• [Microsoft Defender for Endpoint] Les nouveautés de Janvier 2021

    Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

    • Microsoft Defender for Endpoint ajoute maintenant le support de Windows Virtual Desktop.

    Plus d’informations sur : What’s new in Microsoft Defender for Endpoint

    • 6/3/2021
  • Nouvelle édition de l’ouvrage sur Microsoft Endpoint Configuration Manager

    Il y a 4 ans, je vous annonçais la sortie officielle de deux nouveaux livres sur System Center Configuration Manager Current Branch.

    Aujourd’hui c’est la sortie d’une nouvelle édition pour répondre à tous les changements introduits par Microsoft. Il a été encore une fois co-écrit par Guillaume Calbano (Consultant Avanade) et moi-même. Microsoft Endpoint Configuration Manager Current Branch embrasse la stratégie as-a-Service de Microsoft avec des versions publiées plus fréquemment. Le but est de suivre les innovations du marché des versions de Windows 10. Cet ouvrage est accessible à la fois aux novices mais aussi aux personnes souhaitant se perfectionner sur la technologie ou simplement mettre à jour ses connaissances avec les versions récentes.

    Ce livre de 940 pages sur Microsoft Endpoint Configuration Manager (en version 2010 au moment de l’écriture), anciennement System Center Configuration Manager ou SCCM, s'adresse à toute personne qui, confrontée à l'administration de périphériques et de ressources dans son entreprise, participe à l'exploitation et l'administration quotidienne de cette solution. Le suivi des différents chapitres transmettra au lecteur la maîtrise des outils et fonctionnalités, ainsi que l'acquisition des compétences pour maintenir le produit et gérer l'ensemble des périphériques avec MECM.

    Microsoft Endpoint Configuration Manager Current Branch embrasse la stratégie as-a-Service de Microsoft avec des versions apportant un grand nombre de nouveautés et d’innovations pour apporter des réponses à la gestion, à la sécurisation et au maintien des postes Windows 10.

    Après une présentation de l'historique du produit et des concepts permettant la compréhension d'une architecture ConfigMgr (sites, CMG, etc.), les auteurs détaillent les inventaires et leur exploitation, Asset Intelligence et le contrôle logiciel. Ils se servent ensuite de ces informations pour créer des requêtes, des collections et des rapports et présentent le nouvel outil de requêtage en temps réel CMPivot. Le chapitre suivant étudie le contrôle à distance des périphériques avec la prise en main ainsi que les actions à distance possibles. Le chapitre qui suit aborde les applications et leur distribution sous toutes leurs formes (Win32, virtuelle, etc.) mais aussi la gestion de Microsoft 365 Apps ou Microsoft Edge. Les auteurs détaillent également la sécurisation des ressources avec notamment la gestion des mises à jour Microsoft ou des éditeurs tiers, les solutions Microsoft Defender (Antivirus, for Endpoint, Exploit Guard, etc.) de protection contre les attaques et les menaces, et la gestion du chiffrement BitLocker. Ensuite, la création et le déploiement des systèmes d'exploitation sont intégralement présentés. Ce chapitre aborde aussi le cycle de vie de Windows 10 dont le modèle de fonctionnement est très lié à celui de MECM. Le modèle de service, les scénarios de mise à niveau et le maintien du parc Windows 10 sont détaillés avec l’ensemble des solutions disponibles (Desktop Analytics, etc.).

    Enfin, le dernier chapitre fait état des fonctionnalités liées à la conformité, aux paramétrages et à l’accès aux ressources de l’entreprise. Il contient les éléments nécessaires à la gestion des lignes de base et des éléments de configuration mais aussi des profils de configuration et de maintenance via la fonction d’exécution de scripts.

     

    • Avant-propos
    • Aperçu et fondamentaux de ConfigMgr
    • Inventaires
    • Requêtes, Collections et Rapports
    • Les outils de contrôle distant
    • La distribution d’applications
    • La sécurité des ressources
    • Le déploiement de système d’exploitation
    • Paramètres, Conformité et Accès aux ressources
    • Conclusion  

    Vous pouvez acheter ce livre dans toutes les bonnes librairies et notamment sur :

     

    Notez que l’ouvrage System Center Configuration Manager Concepts, Architecture, Déploiement et Support est toujours disponible pour parler plus globalement de ces éléments.

    • 18/2/2021
  • [AIP] Un guide pour vous aider à dépanner le scanner Unified Labeling

    Microsoft a créé une documentation visant à vous aider pour dépanner les problèmes qui pourraient survenir avec le scanner Azure Information Protection.
    On y retrouve :

    • L’utilisation de l’outil de diagnostic scanner.
    • Le dépannage des analyses qui tombent en timeout
    • Les références aux erreurs d’analyse

    Lire : Troubleshoot your on-premises scanner deployment | Microsoft Docs

    • 23/1/2021
  • [MEM/Intune] Des rapports communautaires sur les assignations/déploiements de stratégies et d’applications

    Les rapports s’améliorent de mois en mois dans Microsoft Endpoint Manager (Intune) mais Petri Paavola (MVP Windows) propose des scripts PowerShell qui réalisent des rapports HTML des assignations et déploiement de stratégies et d’applications de l’environnement.

    On retrouve deux scripts principaux :

    • Create_IntuneConfigurationAssignments_HTML_Report.ps1 pour créer un rapport des déploiements pour les stratégies de configuration.
    • Create_IntuneMobileAppAssignments_HTML_Report.ps1 pour créer un rapport des déploiements d’applications.

     

    Obtenir les scripts : Intune/Reports at master · petripaavola/Intune · GitHub

    • 21/1/2021
  • [WVD] Un cours gratuit sur Windows Virtual Desktop

    Microsoft planifie un cours gratuit dirigé par l’équipe produit sur Windows Virtual Desktop (WVD). Microsoft va présenter la solution, des éléments sur la roadmap, les bonnes pratiques et des labs :

    • Vision du produit et feuille de route
    • Les fondamentaux de la sécurité
    • 10 choses que vous ne saviez pas sur Windows Virtual Desktop en 10 minutes
    • Exploiter votre déploiement à l'échelle
    • Simplifier la gestion des images et des applications
    • Conseils pour l'optimisation des coûts
    • Bonnes pratiques pour les charges de travail sensibles au temps de latence
    • Les leçons des clients qui migrent vers Windows Virtual Desktop

    L’événement a lieu 28 Janvier 2021 de 18h à 01h (heure française)

    Si vous procédez à l’enregistrement, vous serez dans la capacité de regarder l’événement à nouveau.

    Windows Virtual Desktop Event | Microsoft Azure

    • 19/1/2021
  • [Sentinel] Nouveau parcours d’apprentissage pour Azure Sentinel

    Microsoft vient de formaliser un parcours d’apprentissage autour d’Azure Sentinel. Ce dernier vient compléter la formation précédente en fournissant un aperçu sur la base des thèmes suivants :

    • Introduction à Azure Sentinel
    • Déployer Azure Sentinel et connecter les sources de données
    • Détection des menaces avec l'analyse d'Azure Sentinel
    • Gestion des incidents de sécurité dans Azure Sentinel
    • Investigation avec Azure Sentinel
    • Réponse aux menaces avec les playbooks Azure Sentinel
    • Interroger, visualiser et surveiller les données dans Azure Sentinel

    Accéder à Cloud-native security operations with Azure Sentinel - Learn | Microsoft Docs

    En parallèle, je vous remets le lien vers la formation : Become an Azure Sentinel Ninja: The complete level 400 training - Microsoft Tech Community

    • 16/1/2021
  • [MEM/Intune] Editer le QR Code d’enregistrement Android pour ajouter des éléments de configuration (WiFi, etc.)

    Aujourd’hui, je vous partage une astuce qui facilite grandement la vie des administrateurs informatiques afin d’enregistrer des périphériques Android dans les modes Fully Managed (COBO) et Corporate-owned devices with work profile (COPE) avec le QR Code. Il est possible d’éditer ce QR Code avec un service afin d’ajouter des éléments de configuration.

    Pour ce faire :

    1. Ouvrez le centre d’administration Microsoft Endpoint Manager et naviguez dans Devices – Enroll Devices – Android enrollment puis choisissez le profil d’enregistrement COBO ou COPE.
    2. Récupérez le QR Code en enregistrant l’image.
    3. Connectez-vous au site : Android Enterprise QR Code Generator (datalogic.github.io)
    4. Sélectionnez l’option Import et chargez l’image du QR Code précédemment extraite.
    5. Vous retrouvez ensuite les différentes configurations :

    Component name of admin receiver est spécifique à l’enregistrement

    Download and enrollment permet de rediriger vers l’application Microsoft Intune et le numéro du Token

    Configure Wi-Fi Network vous permet de configurer un réseau Wi-Fi qui sera utilisée lors de cette phase d’enregistrement. Cette configuration est très pratique car elle permet d’éviter de le faire manuellement. Vous pouvez renseigner le SSID, le type de sécurité, le mot de passe, et la configuration proxy.

    Additional Android Enterprise properties permet de :

    • Passer le chiffrement du périphérique
    • Laisser toutes les applications système activées
    • Configurer la langue et le pays
    • La date et l’heure du périphérique (la valeur est statique ; il est donc préférable d’éviter la configuration)
    • Le fuseau horaire

    Datalogic properties permet de spécifier des données spécifiques à DataLogic

    Une fois terminé, vous pouvez cliquer sur Generate Code afin de récupérer le QR Code qui peut être utilisé sur vos périphériques.

    • 15/1/2021
  • [Azure AD] Les numéros de téléphone utilisés pour le MFA/SSPR ne peuvent plus être prépeuplés depuis l’AD

    Je souhaitais revenir sur une annonce importante qui n’a pas forcément eu l’écho nécessaire. Auparavant, il était possible de peupler correctement le numéro de téléphone dans l’annuaire Active Directory et d’utiliser Azure Active Directory Connect pour répliquer ce numéro qui est ensuite utilisé lors de l’enregistrement de l’authentification à facteurs multiples (MFA) ou de la réinitialisation du mot de passe en libre-service (SSPR). A partir du 1er Mai 2021, cette capacité ne sera plus disponible !

    Il faudra alors passer par des scripts pour aller mettre à jour directement le numéro via Graph API ou PowerShell.

    Plus d’informations sur : Gérer les méthodes d'authentification d'Azure AD Multi-Factor Authentication - Azure Active Directory | Microsoft Docs

    Source : Updates to managing user authentication methods - Microsoft Tech Community

    • 14/1/2021
  • [Azure AD] Un script pour analyser les méthodes d’authentification multiples (MFA)

    Je souhaitais vous partager un script de Microsoft qui permet une analyse des utilisateurs dans Azure AD et vous fournit des recommandations sur l’amélioration de la configuration de l’authentification à facteurs multiples (MFA).

    Le script doit être exécuté avec un utilisateur sur le tenant disposant à minima des droits user Administrator. Lors de l’exécution, vous devez spécifier l’identifiant de votre tenant.

    .\MfaAuthMethodAnalysis.ps1 -TenantId <tenantID>

    Télécharger : Script for Azure MFA authentication method analysis - Code Samples | Microsoft Docs

    • 13/1/2021
  • [MECM] Des rapports sur la conformité des mises à jour

    Jonas Ohmsen (PFE Microsoft) propose une série de rapports détaillant la conformité des mises à jour avec Microsoft Endpoint Configuration Manager. On retrouve par défaut une série de rapports mais qui ne répondent parfois pas forcément exactement aux besoins des entreprises. Les rapports de Jonas méritent que l’on y jette un œil.

    Il propose notamment :

    • Un rapport d’aperçu de la conformité en fonction d’une collection
    • Un sous rapport avec la liste des machines non conformes
    • Un sous rapport offrant l’état de conformité des mises à jour pour une machine

    Plus d’informations sur : Mastering Configuration Manager Patch Compliance Reporting - Microsoft Tech Community

    Télécharger les rapports sur : GitHub - jonasatgit/updatereporting: MECM update reporting solution

    • 13/1/2021
  • [MEM/Intune] Gestion des mises à jour avec Samsung E-FOTA et Intune

    Lothar Zeitler (Senior PM Microsoft Endpoint Manager) a publié un billet décrivant l’intégration entre Microsoft Endpoint Manager (Intune) et le système de gestion des mises à jour Android de Samsung E-FOTA.

    L’article permet :

    • La création d’un groupe comportant les modèles Android concernés par la gestion E-FOTA
    • L’interconnexion d’Azure AD et Samsung E-FOTA par la création d’une application enregistrée.
    • La connexion d’E-FOTA via l’application enregistrée.
    • L’ajout des groupes à E-FOTA
    • La création d’une campagne ciblant le groupe.
    • La configuration des périphériques pour la connexion avec le service E-FOTA en utilisant OEMConfig.

    Pour obtenir la procédure complète, vous pouvez lire le billet : Samsung E-FOTA Update Management with Microsoft Endpoint Manager - Intune - Microsoft Tech Community

    • 12/1/2021
  • [MEM/Intune] Les nouveautés de décembre 2020

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Gestion des applications

    • [Général] De nouvelles applications protégées sont disponibles et peuvent recevoir des stratégies de protection applicatives (APP/MAM) :
      • Dynamics 365 Remote Assist
      • Box - Cloud Content Management
      • STid Mobile ID
      • FactSet 3.0
      • Notate for Intune
      • Field Service (Dynamics 365)

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 11/1/2021
  • [Sentinel] Ingérer des données à partir de plusieurs tenants Office 365 et Azure Active Directory

    L’équipe Azure Sentinel a publié un billet visant à donner des instructions permettant l’ingestion de données provenant de plusieurs tenants Office 365 et Azure Active Directory dans Azure Sentinel. Nativement, ceci n’est pas possible mais l’article revient sur l’utilisation de playbook via Logic App et Azure Function pour aller lire les données dans les différentes APIs et les écrire dans des tables.

    Plus d’informations sur : O365 & AAD Multi-Tenant Custom Connector - Azure Sentinel - Microsoft Tech Community

    • 10/1/2021
  • [Sentinel] Utiliser une approche DevOps pour Azure Sentinel

    Pouyan Khabazi (MSFT) a publié un billet que je trouve très intéressant. Avec la montée en puissance d’Azure Sentinel chez les clients, l’utilisation d’une approche DevOps pour déployer et maintenir Azure Sentinel est clairement une belle opportunité. Son article revient sur l’utilisation d’Infrastructure as Code, d’Azure DevOps, etc.

    Je vous recommande de lire : Deploying and Managing Azure Sentinel - Ninja style - Microsoft Tech Community

    • 10/1/2021
  • Microsoft rend gratuit le renouvellement des certifications et change la période de validité

    Microsoft vient de réaliser plusieurs annonces qui concernent son programme de certification. Auparavant, quand vous procédiez à l’acquisition d’une certification basée sur un rôle, vous deviez repasser un examen afin de vous recertifier car ce dernier avait une durée de validité de 2 ans.

    A partir de février 2021, il sera possible de renouveler vos certifications basées sur des rôles en passant une évaluation gratuite sur Microsoft Learn. Ceci pourra se faire en ligne sans avoir à planifier un examen dédié dans les 6 mois précédent l’expiration de votre certification. Après le passage avec succès, votre certification se voit étendue d’une année à partir de la date courante d’expiration. Microsoft fournira des modules permettant de se préparer à chaque renouvellement.

    A partir de juin 2021, Microsoft mettra à jour la durée de validité des certifications basées sur des rôles et de spécialité à un an à partir de la date d’obtention (contre deux). Ceci concerne toutes les nouvelles applications acquises. Le but est de permettre de plus facilement aligner les changements liés au Cloud avec le renouvellement des certifications et l’évaluation des compétences.

    Source : Stay current with in-demand skills through free certification renewals - Microsoft Tech Community

    • 9/1/2021
  • [MEM/Intune] Les périphériques Windows ne reçoivent pas les stratégies de protection applicatives (APP/MAM) à cause d’adresses IP manquantes

    L’équipe Intune a publié un billet à propos d’un problème concernant l’application de stratégies de protection applicatives (APP/MAM) qui ne sont pas délivrées aux périphériques Windows dû à une adresse IP manquante. Si votre organisation utilise un pare-feu ou network protection qui cible ou restreint les adresses IP accessibles, Microsoft recommande de mettre à jour votre configuration réseau pour permettre le trafic réseau vers et depuis toutes les plages d'IP MAM, comme indiqué dans Network endpoints for Microsoft Intune.

    Pour ce faire, vous pouvez créer une stratégie de type :

    Plus d’informations : Support Tip: Devices not receiving APP/MAM policies due to missing IP addresses - Microsoft Tech Community

    • 9/1/2021
  • [Azure Defender] Les nouveautés de décembre 2020

    Microsoft a introduit un ensemble de nouveautés dans Azure Defender (anciennement Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Disponibilité Générale d’Azure Defender for SQL permettant la protection des serveurs SQL Server On-Premises. Ceci couvre aussi les serveurs SQL hébergés dans d’autres Clouds (AWS, GCP, etc.). Cette disponibilité générale apporte notamment le support pour des pools SQL dédiés Azure Synapse Analytics
    • Preview d’Azure Defender pour Azure Resource Manager permettant la supervision de toutes les opérations de gestion des ressources réalisées dans l’organisation au travers du portail Azure, des APIs REST Azure, d’Azure CLI, ou des clients programmatiques Azure. Vous obtiendrez des informations sur les opérations suspicieuses (depuis des adresses IP ou désactivation d’anti-malware, de scripts, etc.), l’utilisation de kit d’exploitation (Microburst ou PowerZure) ou les mouvements latéraux entre couches de gestion Azure.
    • Preview d’Azure Defender pour DNS pour permettre la protection en supervisant toutes les requêtes DNS depuis des ressources Azure. Ceci permet de couvrir l’exfiltration de données depuis des ressources Azure en utilisant DNS tunneling, la communication de malware avec des serveurs de Command et Control, les communications avec des domaines malicieux, les attaques DNS.
    • Les administrateurs globaux peuvent désormais s'accorder des autorisations au niveau des tenants. En effet, un utilisateur ayant le rôle d'administrateur global d'Azure Active Directory peut avoir des responsabilités au niveau du tenant, mais n'a pas les permissions Azure pour voir les informations de l’entreprise dans Azure Security Center.
    • Previex d’une nouvelle page d’alertes de sécurité dans le portail Azure ayant été revue pour :
      • Améliorer de l'expérience de triage des alertes - pour réduire la fatigue des alertes et se concentrer plus facilement sur les menaces les plus pertinentes, la liste comprend des filtres personnalisables et des options de regroupement
      • Donner plus d'informations dans la liste des alertes - telles que les tactiques de MITRE ATT&ACK
      • Offrir un bouton de création d'alertes types - pour évaluer les capacités d'Azure Defender et tester la configuration de vos alertes (pour l'intégration SIEM, les notifications par courrier électronique et les automatismes de flux de travail), vous pouvez créer des alertes types à partir de tous les plans d'Azure Defender
      • S’aligner sur l'expérience d'Azure Sentinel en matière d'incidents - pour les clients qui utilisent les deux produits, passer de l'un à l'autre est désormais une expérience plus simple et il est facile d'apprendre l'un de l'autre
      • Offrir de meilleures performances pour les listes d'alerte volumineuses
      • Permettre la navigation au clavier dans la liste d'alerte
    • L’expérience a été revue pour Azure SQL Database et SQL Managed Instance avec les recommandations de sécurité, les alertes de sécurité, les trouvailles (findings).
    • La page d'inventaire dans Azure Security Center a été rafraîchie avec les changements suivants :
      • Guides and feedback a été ajouté à la barre d'outils et ouvre un volet contenant des liens vers des informations et des outils connexes.
      • Un filtre d'abonnement a été ajouté aux filtres par défaut disponibles pour vos ressources.
      • Un lien Open query permet d’ouvrir les options du filtre actuel en tant que requête de graphique de ressources Azure (anciennement appelé "View in resource graph explorer").
      • Options de l'opérateur pour chaque filtre. Vous pouvez maintenant choisir parmi des opérateurs logiques supplémentaires autres que "=". Par exemple, vous pourriez vouloir trouver toutes les ressources avec des recommandations actives dont les titres comprennent la chaîne "encrypt".
    • La recommandation "Web apps should request an SSL certificate for all incoming requests" a été déplacée de security control Manage access and permissions (qui vaut un maximum de 4 points) à Implement security best practices (qui ne vaut aucun point).
    • Les outils d'exportation continue d'Azure Security Center vous permettent d'exporter les recommandations et les alertes du Security Center pour les utiliser avec d'autres outils de surveillance dans votre environnement. Ces outils ont été améliorés et développés de la manière suivante :
      • Amélioration des stratégies de d’export continu deployifnotexist.
      • Ajout de données d'évaluation de la conformité réglementaire (Preview). Vous pouvez désormais exporter en continu les mises à jour des évaluations de conformité réglementaire, y compris pour toute initiative personnalisée, vers un espace de travail Log Analytics ou un Event Hub.

    Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs

    • 8/1/2021
  • Les nouveautés Microsoft 365 Defender de Décembre 2020

    Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Cloud App Security. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

    Parmi les nouveautés de ce mois, on retrouve :

    • 8/1/2021
  • [Microsoft Defender for Office 365] Les nouveautés de décembre 2020

    Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

    • Ajout d’une nouvelle alerte pour les investigations d’email exécutées par un administrateur. Ceci permet de voir les investigations dans Microsoft 365 Defender. Ces alertes seront corrélées dans les incidents pour les associées à une attaque.
    • Ajout d’un nouveau type d’entité Mailbox Configuration permettant de clairement voir les éléments de configuration de boite aux lettres suspicieux depuis les onglets évidences, et investigation d’un incident. Vous pouvez par exemple voir les éventuelles règles de redirection, les délégations suspicieuses, etc.
    • La vue des entités sur l’incident levé lors qu’une suspicion de compromission d’un utilisateur a été mise à jour pour inclure un onglet Email Clusters permettant de lister les emails similaires à des messages malicieux.
    • Microsoft a supprimé l’action redondante Block URL. Cette action apparaît quand l’investigation trouve une URL malicieuse. Comme la stack de protection d'Office 365 bloquera l'URL au moment de la livraison et des clics via Safe Links, l'action d'enquête n'est plus nécessaire.  Il y aura à l'avenir des utilisations d'actions dans la partie Hunting et de l'explorateur pour des actions de correction de faux positifs et faux négatifs liés à l'administration.
    • La Public Preview des trainings de simulation d’attaque délivré en partenariat avec Terranova Security est maintenant disponible pour tous les clients Microsoft 365 E3 en plus des clients Microsoft Defender for Office 365 P2, Microsoft 365 E5 et Microsoft Security E5. Ce service permet de découvrir, quantifier et remédier les risques social engineering à travers tous les utilisateurs.

    Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

    • 7/1/2021
  • [Sentinel] Les nouveautés d’Azure Sentinel de décembre 2020

    Microsoft a introduit un ensemble de nouveautés dans Azure Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • 7/1/2021
  • [MEM/Intune] La stratégie Intune Data Collection ne s’applique pas sur les postes Windows 10 Pro

    Microsoft Endpoint Manager (Intune) propose une stratégie de connexion de données qui est utilisée pour collecter les données nécessaires à Endpoint Analtyics et d’autres services. Sur les postes Windows 10 Pro, la stratégie peut remonter en erreur.

    En réalité, Windows 10 Pro requiert le correctif cumulatif de Novembre 2020 pour que la stratégie fonctionne :

    • Windows 10 Pro 1903 et 1909 nécessite KB4577062 ou un correctif cumulatif ultérieur.
    • Windows 10 Pro 2004 et 20H2 nécessite  KB4577063 ou un correctif cumulatif ultérieur.
    • 6/1/2021
  • [MECM] Déployer Microsoft 365 Apps aux utilisateurs distants

    Avec la crise sanitaire, les entreprises ont fait face à un changement dans la façon de devoir administrer leurs périphériques. En effet, ces derniers ne sont plus présents physiquement dans l’entreprise et il peut devenir difficile d’assurer les opérations de mise à jour ou de déploiement des applications. Beaucoup d’entreprises ont implémenté des Cloud Management Gateway avec l’outil d’administration Microsoft Endpoint Configuration Manager. La puissance de cette passerelle n’est plus à démontrer mais il existe quelques astuces qui peuvent permettre d’en optimiser le coût. Le client Microsoft 365 Apps n’échappe pas à la règle. La taille de cette application peut être conséquente notamment dans des contextes internationaux avec de nombreux packs de langues (plusieurs giga-octets).  Martin Nothnagel (MSFT) a publié un billet détaillant la capacité de déployer le client Microsoft 365 Apps avec ConfigMgr tout en limitant l’impact réseau avec la récupération des sources sur l’Office CDN.

    La technique revient à retirer les sources du packages et modifier le fichier de configuration pour que le client se procure les sources depuis l’Office CDN.

    Je vous invite à lire son article : Deploy Microsoft 365 Apps to remote workers - Microsoft Tech Community

    • 6/1/2021
  • [Autopilot] White Glove et configuration du clavier et de la région ne font pas bon ménage

    J’en profite de cette période pour dépiler des retours d’expérience sur certains sujets et notamment Windows Autopilot. A partir de Windows 10 2004, il est possible d’utiliser le profil Autopilot pour configurer la langue (région) et le clavier de la machine.

    Ces paramètres ne peuvent pour l’instant pas être défini lorsque vous utilisez le scénario de préprovisionnement (White Glove).

    En effet, la définition de ces deux paramétrages ne permet pas d’appuyer 5 fois sur la touche Windows sur ces écrans afin de lancer le processus White Glove.

    Microsoft travaille à corriger ce problème qui requiert à la fois un changement dans Windows mais aussi sur la page de connexion Azure AD.

    • 5/1/2021
  • [Azure AD] Les nouveautés d’Azure Active Directory en Décembre 2020

    Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en décembre 2020.

    Microsoft apporte les nouveautés suivantes :

     

    On retrouve les modifications de service suivantes :

    • A partir du 1er Avril 2021, Microsoft passe le niveau de service (SLA) d’Azure AD de 99,9% à 99,99% pour les authentifications d’utilisateurs Azure AD. Ceci est le résultat d’un programme d’amélioration de la résilience du service Azure AD. Microsoft s’apprête à lancer d’autres chantiers pour améliorer la résilience d’Azure AD B2C ou proposer d’autres axes sur Azure AD en 2021.
    • Disponibilité Générale de l’activation par défaut de Security Defaults sur l’ensemble des nouveaux tenants créés après le 11 novembre. Ceci permet de demander à tous les utilisateurs et administrateurs d’enregistrer du MFA avec l’application Microsoft Authenticator. La stratégie demande aussi aux administrateurs critiques d’utiliser du MFA toutes les fois où ils se connectent. Enfin, l’authentification héritée est bloquée au travers du tenant.
    • Disponibilité Générale du support des groupes avec plus de 250 000 membres dans Azure AD Connect. Ceci est rendu possible par le déploiement d’une nouvelle API afin d’améliorer les performances et les opérations sur le service.
    • Disponibilité Générale du service Entitlement Management pour les tenants dans Azure China.

     

    Plus d’informations sur : What’s new Azure AD

    • 5/1/2021
  • [WVD] Les nouveautés de décembre 2020 sur Windows Virtual Desktop

    A l’occasion de cette fin d’année, Microsoft a annoncé deux Preview autour de Windows Virtual Desktop. Pour rappel, Windows Virtual Destkop est un service de VDI/Bureau à distance hébergé dans Microsoft Azure. Il permet d’héberger des machines virtuelles Windows 10 Enterprise ou Windows 7 SP1 Enterprise (avec support étendu) afin notamment d’exécuter des applications soit pour des problèmes de compatibilité soit pour donner accès à des ressources à distance. Les entreprises qui ont acheté Windows 10 Enterprise peuvent toutes bénéficier de ce service sans surcout de licences. Le seul coût est au niveau du calcul, du stockage et de la bande passante généré par ces machines virtuelles.

    On retrouve notamment :

    • L’intégration de MSIX App Attach dans le portail Azure. Précédemment, vous deviez utilise des scripts PowerShell pour activer MSIX App Attach. Maintenant, l’intégration peut se faire dans le portail avec Azure Resource Manager rendant possible de publier des applications packagées ciblées sur des groupes d’applications en quelques clics.
    • La protection contre la capture de l’écran est disponible empêchant que des informations sensibles puissent être extraites. Ceci bloque donc les screenshots, le partage d’écran, etc.
    • 4/1/2021