (Tuesday, 5:00 – 5:20pm)
    • THR2176 “Windows Admin Center: Better together with System Center and Azure” (Wednesday, 9:00am – 9:20am)
    • BRK3192 “Seamless connectivity to Azure with Windows Server and Hybrid Networking” (Wednesday, 9:15am – 10:00am)
    • BRK3252 “Windows Server on Azure Overview: Lift-and-Shift Migrations for Enterprise Workloads” (Wednesday, 10:30am – 11:15am)
    • BRK3165 “Windows Admin Center: Unlock Azure Hybrid Value” (Wednesday, 11:45am – 12:30pm)
    • BRK3228 “Files are critical to your business: Modernize your file services with Windows Server 2019 and Azure” (Wednesday, 1:00pm – 1:45pm)
    • THR2155 “Clustering in the Age of HCI and Hybrid!” (Wednesday, 1:15-1:35pm)
    • BRK3166 “OS Internals (for nerds only)” (Wednesday, 2:15pm – 3:00pm)
    • WRK3003 “Power your hybrid environment with Windows Admin Center and Azure” (Wednesday, 2:15pm – 3:30pm)
    • BRK3174 “SCOM 2019: Customer Success stories and what’s next” (Wednesday, 3:30pm – 4:15pm)
    • BRK3183 “Accelerate your RDS and VDI migration to Windows Virtual Desktop” (Thursday, 9:15am – 10:00am)
    • BRK3193 “Maximize security with Windows Server 2019 and Azure” (Thursday, 10:30am – 11:15am)
    • BRK2048 “Windows Admin Center: What’s New and What’s Next” (Thursday, 11:45am – 12:30pm)
    • BRK3173 “Hyper-V Roadmap” (Thursday, 1:00pm – 1:45pm)
    • BRK2147 “Modernize your IT environment and Applications with Windows Containers” (Thursday, 2:15pm – 3:00pm)
    • THR2191 Navigate common pitfalls encountered when containerizing Windows Server applications (Friday, 10:10-10:30am)
    • BRK3257 “Protect Access to Office 365/Azure with new features in Active Directory Federation Services in Windows Server 2019 ” Samuel P19 (Friday, 10:30am – 11:15am)
    • BRK2208 “Hybrid management and operations for Windows Server” (Friday, 10:30 – 11:15am)
    • BRK3251 “What’s next for software-defined storage and networking for Windows Server” (Friday, 10:45am – 12:00pm)
    • BRK3177 “VMM 2019 and DPM 2019: Customer success stories and what’s next” (Friday, 11:45am – 12:30pm)

     

    Accéder au catalogue des sessions

    • 2/11/2019

    [Intune] Problème connu avec l’empreinte digitale sur certains périphériques Samsung

    Samsung vient de rapporter un problème connu concernant la reconnaissance par empreinte digitale sur certains périphériques Samsung Galaxy.  Ce problème survient par la reconnaissance des motifs tridimensionnels apparaissant sur certains écrans en silicone protégeant les périphériques en tant qu'empreintes digitales des utilisateurs. Ceci constitue donc une faille potentielle de sécurité.

    Le problème concerne les Samsung Galaxy Note 10/10+ et Samsung Galaxy S10/S10+/S10 5G.

    Samsung recommande aux utilisateurs qui utilisent la cover de la retirer, d’effacer toutes les empreintes digitales précédentes et enregistrer leurs empreintes digitales à nouveau. Samsung travaille à un correctif logiciel.

    Microsoft recommande de changer la stratégie pour forcer l’utilisateur à utiliser le code PIN et non pas l’empreinte digitale pour déverrouiller le périphérique.

    Plus d’informations sur : https://news.samsung.com/global/statement-on-fingerprint-recognition-issue

    Source: https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Samsung-known-issue-Use-PIN-for-MDM-and-APP-instead-of/ba-p/918962

    • 2/11/2019

    [SCCM CB] RAPPEL ! Fin de support de Windows Server 2008 et 2008 R2 pour héberger des points de distribution

    Avec la fin de support prochaine (14 janvier 2020) de Windows Server 2008 et Windows Server 2008 R2, Microsoft va bientôt rendre impossible l’utilisation de ces systèmes pour héberger des points de distribution dans System Center Configuration Manager. Ceci inclut les nouveaux points de distribution que vous souhaiteriez installer ou les points de distribution existants qui pourraient à termes vous bloquer dans la mise à niveau de votre infrastructure vers des versions ultérieures.

    Je ne saurais que vous recommander de migrer vos points de distribution dans cette situation. Deux options s’offrent à vous :

     

    Source : Supported operating systems for Configuration Manager site system servers

    • 1/11/2019

    [Intune] Problème connu : Les paramétrages d’un profil macOS ne sont pas sauvegardés

    L’équipe du support Microsoft Intune vient de publier un billet concernant un problème qui touche la sauvegarde des paramétrages Login Items d’un profil Device Features pour macOS. En effet, la sauvegarde ne fonctionne pas et l’erreur suivante est renvoyée :

    Unable to save due to invalid data. Update your data then try again. Property autoLaunchItems in payload has a value that does not match schema.

    Microsoft a trouvé un correctif au problème et planifie de le corriger pour la version de novembre du service (1911). En attendant, l’équipe vous recommande d’utiliser GraphAPI avec Graph Explorer :

    • Avec une méthode POST sur https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations
    • Et un contenu de requête : {displayName":"login item ","description":"","roleScopeTagIds":[],"@odata.type":"#microsoft.graph.macOSDeviceFeaturesConfiguration","autoLaunchItems":[{"path":"/Applications/Teams.app"}]}
      Vous devez remplacer les valeurs displayName et path avec vos attentes

    Plus d’informations sur : Known issue: Intune macOS profile setting not saving as expected

    • 1/11/2019

    [AIP] Comment gérer la protection avec des acquisitions/fusions d’entreprise ?

    Je vous avais déjà partagé au travers de deux billets le cas de la sortie d’AIP, mais un autre scénario va devenir de plus en plus fréquent avec le déploiement d’Azure Information Protection, ce sont les acquisition ou fusions d’entreprises. Quelle marche à suivre quand deux entreprises utilisent Azure Information Protection ? L’équipe AIP tend à répondre à ces questions et l’on peut résumer les options comme suit :

    • Si les deux entreprises utilisaient/utilisent uniquement les labels/étiquettes et n’applique pas de protection sur les documents ? Il est possible de partager les étiquettes/labels à travers les deux tenants afin que les utilisateurs des deux entreprises puissent voir la classification configurée. Pour plus d’informations, vous pouvez lire : Cross-Tenant Label Visualization
    • Dans le cadre d’une acquisition/fusion, si les entreprises ont appliqué des stratégies de protection associées aux labels/étiquettes, alors on retrouve plusieurs pistes :
      1. Garder l’ancien tenant AIP dans une configuration en lecture seule. Les utilisateurs sont alors migrés et des licences sont associées sur le nouveau tenant. L’administrateur transfert le DNS de l’ancien tenant vers le nouveau. Les contenus protégés par des modèles définis par l’administrateur ou avec des permissions définies par l’utilisateur ou des emails protégé via la fonction Do Not Forward, continuent d’être protégés.
      2. Exporter /Supprimer la clé de l’ancien tenant et l’importer dans le nouveau tenant. Vous devez exporter la clé fournie par Microsoft ou dans un mode BYOK si elle a été apportée par une infrastructure AD RMS.
      3. La dernière option est de retaper tout le contenu en déprotégeant et en reclassant/protégeant avec le nouveau tenant
      4. Créer un cluster AD RMS en mode lecture seule avec la clé de l’ancien tenant.
    • Dans le cadre d’une filiale, si les entreprises ont appliqué des stratégies de protection associées aux labels/étiquettes, alors on retrouve plusieurs pistes :
      1. Garder des étiquettes/modèles avec des permissions prédéfinies accessibles aux utilisateurs de la filiale.
      2. La dernière option est de retaper tout le contenu en déprotégeant et en reclassant/protégeant avec le nouveau tenant
      3. Créer un cluster AD RMS en mode lecture seule avec la clé de l’ancien tenant.

    Pour plus d’informations sur les solutions pour les acquisitions/fusions et les filiales, vous pouvez lire : Mergers and Spinoffs

    • 31/10/2019

    [Autopilot] Renommer un périphérique Windows 10 Hybrid Azure AD Join déployé par Windows Autopilot

    Je me permets de partager bon billet de l’équipe des PFE Microsoft décrivant comment renommer un périphérique Windows 10 Hybrid Azure AD Join, déployé par Windows Autopilot et Microsoft Intune. Il existe nativement dans Microsoft Intune une fonctionnalité permettant de renommer les périphériques. Celle-ci s’applique à iOS, macOS, et Windows 10 mais uniquement ceux Azure AD Join.

    Le mode Hybrid n’est donc pas supporté et vous êtes donc contraint d’utiliser les règles de nommage de Windows Autopilot qui sont pour l’instant assez limitées. Néanmoins, si vous mettez en place du Co-Management et que vous déployez le client System Center Configuration Manager par Microsoft Intune, vous pouvez facilement utiliser une séquence de tâches pour renommer la machine selon la convention de nommage que vous souhaitez.

    C’est l’objet du billet que je vous partage : Rename Hybrid Joined Computers deployed via Autopilot

    • 31/10/2019

    [Intune] L’enregistrement automatique de machines Windows 10 Hybrid Azure AD Join échoue avec l’erreur 0x80180001

    Récemment un client a commencé à voir apparaître des erreurs lors de l’enregistrement automatique par la GPO de machines Windows 10 Hybrid Azure AD Join dans Microsoft Intune. Ces machines s’enregistraient jusqu’alors sans problème. Après vérification via la commande dsregcmd /status, la machine a correctement réalisé son opération d’Hybrid Azure AD Join. On peut observer la récupération de l’Azure AD PRT nécessaire à l’opération d’enregistrement.

    Si vous ouvrez l’observateur d’événements et que vous naviguez dans Applications and Services Logs – Microsoft - Windows – DeviceManagement-Enterprise-Diagnostics-Provider puis Admin, vous pouvez observer les événements suivants :

    Event ID : 52
    MDM Enroll: Server Returned Fault/Code/Subcode/Value=(MessageFormat) Fault/Reason/Text=(Device based token is not supported for enrollment type OnPremiseGroupPolicyCoManaged).

    EventID : 71
    Inscription GPM : échec (Unknown Win32 Error code: 0x80180001)

    EventID : 76
    Inscription GPM automatique : informations d’identification de l’appareil (0x1), échec (Unknown Win32 Error code: 0x80180001)

    Le premier événement donne une piste intéressante, indiquant un problème avec le token utilisé pour s’enregistrer. Après avoir vérifié, le client avait mis à jour ses fichiers ADMX avec la dernière version Windows 10 1903. Il s’avère que cette version d’ADMX met à jour le paramètre existant : Auto MDM Enrollment with AAD Token utilisé pour réaliser l’enregistrement automatique. Celui-ci est renommé Enable automatic MDM enrollment using default Azure AD credentials et ajoute une sous option permettant de spécifier le mode d’authentification choisi. L’administrateur peut choisir User Credential ou Device Credential.

    La configuration réalisée sur la stratégie du client était définie sur Device Credential.

    En passant l’option sur User Credential, les machines se sont mises à réaliser l’enregistrement automatique dans Microsoft Intune correctement.

    L’effet pervers semble être que lors de la mise à jour de l’ADMX, ceci met à jour le paramétrage et assigne automatiquement la valeur Device Credential puisqu’elle est la première de la liste. Or le comportement jusqu’alors est d’utiliser les identifiants de l’utilisateur (User Credential).

    Note : Device Credential n’est censé être applicable que pour les machines Windows 10 1903 et les anciennes versions sont censées utilisée User Credential quelque soit le paramétrage définit. Néanmoins, les observations que nous avons pu réaliser, contredisent ceci.

    Vous pouvez vérifier la configuration d’un poste en allant regarder le registre : HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\MDM\UseAADCredentialType

    • User Credential : 1
    • Device Credential : 2
    • 30/10/2019

    [AIP] Nouvelles versions des clients AIP (1.54.33.0) et AIP Unified Labeling (2.5.33.0)

    Microsoft vient de publier les versions 1.54.33.0 du client Azure Information Protection et 2.5.33.0 du client Azure Information Protection Unified Labeling.

    La version 1.54.33.0 du client AIP classique comprend des corrections de stabilité et de performance ainsi que la version 1.0.4008.0813 du client RMS.

     

    La version 2.5.33.0 du client AIP Unified Labeling comprend les fonctionnalités suivantes:

    • La version Preview du Scanner Unified Labeling pour inspecter, labéliser/étiqueter les documents sur les serveurs internes.
    • Set-AIPAuthentication a de nouveaux paramètres : AppId, AppSecret, TenantId, DelegatedUser, et OnBehalfOfOf
    • Nouvelle cmdlet, Export-AIPLogs, pour rassembler tous les fichiers journaux de %localappdata%\Microsoft\MSIP\Logs et les enregistrer dans un seul fichier compressé qui a un format.zip.
    • Nouveau paramétrage avancé de stratégie pour l’étiquetage PowerShell afin d’étendre les règles de migration de label aux propriétés SharePoint.
    • Le label/étiquette applique affiche la couleur configurée pour le label/l’étiquette, si une couleur a été configurée.
    • Lorsque vous ajoutez ou modifiez des paramètres de protection à un label/étiquette, le client applique à nouveau le label/étiquette avec ces derniers paramètres de protection lors du prochain enregistrement du document.
    • Support des ordinateurs déconnectés en exportant les fichiers d'un client et en les copiant manuellement sur l'ordinateur déconnecté.
    • Les types d'informations sensibles personnalisés correspondants sont envoyés à Azure Information Protection Analytics.

    La version 2.5.33.0 du client AIP Unified Labeling comprend les corrections de bugs suivantes:

    • Le problème de cache MIP SDK récemment découvert a un impact sur les clients AIP Unified Labeling. Ce problème peut empêcher les clients AIP UL de télécharger les mises à jour des polices.
    • Vous pouvez ouvrir avec succès un fichier protégé à l'aide de l'Explorateur de fichiers et cliquez avec le bouton droit de la souris après avoir supprimé un mot de passe pour le fichier.
    • Les fichiers sans droits d'exportation peuvent maintenant être ouverts avec la visionneuse.
    • Réinitialiser les paramètres supprime maintenant les dossiers %LocalAppData%\Microsoft\MSIP\mip\<ProcessName.exe> au lieu du dossier %LocalAppData%\Microsoft\MSIP\mip\<ProcessName>\mip.
    • Get-AIPFileStatus inclut maintenant l'ID du contenu d'un document protégé.

     

    Télécharger Microsoft Azure Information Protection

    • 29/10/2019

    [Windows 10] Réinitialisation du PC depuis le Cloud : Quel intérêt ?

    Il y a quelques semaines, Microsoft publiait l’arrivée d’une nouvelle fonctionnalité proposée avec Windows 10 Insider 18970 permettant de réaliser sa réinitialisation depuis le Cloud. Vous pouvez ainsi lancer une réinitialisation de votre machine et récupérer les sources de réinstallation de Windows en les téléchargeant directement depuis chez Microsoft. L’option est disponible depuis le système d’exploitation ou en mode de dépannage depuis Windows RE.

    On peut se demander quel est l’intérêt sachant que cette fonctionnalité téléchargera la version de Windows 10 équivalente à celle déjà installée. En réalité, cette option rend le processus de réinitialisation beaucoup plus rapide lorsque vous avez accès à une très bonne connexion à Internet.

    Dans le cas de la réinitialisation classique (à partir des sources du système d’exploitation local), le processus reconstruit le système d'exploitation composant par composant à partir du dossier WinSXS à l'aide de la Servicing Stack. Ceci requiert un traitement très important qui n’est pas seulement une simple lecture et une écriture séquentielle.  Ce processus génère en lui-même entre 4 et 10 fois le nombre d'entrées-sorties nécessaires pour écrire et appliquer une image.

    Ceci justifie ainsi que le processus réinitialisation depuis le Cloud puisse être 4 à 10 fois plus rapide.

    Plus d’informations sur : Optimize Windows 10 PC reset using the cloud

    • 29/10/2019

    [Desktop Analytics] Les nouveautés d’Octobre 2019

    Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Vous pouvez migrer vos données d’un workspace Windows Analytics existants vers Desktop Analytics après la phase d’Onboarding. Parmi les données migrées, on retrouve l’importance des applications, les propriétaires des applications. Cependant les décisions de mise à niveau, les plans de test et les résultats de test ne sont pas migrés. Il est à noter qu’il n’est pas de migrer plusieurs Workspace Windows Analytics et cette action ne peut être réalisée que lors de la phase d’onboarding. Vous ne pouvez pas le faire après la mise en place du service.
    • Desktop Analytics fournit désormais des détails supplémentaires lorsqu'il détecte que la mise à niveau de Windows supprimera complètement ou partiellement une application ou un driver/pilote.

    Plus d’informations sur : What’s new in Desktop Analytics

    • 29/10/2019

    [Microsoft Defender ATP] Les nouveautés d’Octobre 2019

    Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender Advanced Threat Protection (ATP) introduit dans le mois.

    • La fonctionnalité d’experts sécurité à la demande Microsoft Threat Experts est en disponibilité générale. Microsoft intègre la fonction depuis plusieurs emplacements du portail Microsoft Defender ATP dont notamment le menu Help and Support, la page Machine, le menu d’action sur les alertes, le menu d’action sur les fichiers.

    • La page des applications connectées permet d’afficher toutes les applications Azure AD qui se connecte à Microsoft Defender ATP (Graph Explorer, etc.). Cela permet par exemple d’identifier les applications qui accèdent aux données, etc.

    • API Explorer vous permet de créer des requêtes API qui peuvent être tester sur les points de terminaison de l’API MDATP. Ceci est notamment utile dans des phases de développement pour les intégrations que vous pourriez opérer.

    Plus d’informations sur : What’s new in Microsoft Defender ATP

    • 28/10/2019

    [Windows Server 2019] Possibilité de bloquer des versions de TLS en fonction du certificat

    Microsoft vient de proposer une nouvelle capacité intéressante pour éliminer peu à peu TLS 1.0 au profit de TLS 1.2. Cette fonctionnalité apparait avec la KB4490481 de Windows Server 2019 qui permet de bloquer des versions de TLS en fonction de certificats spécifiques. En gros, vous pouvez désigner une liste de certificat qui continuent de fonctionner avec TLS 1.0 alors que les autres fonctionneront avec TLS 1.2+.

    Les modifications sont implémentées dans HTTP.sys et, en conjonction avec l'émission de certificats supplémentaires, permettent au trafic d'être acheminé vers le nouveau terminal avec la version TLS appropriée.

    Plus d’informations sur : TLS version enforcement capabilities now available per certificate binding on Windows Server 2019

    • 27/10/2019

    [VDI] Un script d’optimisation de la configuration de Windows 10+

    L’arrivée de Windows Virtual Desktop risque de changer la donne mais pour les entreprises qui font du Virtual Desktop Infrastructure (VDI) On-Premises, voici un script qui permet d’optimiser la configuration de Windows 10 pour le VDI.

    Le script n’est ni plus ni moins que la configuration automatique des bonnes pratiques listées dans la documentation : Optimizing Windows 10, Build 1803, for a Virtual Desktop Infrastructure (VDI) role

    On retrouve notamment :

    • Un nettoyage des packages App-X
    • Un nettoyage de OneDrive
    • Une modification de certains éléments du registre (ajout, suppression, etc.)
    • L’application de stratégies de groupes locales
    • La désactivation de certaines tâches planifiées
    • La désactivation de certains services

    Note : Le script a une dépendance sur LGPO.exe

    Télécharger le script W10_1803_VDI_Optimize

    • 27/10/2019

    [SCCM CB] Où en est Microsoft IT avec le Co-Management de System Center Configuration Manager ?

    Microsoft a publié un billet résumant la situation concernant la mise en œuvre du Co-Management entre System Center Configuration Manager Current Branch et Microsoft Intune. Microsoft se donne pour objectif de basculer toutes les charges de travail d’ici à un an.

    Voici le résumé de l’état :

    • 220 000 périphériques co-gérés dont
      • 200 000 périphériques Hybrid Azure AD Joined
      • 20 000 périphériques Azure AD Joined
    • La charge complètement basculée sont les stratégies de conformité (Compliance Policies)
    • Microsoft est en train de mener un pilot avec les éléments de sécurité (Endpoint Protection) et les stratégies d’accès aux ressources (Resource access policies).
    • Les autres charges de travail n’ont pas été touchée : Device Configuration, Client Apps, Office Click-to-Run apps, Windows Update for Business.

     

    Source : https://techcommunity.microsoft.com/t5/Device-Management-in-Microsoft/Co-Management-at-Microsoft/ba-p/902597

    • 26/10/2019

    Publication de la version d’Octobre 2019 d’Azure Data Studio

    Microsoft publie une nouvelle version (Octobre 2019) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

    Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

    Cette version intègre les changements suivants :

     

    Quand utiliser Azure Data Studio ?

    • Vous devez utiliser macOS ou Linux
    • Vous devez vous connecter sur un cluster big data SQL Server 2019
    • Vous passez plus de temps à éditer ou exécuter des requêtes
    • Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
    • Vous avez un besoin minimal d’assistants
    • Vous n'avez pas besoin de faire de configuration administrative profonde

    Quand utiliser SQL Server Management Studio ?

    • Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
    • Vous avez besoin de faire une configuration administrative importante
    • Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
    • Vous utilisez les rapports pour SQL Server Query Store
    • Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
    • Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

    Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2019/10/02/the-october-2019-release-of-azure-data-studio-is-now-available/

    Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

    Télécharger Azure Data Studio

    • 26/10/2019

    [Azure] Microsoft publie un ebook sur le Cloud de confiance

    Microsoft a mis à jour un ebook pour apporter des réponses quant à la confiance que vous apportez au Cloud. Cet ebook de 42 pages revient sur 5 grands enjeux :

    • Sécurité couvre les multiples services qui constituent l’approche de défense de Microsoft, y compris de nouveaux services (Azure Sentinel, etc.).
    • Confidentialité offre une description détaillée des pratiques et des normes rigoureuses en matière de protection de la vie privée utilisées par Azure, ainsi que des outils offerts aux clients pour protéger leur vie privée.
    • Conformité: Azure offre maintenant une des meilleures offres de conformité de l'industrie (avec 92 certifications). Microsoft a également ajouté de nouveaux services comme Azure Blueprints, qui vous fournit des modèles pour créer, déployer et mettre à jour des environnements cloud entièrement régis afin de répondre aux exigences de conformité.
    • Fiabilité et Résilience couvre à la fois le maintien de la fiabilité d'Azure de manière fiable et constante et être capable de réagir aux pannes de manière à éviter les temps d'arrêt et les pertes de données.
    • Protection de la propriété intellectuelle décrit les protections uniques d'Azure en matière de propriété intellectuelle (PI), y compris concernant le code source.

     

    Télécharger l’ebook dans son intégralité

    • 25/10/2019

    [SCCM CB] Déployer des mises à jour de sécurité étendue (Windows 7, Windows Server 2008 & 2008 R2, etc.) ?

    La fin de support de Windows 7 est attendu pour le 14 Janvier 2020, certaines entreprises vont faire le choix d’acheter les mises à jour de sécurité étendues (Extended Security Updates). Les mises à jour de sécurité publiées dans le cadre du programme ESU seront publiées dans Windows Server Update Services (WSUS).

    Toutes les mises à jour de sécurité étendues seront visibles par tous les serveurs WSUS mais ne deviendront applicables que pour les machines qui répondent à ce prérequis :

    • Ont installé les mises à jour suivantes : KB4516033 et KB4516048
    • Ont activé la clé MAK correspondante aux mises à jour de sécurité étendues.

    Mais quand est-il de System Center Configuration Manager ? Normalement, System Center Configuration Manager suit les règles de support des systèmes et ne fournira plus de support Windows 7 et Windows Server 2008 & 2008 R2.

    Néanmoins pour répondre à ce besoin spécifique, Microsoft va assurer le support de ces systèmes mais uniquement avec la dernière version System Center Configuration Manager (Current Branch). Ce support sera assuré uniquement pour les mises à jour logicielles et le déploiement de système d’exploitation (pour vous permettre éventuellement de migrer). Les autres fonctionnalités ne seront pas officiellement supportées et Microsoft n’adressera pas les éventuels problèmes.

    Microsoft assure le support d’Office 365 ProPlus sur les machines Windows 7 en mode ESU jusqu’en Janvier 2023. Les mises à jour de sécurité mensuelles pourront être déployées avec ConfigMgr néanmoins les mises à jour de fonctionnalités ne pourront être déployées car non supportées.

    System Center Configuration Manager 2007 ou 2012 ne pourront pas être utilisés pour déployer ces mises à jour spécifiques.

    Plus d’informations sur :

    Voici le document officiel

    • 25/10/2019

    [Intune] Fin prochaine du support de la console Silverlight

    Microsoft vient d’annoncer qu’il allait retirer le support de la console Microsoft Intune en Silverlight (l’ancienne version) à partir du 15 octobre 2020. Vous n’utilisiez déjà surement plus cette console puisqu’elle est aujourd’hui indiquée pour la gestion des PCs Windows (et notamment Windows 7) avec l’ancien agent Intune. Toutes les autres fonctionnalités ont été déplacées vers le portail Microsoft Azure ou Device Management Console.

    Les clients impliqués ont été prévu par le centre de messages du portail Office.

    Pour vos machines qui sont encore gérées avec l’agent Intune, vous devez :

    • Les migrer vers Windows 10
    • Les enregistrer dans Microsoft Intune avec la gestion de périphérique moderne (MDM)
    • Déployer les stratégies adéquates

    Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Take-Action-Microsoft-Intune-ending-support-for-the-Silverlight/ba-p/916249

    • 24/10/2019

    [Intune] Problème Connu : Les périphériques iOS et Android ne reçoivent pas les notifications

    Annoncé il y a quelques semaines, Microsoft Intune permet maintenant l’envoi de notifications personnalisées sur les périphériques iOS et Android. Microsoft a posté un message d’incident IT192763 dans le centre de messages du portail Office pour cette fonctionnalité et pour les entreprises touchées. Le problème est survenu à cause d’une panne d’Azure Notification Hub et les utilisateurs finaux nouvellement enregistrés dans Intune peuvent avoir besoin d'ouvrir leur application Portail d'entreprise pour la resynchroniser afin de pouvoir voir les notifications personnalisées. Toutes les autres fonctions fonctionnent comme prévu.

    Le problème concerne surtout les utilisateurs iOS qui doivent rouvrir le portail d’entreprise pour résoudre le problème. Sur Android, le problème a dû se corriger de lui-même lors de la synchronisation suivante.

    • 24/10/2019

    [Autopilot] Comment dépanner Windows Autopilot ?

    Qui mieux que Michael Niehaus (MSFT) peut vous guider pour dépanner Windows Autopilot après les nombreuses heures qu’il a pu passer sur la technologie ? Il propose aujourd’hui un billet vers lequel je vous invite à passer du temps pour comprendre la méthodologie qu’il utilise en cas de problème et comment dépanner Windows AutoPilot.

    Il revient sur :

    • L’outil de rassembler des informations de diagnostic : MDMDiagnosticsTool.exe
    • Les différents fichiers de journalisation
    • Les différents fichiers JSON, etc.

    Bref c’est une mine d’informations que je vous invite à consulter : Troubleshooting Windows Autopilot, a reference

    • 23/10/2019

    [Intune] Des machines renvoient de multiples clés de restauration pour la partition système

    En mettant en œuvre la gestion de BitLocker sur Windows 10 via Microsoft Intune chez un de mes clients, j’ai constaté un problème où les machines renvoyaient indéfiniment de nouvelles clés de restauration pour la partition système.

    Ce problème survient si vous avez configuré une stratégie Endpoint Protection en activant des paramétrages pour le chiffrement de Windows (Windows Encryption). Vous avez par exemple configuré les options suivantes :

    • Encrypt Devices pour activer le chiffrement BitLocker sur les machines cibles
    • L’option Additional authentication at startup est à Require et permet de configurer les modes de validation BitLocker (TPM, TPM+PIN, TPM+Dongle, TPM+PIN+Dongle)..
    • Vous avez configuré l’une des options :
      • Compatible TPM startup permet de définir si la puce TPM est autorisé, requise ou non autorisé pour le chiffrement.
      • L’option Compatible TPM startup PIN permet d’ajouter l’usage (autorisé, requis ou non) d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
      • L’option Compatible TPM startup key permet d’ajouter l’usage (autorisé, requis ou non) d’un dongle de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
      • L’option Compatible TPM startup key and PIN permet d’ajouter l’usage (autorisé, requis ou non) à la fois d’un dongle et d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.

     

    Plus globalement le problème survient dès lors que vous avez activer le chiffrement BitLocker avec Microsoft Intune.

    Sur les machines concernées, vous pouvez ouvrir l’observateur d’événements et naviguez dans Applications and Services Log – Microsoft – Windows – BitLocker-API. Les erreurs ont lieu de manière récurrente enchainant des événements 846, 785, 778, et 851.

    Failed to enable Silent Encryption.
    Error: The specified domain either does not exist or could not be contacted.

    The BitLocker volume C: was reverted to an unprotected state.

     

    Nous constatons que la machine tente un chiffrement en boucle avec les événements 796, 775 845, 817, 840, 780.

    Dans le portail Microsoft Intune, vous pouvez constater l’apparition d’un grand nombre de clés de restauration pour la même machine :

     

    Après quelques minutes, nous décidons simplement de mettre à jour le BIOS de la machine qui semblait relativement ancien. Ceci a résolu le problème de chiffrement en boucle en réalisant l’opération avec succès.