• [Intune] Les nouveautés du mois d’Octobre 2017

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Général

    • Suppression du bouton Enable/Disable pour la page Intune Certificate Authority afin d’éliminer une étape non nécessaire. Si vous désactiviez le connecteur, ce dernier continuait à délivrer des certificats.

    Enregistrement

    • [General] Un Quick Start est disponible dans la partie Device Enrollment afin de fournit une table de référence pour les plateformes gérées et la configuration du processus d’enregistrement.
    • [General] Le tableau des périphériques enregistrés dans Devices > Overview organise les périphériques par plateforme (Android, iOS, macOS, Windows et Windows Mobile). Les autres systèmes d’exploitation sont regroupés dans Others (par exemple Blackberry, NOKIA, etc.)
    • [Windows 10] Support du programme Windows AutoPilot Deployment dans Microsoft Intune. our rappel, Windows AutoPilot est l’équivalent du programme Apple Device Enrollment Program (DEP). Il permet de pré-provisionner des périphériques sans action particulière de la part de l’utilisateur. On peut donc acheter le périphérique et le faire livrer directement à l’utilisateur. Ce dernier le démarre et il se configure tout seul avec les éléments nécessaires pour l’entreprise.

    • [Android] Amélioration du workflow d’enregistrement dans le portail d’entreprise pour Android. Les éléments utilisateur sont plus user-friendly et spécifique à l’entreprise. Microsoft a aussi combiné des écrans. Les changements sont disponibles sur : https://docs.microsoft.com/en-us/intune/whats-new-app-ui#week-of-october-2-2017
    • [Android] L’utilisateur doit accepter les permissions Contacts via le portail d’entreprise sur Android. Si l’utilisateur refuse cet accès, il voir maintenant une notification dans l’application qui l’alerte afin de donner l’accès pour l’accès conditionnel.
    • [Android] Les utilisateurs avec des périphériques Android peuvent maintenant afficher la raison de non-conformité dans le portail d’entreprise. Quand cela est possible le portail redirige vers l’emplacement exacte dans les paramétrages pour corriger le problème.
    • [Android] Blocage des périphériques Samsung Knox non supportés. Le portail d’entreprise n’enregistrera uniquement les périphériques Samsung KNOX supportés par Samsung.
    • [Android] Lors de l’enregistrement d’un périphérique Android for Work avec un profil de travail, c’est le portail d’entreprise dans le profil de travail qui effectue les tâches d’administration sur le périphérique. A moins que vous utilisiez une application MAM dans le profil personnel, le portail d’entreprise pour Android n’est plus utilisé. Afin d’améliorer l’expérience, Intune cache automatiquement le portail d’entreprise personnel après l’enregistrement avec succès du profil de travail. Il est possible de réafficher le portail d’entreprise dans le profil personnel en naviguant dans le Play Store et en cliquant sur Enable.
    • [iOS] La page d'Overview pour l'enregistrement montre les alertes utiles à l’administrateur concernant la gestion Apple avec par exemple l'expiration du certificat Apple APN, du token Apple DEP, et quand il y a des périphériques non assignés au programme DEP.

    Gestion des périphériques

    • [Windows] Support de la prise en main à distance pour Windows et Windows Mobile géré en mode moderne via l’intégration avec TeamViewer.

    • [Windows 10] De nouveaux paramétrages sont ajoutés dans le profil Windows 10 device restriction profile dans la catégorie Windows Defender SmartScreen.
    • [Windows 10] Il est possible d’exécuter des actions à distance sur l’antivirus Windows Defender comme une analyse rapide, une analyse complète ou la mise à jour des signatures pour des périphériques Windows 10 gérés en mode moderne.

    • [Windows] Le portail d’entreprise Windows 8.1 et Windows Phone 8.1 passent en mode support. Cela signifie que les scénarios continuent d’être supportés mais l’application ne recevra que des mises à jour de sécurité critique. Aucun ajout de fonctionnalités ne sera fait à l’application. Microsoft recommande la mise à jour vers Windows 10.
    • [Android] Fin de support d’Android 4.3 et versions inférieures. Le portail d’entreprise nécessitera la Android 4.4 ou plus pour fonctionner. Les périphériques qui n’auront pas été mis à jour avant décembre ne pourront plus accéder au portail d’entreprise. Si vous utilisez les stratégies de protection des applications sans MDM, les applications ne recevront plus les mises à jour.
    •  [Android] De nouvelles notifications à destination de l’utilisateur final dans le portail d’entreprise pour Android Oreo, indiquent quand le portail d’entreprise effectue des tâches de fond (comme récupérer les stratégies, etc.).
    • [iOS] Ajout de l’information Ownership Type dans la vue Device Details du portail d’entreprise sur iOS. Ceci offre plus de transparence à l’utilisateur. 
    • [iOS] Ajout du support de l’authentification basée sur des certificats pour le portail d’entreprise iOS. Ceci permet à l’utilisateur de taper simplement son nom d’utilisateur et de choisir de se connecter avec un certificat. Cette capacité est déjà disponible sur le portail d’entreprise pour Android et Windows.

    Configuration des périphériques

    • [Windows 10] De nouveaux paramétrages pour le profils Windows 10 Team device restriction ont été ajoutés pour permettre de contrôler les périphériques Surface Hub.
    • [Android] Vous pouvez utiliser des stratégies de périphérique Android personnaliées pour empêcher les utilisateurs de périphériques Android de changer la date et l’heure. Ceci se fait via ./Vendor/MSFT/PolicyManager/My/System/AllowDateTimeChange
    • [Windows 10] La partie Windows Encryption > Base Settings inclut maintenant un paramétrage Warning for another disk encryption afin de désactiver l’avertissement qui est affiché pour le chiffrement d’autres disques en cours d’utilisation sur le périphérique.

    Gestion des applications

    • [General] Vous pouvez utiliser les tokens pour des valeurs dynamiques dans les configurations d'applications sur les périphériques qui ne sont pas enregistrés.
    • [iOS] Les développeurs tierces peuvent distribuer de manière privée des applications via le programme Apple VPP for Business. Ces applications sont maintenant synchronisées avec le tenant Intune lorsqu’un utilisateur les achète.
    • [iOS] Vous pouvez choisir un pays pour le store Apple VPP lors de l’upload d’un token VPP. Intune synchronise alors les applications VPP correspondant au store du pays. Aujourd’hui Intune ne synchronise que les applications VPP pour un pays du store VPP qui correspond à la langue d’Intune dans lequel le tenant a été créé.
    • [iOS] Vous pouvez spécifier une langue de pays lors de la création d’une application gérée par l’Apple AppStore.
    • [iOS] Vous pouvez configurer un token iOS pour mettre à jour toutes les applications achetées pour ce token à travers le service Intune. Ainsi Intune détecte les applications qui doivent être mis à jour et pousse automatiquement les mises à jour aux périphériques qui se présentent.
    • [Android] Vous pouvez configurer un profil d’entreprise pour Android for Work afin de bloquer la copie entre les applications d’entreprise et personnelles. Ce paramétrage est présent dans Device Restrictions – Work profile settings de la plateforme Android for Work.

    Supervision et Dépannage

    • [Général] L’association du périphérique et de l’utilisateur permet maintenant de créer des rapports et de visualiser des données.
    • [Général] L’option App protection policy sera ajouté dans la liste déroulante des Assignments à partir de la tuile de dépannage.
    • [Windows 10] Vous pouvez voir le rapport de stratégie pour des Update Rings de Windows 10 à partir de Software Updates > Per update ring deployment stat.
    • [iOS] Un nouveau rapport Out-of-date iOS Devices est disponible depuis l’espace Software updates. Ce rapport affiche la liste des périphériques iOS supervisés qui sont ciblés par une stratégie de mise à jour iOS et qui ont des mises à jour disponibles.

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

  • [Windows 10 1709] Un webinar sur les nouveautés de Windows 10 Fall Creators Update pour les IT Pros

    Nathan Mercer et Michael Niehaus (MSFT) vont tenir un webinar pour aborder les nouveautés à destination des IT Pros présentes dans Windows 10 1709 (Fall Creators Update). Ce Webinar a lieu le 2 novembre à 18h (heure française). Les sujets suivants seront abordés :

    • Provisionner et sécuriser un périphérique plus facilement et rapidement
    • Détecter et répondre aux menaces plus efficacement
    • Faire un tour d’horizon des fonctionnalités offertes dans cette Update.

    S’inscrire au Webinar

  • L’exécutable PowerShell va être renommé pour PSCore 6

    Steve Lee (MSFT) a annoncé que l’exécutable de PowerShell allait être renommé pwsh pour l’arrivée de PSCore. Globalement, on retrouvera dans les prochaines versions de Windows :

    • powershell.exe pour Windows PowerShell
    • pwsh.exe pour PowerShell Core 6

    Il n’y aura pas d’impact direct tant que vous n’utiliserez ne ferait pas appel à PowerShell.exe avec un script qui comporte des éléments de PowerShell Core 6. L’extension de fichiers .ps1 reste identique.

    Plus d’informations sur : https://github.com/PowerShell/PowerShell/issues/4214

    Source : https://twitter.com/Steve_MSFT/status/920706829058949120

  • Preview d’Azure Migrate Collector en v1.0.8.25

    Microsoft publie une version Preview d’Azure Migrate Collector. Cette Appliance virtuelle permet de collecter des données sur les machines virtuelles On-premises et d’évaluer leur viabilité dans Azure. L’outil donne notamment le coût d’exécution de la machine virtuelle dans Azure et si elle est prête à être migrée. Il peut être utilisée avec Hyper-V et les environnements vCenter avec des hôtes ESXi.

    Télécharger Azure Migrate Collector limited preview v1.0.8.25

  • [Windows 10 1709] Télécharger les Remote Server Admin Tools (RSAT) pour la Fall Creators Update (1709)

    Microsoft publie les outils d’administration de serveur à distance (RSAT) pour chaque version de Windows afin d’administrer les serveurs à distance. Microsoft a publié les outils à destination de Windows 10 1709 (Fall Creators Update). Notez que ceux-ci rassemblent Server Manager, les composants additionnels pour la MMC, les cmdlets PowerShell, et les outils en ligne de commande permettant de gérer Windows Server 2016 ou Windows Server 1709. Microsoft a précisé que certains outils pouvaient être utilisés pour gérer des rôles et fonctionnalités de Windows Server 2012 R2, Windows Server 2012, Windows Server 2008, Windows Server 2008 R2.

    Vous devez utiliser :

    • WindowsTH-RSAT_WS_1709-<Architecture>.msu quand vous gérez Windows Server 1709
    • WindowsTH-RSAT_WS2016-<Architecture>.msu quand vous gérez Windows Server 2016 ou les versions antérieures.

    Télécharger Remote Server Administration Tools for Windows 10

  • [Windows 10] Mise à jour du listing des paramétrages de stratégies de groupe pour la Fall Creators Update (1709)

    Microsoft a publié une mise à jour de son fichier de listing des paramétrages de stratégies de groupe (GPO) pour Windows 10 1709 (Fall Creators Update). On retrouve de nombreux nouveaux paramétrages dont :

    • Pour Windows Defender Application Guard :
      • Allow data persistence for Windows Defender Application Guard
      • Allow auditing events in Windows Defender Application Guard
    • Pour Microsoft Edge :
      • Always show the Books Library in Microsoft Edge
      • Provision Favorites
      • Prevent changes to Favorites on Microsoft Edge
    • Pour Windows Defender Exploit Guard :
      • Use a common set of exploit protection settings
    • Pour Windows Hello for Business :
      • Configure device unlock factors
      • Configure dynamic lock factors
      • Turn off smart card emulation
      • Allow enumeration of emulated smart card for all users
    • Pour Windows Defender :
      • Prevent users and apps from accessing dangerous websites
      • Configure Controlled folder access
      • Configure Attack Surface Reduction rules
      • Exclude files and paths from Attack Surface Reduction Rules
      • Configure allowed applications
      • Configure protected folders
    • Pour Windows Defender Security Center :
      • Hide the Virus and threat protection area
      • Hide the Firewall and network protection area
      • Hide the App and browser protection area
      • Prevent users from modifying settings
      • Hide the Device performance and health area
      • Hide the Family options area
      • Hide all notifications
      • Hide non-critical notifications
      • Configure customized notifications
      • Configure customized contact information
      • Specify contact company name
      • Specify contact phone number or Skype ID
      • Specify contact email address or Email ID
      • Specify contact website
    • Pour Windows Update :
      • Allow updates to be downloaded automatically over metered connections
      • Do not allow update deferral policies to cause scans against Windows Update
    • Pour OneDrive :
      • Prevent OneDrive from generating network traffic until the user signs in to OneDrive
    • Pour Internet Explorer :
      • Hide the button (next to the New Tab button) that opens Microsoft Edge
    • Pour MDM :
      • Auto MDM Enrollment with AAD Token
    • Plus généralement :
      • Let Windows apps communicate with unpaired devices
      • Allow Online Tips
      • Limit Enhanced diagnostic data to the minimum required by Windows Analytics
      • Enable usage of FIDO devices to sign on
      • Handwriting Panel Default Mode Docked
      • Allow Message Service Cloud Sync
      • Specify global DNS
      • Enables Activity Feed
      • Allow publishing of User Activities
      • Turn off Power Throttling
      • Turn off Push To Install service
      • Allow Cloud Search
      • Allow downloading updates to the Disk Failure Prediction Model
      • Enable Device Health Attestation Monitoring and Reporting
      • Configure the system to clear the TPM if it is not in a ready state.
      • Set Per-App Cellular Access UI Visibility
      • Let Windows apps access cellular data

     

    Télécharger Group Policy Settings Reference for Windows and Windows Server

  • Les modèles d'administration (ADMX) pour Windows 10 1709 sont disponibles

    Microsoft vient de publier les modèles d’administrations (ADMX, ADML) Active Directory pour Windows 10 1709 (Fall Creator Updates). Les modèles d’administrations pour Active Directory permettent d’ajouter les paramètres permettant de personnaliser les paramétrages et valeurs de registre dédiées à Windows 10.

    Parmi les nouveautés par rapport à Windows 10 1703, on retrouve :

    • Pour Windows Defender Application Guard :
      • Allow data persistence for Windows Defender Application Guard
      • Allow auditing events in Windows Defender Application Guard
    • Pour Microsoft Edge :
      • Always show the Books Library in Microsoft Edge
      • Provision Favorites
      • Prevent changes to Favorites on Microsoft Edge
    • Pour Windows Defender Exploit Guard :
      • Use a common set of exploit protection settings
    • Pour Windows Hello for Business :
      • Configure device unlock factors
      • Configure dynamic lock factors
      • Turn off smart card emulation
      • Allow enumeration of emulated smart card for all users
    • Pour Windows Defender :
      • Prevent users and apps from accessing dangerous websites
      • Configure Controlled folder access
      • Configure Attack Surface Reduction rules
      • Exclude files and paths from Attack Surface Reduction Rules
      • Configure allowed applications
      • Configure protected folders
    • Pour Windows Defender Security Center :
      • Hide the Virus and threat protection area
      • Hide the Firewall and network protection area
      • Hide the App and browser protection area
      • Prevent users from modifying settings
      • Hide the Device performance and health area
      • Hide the Family options area
      • Hide all notifications
      • Hide non-critical notifications
      • Configure customized notifications
      • Configure customized contact information
      • Specify contact company name
      • Specify contact phone number or Skype ID
      • Specify contact email address or Email ID
      • Specify contact website
    • Pour Windows Update :
      • Allow updates to be downloaded automatically over metered connections
      • Do not allow update deferral policies to cause scans against Windows Update
    • Pour OneDrive :
      • Prevent OneDrive from generating network traffic until the user signs in to OneDrive
    • Pour Internet Explorer :
      • Hide the button (next to the New Tab button) that opens Microsoft Edge
    • Pour MDM :
      • Auto MDM Enrollment with AAD Token
    • Plus généralement :
      • Let Windows apps communicate with unpaired devices
      • Allow Online Tips
      • Limit Enhanced diagnostic data to the minimum required by Windows Analytics
      • Enable usage of FIDO devices to sign on
      • Handwriting Panel Default Mode Docked
      • Allow Message Service Cloud Sync
      • Specify global DNS
      • Enables Activity Feed
      • Allow publishing of User Activities
      • Turn off Power Throttling
      • Turn off Push To Install service
      • Allow Cloud Search
      • Allow downloading updates to the Disk Failure Prediction Model
      • Enable Device Health Attestation Monitoring and Reporting
      • Configure the system to clear the TPM if it is not in a ready state.
      • Set Per-App Cellular Access UI Visibility
      • Let Windows apps access cellular data

    Pour voir le listing complet des paramétrages, vous pouvez utiliser le fichier des différences.

    Télécharger Administrative Templates (.admx) for Windows 10 Fall Creators Update (1709)

  • Windows 10 1709 est disponible ! Quelles sont les nouveautés (Consumers et IT Pros) ?

    Microsoft a annoncé la disponibilité de Windows 10 1709 (Build 10.0.16299.x) encore appelée Fall Creators Update (RS3). Parmi les grandes nouveautés, on retrouve :

    Changement Généraux sur le système

    • Introduction de Windows Mixed Reality pour mettre de la réalité mixte dans Windows. Vous pouvez donc utiliser des casques ou des caméras de réalité virtuelle pour différents usages. Microsoft a annoncé des casques par Acer, Dell, HP, Lenovo et Samsung. En outre l’application Mixed Reality Viewer permet d’utiliser la caméra de son PC pour visualiser des objets 3D dans votre environnement.
    • Microsoft permet l’intégration d‘objets 3D dans les fichiers Office (Pour les nouvelles versions) comme par exemple dans les présentations PowerPoint ou les documents Word ou Excel.
    • La solution de Streaming de jeux vidéo (Mixer) se voit améliorée.
    • Microsoft intègre une solution antitriche appelé TruePlay qui pourra être utilisé par les développeurs.
    • Une nouvelle version de l’application Photo permet de convertir les photos en souvenirs et histoires et de les personnaliser avec des effets 3D, des transitions et des vidéos sans nécessiter de l’expérience dans l’édition.
    • Microsoft intègre sa fonction My People permettant d’attacher des contacts privilégiés dans la barre de tâches afin d’envoyer facilement des emails ou des messages instantanés via Skype. Cette fonction permet aussi de partager très facilement des choses (Site Internet, etc.) simplement par un drag and drop.
    • Continuum permet maintenant une utilisation en mode Portrait.
    • Vous pouvez utiliser Cortana pour arrêter, redémarrer ou mettre en veille votre ordinateur.
    • Au lieu d'afficher un simple lien vers les résultats, le volet Cortana s'agrandit automatiquement et présente rapidement les informations que vous recherchez. Cela fonctionne pour les films, les célébrités, le cours des actions, la météo, l'état des builds, etc.
    • OneDrive Files On-Demand permet d’éviter le téléchargement de l’ensemble des fichiers et de choisir ceux que vous souhaitez stocker localement ou être simplement accessible à la demande.
    • La fonctionnalité Storage Sense permettant de laisser Windows supprimer automatiquement les fichiers dont vous n’avez pas besoin, intègre maintenant les fichiers du dossier Téléchargements.
    • Une fonctionnalité Find my Pen permet de retrouver le stylet associé à la tablette.
    • Via la connexion Bluetooth, le stylet devient votre télécommande PowerPoint.
    • On retrouve un convertisseur de devises directement depuis la calculatrice.
    • Il est maintenant possible de réinitialiser le mot de passe ou le code PIN d’un compte Microsoft ou Azure Active Directory depuis l’écran de verrouillage.
    • On retrouve les informations de performances graphiques directement depuis le gestionnaire de tâches.
    • Le choix du mode d’énergie a été facilité pour basculer facilement du mode économie à meilleures performances.
    • Continuer ce que vous avez commencer sur votre PC avec Cortana sur votre téléphone (iOS, Android et bien entendu Windows Phone) en envoyant du contenu pour l’ouvrir instantanément sur votre PC.
    • Windows Store devient Microsoft Store afin d’unifier l’expérience sur les différentes plateformes. Le logo est par exemple harmonisé.
    • Mise à jour de la console Windows pour revisiter les couleurs par défaut. Ceci permet d’améliorer la lisibilité des couleurs sombres sur les écrans modernes.
    • De nouvelles notifications interactives quand des nouvelles mises à jour sont disponibles.
    • L’espace A propos (About) de l’application Paramétrages (Settings) comprend des informations de l’état de santé, etc.

    Microsoft Edge

    • Microsoft Edge arbore un nouveau look avec un matériau Acrylique qui ajoute un effet de profondeur et de transparence à la barre d'onglets et aux autres commandes. Les animations des boutons ont été améliorées afin de les rendre plus réactifs et agréables.
    • Il est maintenant possible d’écrire via un stylet sur des PDFs grâce à Microsoft Edge.
    • Vous pouvez remplir le formulaire d’un fichier au format PDF directement dans Microsoft Edge.
    • Ceci était possible avec Internet Explorer, vous pouvez maintenant attacher vos sites Web favoris à la barre de tâches via Microsoft Edge.
    • Vous pouvez éditer l’URL des favoris directement depuis le menu ou la barre des favoris.
    • Microsoft Edge propose un mode plein écran via la touche F11 ou via le menu des paramétrages.

     

    Options d’accessibilité

    • Microsoft a travaillé pour améliorer les options d’accessibilité, on retrouve notamment une version Bêta d’Eye Control permettant d’utiliser un Eye Tracker (comme Tobii Eye Tracker) afin d’utiliser le regard pour diriger la souris, le clavier, etc.
    • Microsoft intègre aussi Learning Tools dans Microsoft Edge pour rendre faciliter la lecture pour les personnes atteintes de dyslexie. Ceci permet de surligner et en même temps lire du texte sur des pages internet ou sur des documents PDF.
    • Dictation permet aux personnes de parler dans un microphone et de convertir en texte qui apparait sur l’écran en utilisant Windows Speech Recognition. Microsoft a amélioré l’outil pour utiliser des commandes vocales permettant l’édition basique.
    • Color Filters permet d’améliorer l’utilisation pour des personnes qui sont atteintes de daltonisme pour différentier les couleurs.

    Protection avancée contre les menaces de sécurité actuelles

    • Améliorations de Windows Defender Advanced Threat Protection (ATP) :
      • Le tableau de bord intègre les éléments de l’ensemble des solutions de sécurité. Microsoft a développé des indicateurs d’attaques (IOAs) qui sont capables de détecter des compromissions. Ceci inclut :
        • Windows Defender Application Guard,
        • Windows Defender Device Guard,
        • Windows Defender Credential Guard,
        • Windows Defender Firewall
        • Windows Defender Antivirus.
      • Un tableau de bord des opérations de sécurité offre une vision des alertes actives, des machines qui ont fait des rapports, les machines et utilisateurs à risque, les machines avec des malwares actifs, etc.
      • Le tableau de bord d’Analytics de sécurité permet de voir l’état de sécurité de l’organisation, les machines qui nécessitent une attention particulière et une liste d’actions pour réduire la surface d’attaque.
      • De nouvelles Graph APIs de sécurité.
    • Windows Defender Application Guard (WDAG) permettant d’isoler Microsoft Edge dans un environnement conteneurisé d’à peine 18 MB. Ceci évite qu’un logiciel malveillant qui exécute du code à partir du navigateur puisse se propager au système. Cette fonctionnalité nécessite Hyper-V pour fonctionner et par conséquent le matériel adéquat. Les stratégies permettent de gérer le copier/coller, le type de contenu que tu peux copier/coller, les imprimantes, le filtre de contenu relaxé ou strict, la persistence des données, l’auditing. L’édition Enterprise est requise.
    • Windows Defender Exploit Guard (WDEG) est l’équivalent d’Enhanced Mitigation Experience Toolkit directement inclus dans Windows 10 (Edition Pro et Enterprise). Il permet de se protéger contre certaines techniques communément utilisées pour l’exploitation de vulnérabilités. Cette solution de type Host Based Intrusion Prevention System (HIPS) s’intègre au Microsoft Intelligent Security Graph pour réduire la surface d’attaque avec des règles intelligentes. Exploit Guard intègre les composants suivants :
    • Windows Defender Application Control (WDAC) est la solution de contrôle des applications (white listing) qui utilise Windows Code Integrity. Elle permet de définir des stratégies d’exécution des applications afin de protéger le système. Configuration Manager peut être utilisé pour déployer (via Managed Installer) des applications tout en mettant à jour les stratégies d’intégrité du code. La solution n’est pas BitLocker qui permet de gérer des stratégies spécifiques à l’utilisateur ou au rôle et qui vérifie l’application sur la base de son nom ou de son hash. Ce n’est pas non plus Windows Defender Device Guard qui ajoute la virtualisation basée sur la sécurité pour le Kernel Windows en forçant la protection d’intégrité de code pour les accès en mémoire du kernel non autorisé.
    • Windows Assigned Access a été amélioré pour permettre un meilleure personnalisation et verrouillage des périphériques Windows à des tâches spécifiques. La fonctionnalité supporte par exemple le verrouillage pour une utilisation avec plusieurs applications.
    • Windows Hello a été amélioré pour verrouiller et déverrouiller dynamiquement avec de nouveaux facteurs comme la proximité, l’emplacement, et le support d’Intel Authenticate.
    • Affichage du type de réseau (public, privé, domaine) dans la partie Firewall & Network Protection de Windows Defender Security Center.
    • La taille minimum du PIN pour BitLocker a été changé de 6 à 4 sachant que la valeur par défaut reste 6 caractères.
    • Amélioration de l’avertissement à l’utilisateur final pour les applications qui sont bloqués par la stratégie de l’entreprise.

    Options flexibles de déploiement, mise à jour et support

    • Windows AutoPilot permet un déploiement en libre-service des périphériques Windows 10 afin de livrer directement le périphérique à l’utilisateur et de le configurer automatique au premier démarrage.
    • Windows 10 Automatic Redeployment permet la réinitialisation du périphérique tout en maintenant la gestion MDM et la connexion à Azure Active Directory.
    • Windows 10 Subscription Activation permet d’activer ou mettre à niveau Windows 10 vers l’édition Enterprise sans infrastructure en utilisant le Cloud et l’identité Azure Active Directory de l’utilisateur. En effet, la licence Microsoft 365 (ou Secure Productive Enterprise) associée, permet l’activation du périphérique.
    • Co-Management avec System Center Configuration Manager et Microsoft Intune. Cette fonctionnalité (principalement liée à ConfigMgr) permet de gérer des périphériques Windows 10 à la fois avec le client ConfigMgr mais aussi en mode moderne avec Microsoft Intune (Standalone). Vous pouvez ainsi choisir quelles sont les fonctionnalités que vous souhaitez gérer avec quel mode (traditionnel ou moderne). Pour l’instant, vous pouvez gérer les stratégies de conformité et les stratégies Windows Update for Business.
    • De nouveaux paramétrages MDM permettent de :
      • Configurer le Firewall
      • Configurer Windows Defender Application Guard
      • Configurer les entrées de proxy
      • Savoir si un agent d’administration traditionnel est présent sur le périphérique
      • Configurer des paramétrages de sécurité (comme les comptes et stratégies de connexion)
    • Une stratégie de groupe (Auto MDM Enrollment with AAD Token) permet d’initier l’enregistrement automatique à la solution MDM pour des machines jointes au domaine Azure Active Directory.
    • Il n’est plus nécessaire d’importer les symboles Windows pour permettre le dépannage de Windows Update. La commande PowerShell d’export est toujours nécessaire pour les symboles (parfois nécessaires) ne sont plus requis.
    • Les applications universelles par défaut (Par exemple : Xbox, etc.) ne sont pas réinstallées automatiquement lors de la mise à niveau. Cette fonctionnalité est très intéressante dans le monde de l’entreprise qui avait l’habitude de les supprimer et où la mise à niveau initié la réinstallation.

     

    Gestion et contrôle complets des appareils et applications

    • Windows 10 intègre de nouveaux capteurs de télémétrie permettant au service Windows Analytics Device Health de réduire le coût proactivement de support en identifiant et en remédiant les problèmes des utilisateurs.

    Hyper-V

    • Nouvelle galerie de machines virtuelles
    • Des checkpoints automatiques peuvent être réalisés
    • Support de la batterie virtuelle permettant de voir l’état de la batterie directement dans la machine virtuelle. Ceci peut être aussi utilisé pour réaliser un arrêt automatique.

     

    Microsoft a revu la façon dont les éditions de Windows 10 étaient mises à disposition. Auparavant, on retrouvait :

    • Une ISO pour les éditions classiques (Home, Pro, etc.)
    • Une ISO pour l’édition Enterprise
    • Une ISO pour l’édition Enterprise N

    Avec Windows 10 1709, on retrouve une seule ISO pour l’ensemble des éditions. Cette dernière comprend plusieurs images sur des indexes différents :

    Nom de l’image

    Index

    Windows 10 Education

    1

    Windows 10 Education N

    2

    Windows 10 Enterprise

    3

    Windows 10 Enterprise N

    4

    Windows 10 Pro

    5

    Windows 10 Pro N

    6

     

    Ce changement s’applique aussi aux mises à niveau (Upgrades) publiées sur WSUS. Vous retrouverez une seule mise à niveau par langue :

    • Feature update to Windows 10, version 1709, <language>
    • Windows 7 and 8.1 upgrade to Windows 10, version 1709, <language>

     

    Vous pouvez télécharger cette version depuis le portail MVLS ou pour les abonnements MSDN depuis le site Visual Studio. Elle est aussi disponible depuis Windows Update ou via l’assistant de mise à niveau. Enfin, vous pouvez tester une version d’évaluation.

    Plus d’informations sur les nouveautés via la vidéo suivante :

  • [Windows 10] Publication du correctif pour Windows 10 1703 et gérer les doubles scans

    Après Windows 10 1607, Microsoft vient de publier le correctif qui permet de gérer le scénario de doubles scans par les clients Windows 10 1703. Ce dernier est inclus dans la mise à jour cumulative d’Octobre 2017.

    Pour rappel, Microsoft a introduit un nouveau paradigme de gestion des mises à jour basé sur la gestion moderne. Le but est d’utiliser Windows Update for Business pour déployer les mises à jour sans avoir à valider les mises à jour individuellement mais en choisissant un délai d’application.

    Le double scan (Dual Scan) a été introduit par Microsoft car de nombreuses entreprises souhaitaient pouvoir bénéficier de cette gestion moderne tout en permettant la mise à jour d’applications tierces via une infrastructure WSUS existante. Microsoft a donc introduit un double scan à partir de la version 1607 pour permettre de gérer les mises à jour des produits Windows par Windows Update for Business tout en assurant la mise à jour de composants tiers (par exemple Adobe, etc.) via WSUS et Configuration Manager. En gros, ce comportement est directement ciblé aux entreprises qui utilisent System Center Updates Publisher (SCUP) pour mettre à jour les produits tiers. Ainsi la double analyse a lieu lorsque l’entreprise configure les paramétrages Windows Update for Business (WUfB) via GPO ou MDM. 

    Pour utiliser le paramètre Do not allow update deferral policies to cause scans against Windows Update, , vous devez soit le configurer localement soit utiliser des stratégies de groupe en chargeant les ADMX pour Windows 10 1709.

    Voici les différents scénarios et quand activer la stratégie :

    • Gérer les mises à jour Windows depuis Windows Update mais le contenu non Windows depuis WSUS : Ne pas activer la stratégie.
    • Gérer les mises à jour Windows depuis WSUS et bloquer Windows Update. Vous pouvez activer la stratégie même si vous avez bloquer les communications avec Windows Update.
    • Gérer les mises à jour Windows depuis Windows Update sans utiliser WSUS : Ne pas activer la stratégie.
    • Gérer les mises à jour Windows depuis WSUS et les mises à jour supplémentaires avec Windows Update : Activer la stratégie.
    • Gérer les mises à jour Windows depuis SCCM et les mises à jour supplémentaires avec Windows Update : Microsoft va publier des éléments sur ce sujet.

    Ce paramétrage est déjà présent dans Windows 10 1709. Microsoft va bientôt permettre la gestion du paramétrage via le canal MDM.

    Source : https://blogs.technet.microsoft.com/wsus/2017/08/04/improving-dual-scan-on-1607/

  • [Intune] Mise à jour du chemin d’accès aux périphériques via Graph API

    Avec la version d’Octobre, Microsoft met à jour le chemin d’accès utilisé pour accéder aux périphériques gérés par Microsoft Intune dans la version Bêta de Graph API.

    Ancien chemin : https://graph.microsoft.com/beta/managedDevices

    Nouveau chemin : https://graph.microsoft.com/beta/deviceManagement/managedDevices

    Les deux chemins vont fonctionner tout le mois d’octobre puis seul le nouveau chemin ne sera utilisable. Vous devez donc mettre à jour vos scripts en conséquence si vous utilisez Graph API.

  • [SCCM] Quid du support de Windows 10 1709 (Fall Creators Update) ?

    Avec l’arrivée de Windows 10 1709 (Fall Creators Update), on peut facilement se poser la question du support par System Center Configuration Manager.

    Seul System Center Configuration Manager 1706 offre une rétrocompatibilité pour Windows 10 1709. Ceci signifie que cette version apporte le support sur les fonctionnalités existantes. Le support complet avec notamment de nouvelles fonctionnalités est apporté par System Center Configuration Manager 1710.

    Comme pour Windows 10 1607 et 1703, Microsoft n’assure pas de support de Windows 10 1709 par System Center Configuration Manager 2007 SP2, 2012 SP2 ou 2012 R2 SP1.

    En ce qui concerne Windows 10 Assessment and Deployment Kit (ADK) en version 1709, là aussi, seul System Center Configuration Manager 1706 permet son utilisation. Pour rappel, Microsoft recommande l’utilisation de l’ADK correspondant (ou supérieur) à la version de Windows 10 que vous souhaitez déployer.

    Source : https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/support-for-windows-10#windows-10-as-a-client

  • [SQL Server] Microsoft répond à vos questions sur SQL Server 2017

    Microsoft va proposer un événement de questions/réponses sur le service SQL Server 2017. Cet évènement aura lieu ce mercredi 25 Octobre de 19h à 20h30 (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur SQL Server 2017 en obtenant une réponse directe.

    Pour participer : https://www.reddit.com/r/Database/

  • [SCCM/Intune] Changement sur la sécurité des stratégies de conformité avec accès conditionnel – ACTIONS NECESSAIRES

    Mise à jour en date du 17-02-18.

    L’équipe du support Microsoft Intune a publié un article sur son blog à propos de l’introduction de changements sur les stratégies de conformité utilisées avec l’Accès conditionnel. Ceux-ci impliquent des actions pour éviter que les utilisateurs perdent l’accès aux emails.

    Jusqu’à maintenant, les périphériques sans stratégie de conformité étaient considérés comme conformes. A partir de fin novembre, Microsoft change ce design et les postes sans stratégie de conformité, seront considérés comme non conformes. Ainsi, l’accès conditionnel bloquera l’accès aux services (comme les emails).

    Microsoft lance un rapport “Devices without compliance policy” permettant d’identifier ces machines dans votre environnement. Vous devez ensuite leur assigner une stratégie de conformité sans contraintes avant mi-novembre. Vous aurez aussi la possibilité d’assigner une stratégie de conformité à l’ensemble des utilisateurs (All Users).

    Le rapport est disponible sur le portail Azure dans Intune – Device Compliance. Vous pouvez voir le nombre depuis la partie Overview et voir le détail en cliquant dessus.

    Si vous utilisez Configuration Manager dans un mode hybride couplé à Microsoft Intune, le changement s’applique aussi et l’équipe donne des requêtes SQL permettant d’identifiant les postes en question :

    SELECT UMR.UniqueUserName AS UserName, CDR.Name AS DeviceName, CDR.DeviceOS, CDR.SiteCode, CDR.LastActiveTime, CDR.ManagementAuthority, CDR.SMSID, CDR.SerialNumber, CDR.IMEI

    FROM vSMS_CombinedDeviceResources CDR LEFT JOIN v_UserMachineRelationship UMR ON CDR.MachineID = UMR.MachineResourceID

    WHERE CDR.ClientType = 3 AND CDR.ArchitectureKey = 5 AND CDR.MachineID NOT IN

    (SELECT DISTINCT MachineResourceID FROM v_UserMachineRelationship WHERE UniqueUserName IN (SELECT DISTINCT SMSID FROM vCollectionMembers WHERE CollectionID IN (SELECT DISTINCT TargetCollectionID FROM vCI_CIAssignments WHERE AssignmentType = 8)))

    Vous pouvez ensuite créer une stratégie de conformité sans contraintes qui cible la collection All Users.

    Si vous utilisez le MDM pour Office 365, le changement s’applique aussi. C’est notamment le cas si vous utilisiez l’option  “Allow access even if the device does not meet the requirements of the policy”. Vous devez identifier les utilisateurs impactés et créer une stratégie sans contraintes qui cible “all existing users who have a policy targeted” en sélectionnant “Block access and report violation”.

    Plus d’informations sur : https://blogs.technet.microsoft.com/intunesupport/2017/10/11/upcoming-security-enhancements-in-the-intune-service-your-action-is-required/

  • Microsoft répond à vos questions sur la sécurité et la conformité

    Microsoft via Ankur Arora va proposer un événement de questions/réponses sur la Sécurité et la Conformité. Cet évènement aura lieu le mercredi 25 octobre de 16h à 20h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur ce sujet avec une réponse directe.

    Pour suivre : https://www.microsoftpartnercommunity.com/t5/Ask-Me-Anything/Ask-Me-Anything-Topic-Security-amp-Compliance/td-p/2677.

  • [SCCM 1702/1706] L’action de la variable SMSTSPostAction s’éxécute deux fois

    Je vous en parlais quelques jours pour la mise à niveau de système d’exploitation, il s’avère qu’après plusieurs tests, la variable SMSTSPostAction permettant d’exécuter une action après le déploiement de système d’exploitation via System Center Configuration Manager, s’exécute deux fois. Pour rappel, lorsqu’elle est positionnée au milieu d’une séquence de tâches de mise à niveau, elle fait planter la mise à niveau.

  • [SCM] Les baselines pour Windows 10 1709 disponibles en version finale

    Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Windows 10 1709 (Fall Creators Update/RS3). Il n’y a aucun changement par rapport à la version Beta publiée il y a quelques semaines. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

    Voici les différences avec la baseline pour Windows 10 1703 :

    • Implémentation des règles de réduction de la surface d’attaque inclues dans Windows Defender Exploit Guard. Cette nouvelle fonctionnalité de Windows 10 1709 permet d’empêcher un ensemble d’actions utilisées par des logiciels malveillants. C’est le remplacement de Enhanced Mitigation Experience Toolkit (EMET). Microsoft active le blocage pour l’ensemble des paramétrages. Microsoft se penche particulièrement sur le paramétrage "Block office applications from injecting into other process" qui créé des incompatibilités. Le passage dans un mode Audit peut être une solution.
    • Activation de la fonctionnalité de protection réseau de Windows Defender Exploit Guard pour empêcher les applications d’accéder à des sites identifiés comme dangereux. Ceci correspond aux types de protection offerts par la fonctionnalité SmartScreen d’Internet Explorer ou de Microsoft Edge, etc.
    • Activationd’un paramétrage qui empêche les utilisateurs de faire des changements sur les paramétrages de protection d’Exploit Guard dans Windows Defender Security Center.

    Microsoft recommande l’activation de Windows Defender Application Guard qui a démontré être un bon mécanisme de défense.

    Plus d’informations sur l’article suivant : https://blogs.technet.microsoft.com/secguide/2017/09/27/security-baseline-for-windows-10-fall-creators-update-v1709-draft/

    Télécharger Windows 10 RS3 Security Baseline

  • Windows Server 1709 est disponible

    Outre Windows 10, Microsoft a aussi mis à disposition Windows Server 1709. Windows Server embrasse maintenant le concept as-a-Service déjà appliqué à Windows 10 et Office 365. On retrouve deux canaux de diffusions : Long-Term Servicing Channel (LTSC) et Semi-annual Channel. LTSC est l’équivalent des versions de Windows Server que l’on a connu jusqu’alors. Le canal Semi-annual Channel proposera deux versions par an, chacune supportée pour une durée de 18 mois. Ces versions seront publiées en Mars et Septembre de chaque année avec la nomenclature déjà connue AAMM (exemple 1803 pour Mars 2018).

    Seuls Nano Server et Server Core font parti du cycle continu Semi-annual Channel. Microsoft recommande l’édition Server Core pour héberger des rôles d’infrastructure ou des conteneurs Nano Server ou plus généralement pour toute charge du Datacenter. C’est d’ailleurs les images qui sont utilisées comme image de base pour Azure ou Azure Stack.

    Il n'est donc pas possible de mettre à jour Windows Server 2016 vers Windows Server 1709 puisque ce sont deux modèles de maintenance différents.

    Windows Server 1709 n’est disponible qu’en deux éditions : Standard et Datacenter. Les clients qui utilisaient l’édition Essentials doivent se contenter de Windows Server 2016.

    Windows Server 1709 comporte les nouveautés suivantes :

    • Nano pour les conteneurs est une priorité importante pour les clients. Microsoft a rendu Nano le plus efficace pour les images en réduisant la taille de plus de 80% (~195 MB) ainsi que le temps de démarrage. Ceci améliore la densité des conteneurs.
    • Nano ne comporte plus les rôles d’infrastructure. En lieu et place, Microsoft recommande l’utilisation de Server Core.
    • Le support natif des conteneurs et charges de travail Linux par Windows Server. On retrouvera donc l’extension des capacités d’isolation Hyper-V aux conteneurs Linux. Il ne sera plus nécessaire de déployer deux infrastructures de conteneurs différentes pour supporter des applications Windows et Linux.
    • Microsoft a porté Windows Subsystem for Linux (WSL) (ou Bash) sur Windows Server.
    • Le Load Balancing de machines virtuelles est amélioré avec la prise en compte du système et des applications afin d’assurer des performances d’application optimales.
    • Support de la mémoire Storage-class pour les machines virtuelles permettant la création des volumes d’accès direct formatés en NTFS sur des DIMMs non volatile.
    • La Mémoire Persistante Virtualisée (vPMEM) est possible par la création d’un fichier VHD (vhdmem) sur un volume en accès direct et en ajoutant un contrôleur vPMEM sur une machine virtuelle.
    • Support pour les conteneurs d’accéder aux volumes de données persistants localisés sur des Cluster Shared Volumes (CSV).
    • SMB Global Mapping : Support du mapping de partage de fichiers SMB sur une lettre de lecture à l’intérieur d’un conteneur.
    • Chiffrement réseau rapide de segments réseau sur des infrastructure Software-Defined Networking.
    • Les machines virtuelles protégées (Shielded VM) sont supportées pour Linux.
    • Suppression de SMBv1 et de l’authentification comme invité pour SMBv2.
    • La déduplication de données supporte maintenant ReFS.
    • Intégration de Remote Desktop Services avec Azure Active Directory pour pouvoir bénéficier de l’accès conditionnel, de l’authentification à facteurs multiples, etc.
    • De nouvelles fonctionnalités pour Docker.
    • Chiffrement du réseau virtuel permettant le chiffrement du trafic entre machines virtuelles qui communiquent au travers d’un réseau virtuel.

    Windows Server 1709 ne comporte pas Storage Spaces Direct car elle n’a pas atteint le niveau de validation adéquat. Et il n’est d’ailleurs pas possible d’exécuter cette version du système sur une infrastructure Storage Spaces Direct de Windows Server 2016.

    Plus d’informations sur les nouveautés.

    Lire une FAQ.

    Vous pouvez télécharger cette version depuis le portail MVLS ou pour les abonnements MSDN depuis le site Visual Studio. Les images sont aussi disponibles depuis l’Azure MarketPlace.

    Pour obtenir une version d’évaluation de Windows Server 1709, Microsoft recommande l’utilisation du programme Windows Insiders.

  • Microsoft lance Visio Online

    Microsoft vient de lancer son service Visio Online. Cette version de Visio est à l’image de Word, Excel, OneNote ou PowerPoint Online que vous pouvez utiliser sur Office 365 ou Outlook.com. L’outil vous permet vient entendu de lire des documents Vsd et Vsdx mais aussi de les créer ou de les éditer.

    Certaines fonctionnalités ne sont disponibles que dans la version Cloud (Visio Online Plan 2 uniquement) :

    Microsoft propose aussi deux plans :

    • Visio Online Plan 1 à 5USD par utilisateur par mois ; comprend Visio online et 2 GB de stockage OneDrive.
    • Visio Online Plan 2 à 15USD par utilisateur par mois (équivalent à Visio Pro pour Office 365) comprend tous les éléments du Plan 1 + le client lourd Visio.

    Note : Les clients Office 365 peuvent visualiser les diagrammes gratuitement.

    Accéder à Visio Online.

     

    Source : https://blogs.office.com/en-us/2017/10/18/visio-online-and-visios-new-cloud-innovations-help-you-unlock-creativity/?eu=true

  • Nouvelle version 17.3 de SQL Server Management Studio

    SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 17.3 a été mise à disposition et permet de se connecter de SQL Server 2008 à SQL Server 2017.

    Cette nouvelle version apporte :

    • L’import de fichier à plat (csv, txt, etc.) avec un Framework permettant à l’utilisateur un minimum d’intervention.
    • L’XEvent Profiler permet de fournir une vue en direct des événements étendus.
    • Ajout de la vérification de syntaxe pour la fonction « Predict »
    • Ajout de la vérification de syntaxe pour les requêtes External Library Management.
    • Ajout du support SMO pour External Library Management
    • Ajout du support « Start PowerShell » pour les serveurs enregistrés.
    • D’autres améliorations et corrections de bugs

    Plus d’informations sur la Release Notes

    Télécharger SQL Server Management Studio (SSMS) 17.3

  • Publication de l’installeur hors ligne du .NET Framework 4.7.1

    Microsoft a mis à disposition l'installeur hors ligne du .NET Framework 4.7.1 pour Windows 7 SP1, Windows 8.1, Windows 10 1607 (Anniversary Update), Windows 10 (Creators Update), Windows Server 2008 R2 SP1, Windows Server 2012, Windows Server 2012 R2 et Windows Server 2016.

    Parmi les grandes améliorations, on retrouve :

    • Support de .NET Standard 2.0.
    • Amélioration des performances du Garbage Collection (CG).
    • ValueTuple est Sérialisable.
    • Support des ReadOnlyReferences.
    • Support de la détection des fonctionnalités d’exécution.
    • Support des Portable PDBs.

    Quelques informations importantes :

    • Le .NET Framework 4.7.1 sera proposé pour les autres versions de Windows 10 (1607, etc.) prochainement
    • Le .NET Framework 4.7.1 est inclus dans Windows 10 1709 (Fall Creators Update)

    Plus d’informations sur : https://blogs.msdn.microsoft.com/dotnet/2017/09/28/net-framework-4-7-1-runtime-and-compiler-features/

    Télécharger :

  • [Intune] Datalert met à jour son service en v1.7.1

    Saaswedo a mis à jour son service de gestion des dépenses télécom (TEM) Datalert. Pour rappel, ce service de Telecom Expenses Management s’intègre à Microsoft Intune. Cette mise à jour v1.7.1 propose les améliorations suivantes :

    • Support des forfaits qui incluent une partie de l’itinérance domestique dans d’autres pays comme c’est le cas avec l’Union Européenne ou le Canada avec les Etats Unis.
    • Les diagrammes de suivi de zone domestique incluent donc les données issues de la zone domestique ou celles issues de la zone domestique étendue avec deux couleurs différentes.
    • Les graphiques et les cartes ont aussi été étendus pour inclure ces zones domestiques étendues.
    • Il est maintenant possible de personnaliser le message envoyé lors de l’enregistrement.
    • Nouveau design des alertes envoyés au gestionnaire lorsqu’un seul a été atteint.
    • Dans le menu des lignes, vous obtenez plus d’informations sur le type du périphérique, la version du système d’exploitation ainsi que la version de Datalert.
    • Le portail affiche un avertissement si les périphériques ne se sont pas mis à jour avec les nouvelles versions de forfaits ou de stratégies.
    • Un vue d’historique des actions MDM est enregistrée dans Datalert.

    Plus d’informations sur le site de Saaswedo.

  • [Ignite] Les annonces sur la partie Modern Workplace (Windows 10, EMS, Office 365, etc.)

    A l’occasion de la conférence Microsoft Ignite, Microsoft a annoncé plusieurs nouveautés sur la partie Modern Workplace (Windows 10, EMS, Office 365, etc.). Cet article résume les principales annonces :

    Microsoft 365

    Pour rappel, Microsoft 365 correspond à l’ancienne offre Secure Productive Enterprise (SPE ou ancienne Enterprise Cloud Suite) et comprend Windows 10 Enterprise, Office 365, et Enterprise Mobility + Security (EMS).

    On retrouvait des bundles Microsoft 365 Enterprise (E3 et E5) ainsi que Microsoft 365 Business. Sans grandes surprises, Microsoft propose maintenant un bundle Microsoft 365 Education. Ce Bundle inclut donc Windows 10 Enterprise, Office 365 for Education, et Enterprise Mobility + Security (EMS) et Minecraft: Education Edition.

    Outre ce nouveau bundle, on retrouve aussi Microsoft 365 F1 qui combine Office 365 F1, Windows 10 Enterprise, Enterprise Mobility + Security (EMS) pour les forces de travail de première ligne. Il s’adresse donc aux utilisateurs sur le terrain qui n’ont pas forcément un poste de travail attitré. Concernant EMS, on y retrouve Azure Active Directory P1, Microsoft Intune, et Advanced Threat Analytics. Il n’inclut pas Cloud App Security et Azure Information Protection. Lire la FAQ Microsoft 365 F1.

    Microsoft annonce le programme FastTrack pour Microsoft 365 afin de fournir une planification et de l’assistance aux professionnels de l’informatique pour améliorer l’adoption et l’usage de Microsoft 365.

    Microsoft vient aussi enrichir son service Microsoft StaffHub en intégrant des fonctions de pointage de temps, la messagerie instantanée avec Microsoft Teams, un hub pour le travail en équipe, et une mise en avance des annonces faites par Yammer. Enfin, on retrouve de nouveaux périphériques équipés de Windows 10 S à destination de ces populations sur le terrain.

    Bing for Business

    Microsoft a annoncé Bing for Business, une expérience de recherche intelligente pour Office 365 et Microsoft 365 qui utilise l’intelligence artificielle et Microsoft Graph afin de délivrer des résultats de recherche relatif à votre contexte. L’utilisateur est connecté avec son compte d’entreprise (Azure AD) et obtient des résultats de recherche liés à son entreprise ; par exemple s’il recherche comment poser ses congés. Le but est de faciliter la récupération de données d’entreprises, l’identification des personnes (organigrammes, etc.), documents (plans de bâtiments, documents divers et variés, etc.), sites et emplacements ainsi que les recherches publiques avec une seule expérience. L’entreprise obtient aussi des statistiques d’analyse sur les recherches. Ce service sera disponible pour les entreprises ayant un abonnement Office 356 E1, E3, E5, F1, Business Essentials, Business Premium, et Education E5. Bing for Business est disponible en Private Preview.

    Plus d’informations sur : https://blogs.bing.com/search/2017-09/finding-what-you-need-at-work-just-got-easier-with-bing-for-business

    Windows 10

    Les partenaires OEM tels que Lenovo, HP, Panasonic, Toshiba, et Fujitsu vont rejoindre les périphériques Surface dans le support de Windows AutoPilot à partir de Janvier 2018. Ils fourniront les identifiants de périphérique (Device IDs) nécessaires aux entreprises pour provisionner les périphériques via ce service.

    Microsoft annonce aussi des améliorations sur les fonctionnalités Assigned Access permettant de gérer le mode Kiosk avec de nouveaux mécanismes de verrouillage, de personnalisation et anti-menace.

    Enterprise Mobility + Security

    Annonce du support de la gestion d’Exchange On-Premises en hybridation via Outlook pour iOS et Android par Microsoft Intune. Ceci permettra de faire supporter les mécanismes d’accès conditionnel porté par Azure Active Directory et de stratégies de protection applicative porté par Microsoft Intune. Les données du cache de la boite aux lettres ne seront plus hébergées chez AWS mais directement dans Exchange Online. Outlook utilisera OAuth pour protéger les identifiants utilisateurs. Chaque connexion Outlook sera enregistrée indépendamment dans Microsoft Intune permettant leur gestion (effacement, etc.). Il est à noter que les clients Exchange Server 2007 et 2010 ne pourront pas bénéficier de cette fonctionnalité.  Des licences Office 365 E3 ou plus, et EMS E3 ou plus (ou Microsoft Intune + Azure AD Premium).
    Vous pouvez participer au TAP de cette capacité via le lien suivant : https://blogs.technet.microsoft.com/exchange/2017/09/27/tap-outlook-mobile-support-for-exchange-on-premises-with-microsoft-enterprise-mobility-security

    Azure Advanced Threat Protection

    Microsoft lance l’équivalent d’Advanced Threat Analytics (ATA) dans le cloud. Azure Advanced Threat Protection permet de détecter et d’investiguer des activités malicieuses en agrégeant et en corrélant des sources de données, du trafic réseau, des journaux d’événements, des données VPN, etc. Azure ATP utilise le Machine Learning ainsi que Microsoft Intelligent Security Graph pour fournir des modèles de détermination sur les techniques d’attaques nouvellement découvertes (Pass-The-Hash, Overpass-The-Hash, Golden Ticket, etc.). On apprendra prochainement plus d’éléments sur ce service. Microsoft propose une Limited Preview à partir de fin Octobre.

    Cloud App Discovery

    Microsoft met à niveau Cloud App Discovery avec l’expérience avancée de Cloud App Security. Ceci permet de découvrir plus de 15000 applications sans nécessité d’agent On-Premises.

    Les administrateurs peuvent recevoir des alertes et des analyses du risque en cours pour les nouvelles applications utilisées, ainsi que les informations de trafic entrant et sortant et le TOP des utilisateurs pour les applications découvertes.

    Azure Active Directory

    Microsoft annonce l’accès conditionnelle basée sur l’application (Application-based conditional Access) permettant d’offrir un nouveau niveau de contrôle d’accès au service aux applications clientes qui supportent les stratégies de protection applicatives Intune. L’administrateur peut combiner à la fois les stratégies d’accès conditionnel basées sur l’application et basées sur le périphérique afin de protéger à la fois la donnée sur les périphériques personnels et ceux d’entreprise.

    L’accès conditionnel peut maintenant protéger la connectivité VPN des périphériques Windows 10.

    Il est maintenant possible de gérer les identités de périphérique directement dans le portail Azure afin de gérer les attributs de périphériques, la récupération de clés BitLocker, les journaux d’audit relatifs à l’authentification.

    Microsoft travaille depuis plusieurs mois sur le contrôle de session afin de limiter l’accès aux ressources notamment pour SharePoint. Le contrôle de session de l’accès conditionnel s’intègre maintenant à Microsoft Cloud App Security. Actuellement en Private Preview et en Public Preview prochainement, ceci va permettre de contrôler et limiter les actions des utilisateurs sur des applications SaaS via des stratégies d’accès conditionnel. Il sera par exemple possible de laisser l’accès à des utilisateur depuis des emplacements inconnus ou des périphériques non gérés mais dans le même temps d’empêcher le téléchargement de données sensibles.

    On retrouve aussi l’intégration entre l’accès conditionnel et Azure Information Protection afin de permettre d’appliquer des stratégies d’accès sur les fichiers protégés.  Ceci permet de configurer des stratégies qui demande à l’utilisateur d’effectuer une authentification à facteurs multiples avant de pouvoir accéder au document. Ce scénario peut être utilisé lorsque l’utilisateur est en dehors du réseau de l’entreprise ou comporte un risque.

    Disponibilité Générale de l’authentification Pass-through. Ceci permet d’offrir du Single Sign-On vers les ressources Cloud sans nécessiter la synchronisation du mot de passe ou l’utilisation d’une infrastructure de fédération (Active Directory Federation Services). Le mécanisme utilise alors Azure Active Directory Connect. Aucune DMZ n’est requise.

    Microsoft étend aussi le Single Sign-On à l’authentification Pass-Through et à l’authentification avec le hash du mot de passe. L’utilisateur devra alors se connecter au moins une fois sur le périphérique, et le mot de passe ne sera plus demandée pour accéder à des applications intégrées à Azure sur un PC joint au domaine Active Directory.

    Outre le partenariat avec Sailpoint, Microsoft construit des partenariats avancés avec Ormada et Saviynt afin d’offrir des mécanismes de gouvernance de l’identité et une intégration à Azure Active Directory Premium.

    Disponibilité Générale d’Azure Active Directory Directory Services dans le portail Azure.

    Preview pour la validation d’une charte d’utilisation avec l’accès conditionnel. L’administrateur peut maintenant demander à un utilisateur de valider un document afin de se connecter au service via l’accès conditionnel. Ceci vient compléter les authentifications à facteurs multiples, la nécessité d’être conforme, joint à un domaine ou d’utiliser une application cliente approuvée.

    Public Preview des conditions liées au plage d’adresses IP définies par pays ou région. Vous pouvez bloquer l’accès à partir de certains pays à partir d’une vérification automatique d’adresse IP.

    Azure Active Directory S’intègre aux solutions à facteurs multiples de Duo, RSA, et Trusona. Ces solutions peuvent être utilisée avec les mécanismes d’accès conditionnel.

    Preview des revues d’accès pour les utilisateurs dans des groupes ou qui ont été assigné directement aux applications.

    Preview d’Azure Active Directory Privileged Identity Management pour Azure RBAC permettant :

    • De faire une revue des droits de sécurité liées aux abonnements Azure en demandant aux propriétaires des ressources ou aux utilisateurs eux-mêmes de valider les accès
    • Contrôler l’exposition des actifs Azure.
    • Limiter combien de temps un utilisateur peut être associé à un rôle. Ceci peut être fait sur un utilisateur ou sur un groupe.
    • Obtenir un rapport sur les utilisateurs et groupes et les assignations de rôle dans les abonnements Azure.
    • Laisser les utilisateurs gérer leur délégation et leur demander de fournir une justification comme une authentification à facteurs multiples lors de l’assignation de droits.

    Microsoft Intune

    La plus grosse annonce est l’arrivée du Co-Management System Center Configuration Manager et Microsoft Intune. Cette fonctionnalité permet de gérer des postes Windows 10 à la fois de manière traditionnelle avec ConfigMgr et son client mais aussi de manière moderne avec Microsoft Intune. Vous pouvez choisir quelles fonctionnalités/charges de travail, vous souhaitez gérer avec quel outil. Dans un premier temps, Microsoft du Co-Management pour les fonctionnalités suivantes :

    • L’Accès conditionnel
    • La gestion des mises à jour logicielles soit via SCCM ou Windows Update for Business.
    • Les stratégies de conformité
    • Vous pouvez donc choisir de gérer la télédistribution d’applications de manière traditionnelle avec le client ConfigMgr puis l’accès conditionnel de manière moderne avec Microsoft Intune. Vous pouvez choisir de piloter une partie des clients avec Microsoft Intune dans le but de réaliser un pilote.

    Note : Ce mode de fonctionnement n’est pas disponible dans une configuration hybride où System Center Configuration Manager contrôle Microsoft Intune. Vous devez utiliser Microsoft Intune en mode autonome.

    Microsoft annonce Intune Management Extension permettant d’exécuter des scripts PowerShell sur les périphériques Windows 10 gérés en mode moderne via Microsoft Intune en mode autonome. Ceci permet d’exécuter des scripts de configuration ou permettant le déploiement d’applications Win32.

    C’est aussi l’occasion de montrer l’intégration entre Jamf et Microsoft Intune. Jamf permet la gestion des écosystèmes Apple macOS. Jamf s’intègre avec le moteur de conformité de périphérique de Microsoft Intune pour gérer l’accès aux applications via Azure Active Directory. La solution envoie les informations d’état macOS à Microsoft Intune qui évaluera la conformité avec les stratégies définies. L’intégration sera disponible d’ici la fin 2017.

    L’événement a aussi été l’occasion de présenter l’intégration de Windows AutoPilot avec Microsoft Intune.

    Azure Information Protection

    L’intégration entre Azure Information Protection et Cloud App Security permet d’appliquer automatiquement de scanner les fichiers récupérées ou uploadées et d’y appliquer automatiquement une classification pour la protection.

    Microsoft annonce la public Preview d’Azure Information Protection Scanner pour le mois prochain. Cet outil permet de configurer des analyses périodiques sur vos emplacements On-Premises (Serveurs de fichiers, SharePoint, etc.) afin de découvrir, classifier et protéger les données sensibles en fonction de vos stratégies.

    Mise à jour de la documentation du produit (Septembre 2017).

    Pour en apprendre plus sur les nouveautés d’Azure Information Protection.

     

    Office 365 et Office

    Microsoft annonce la disponibilité générale d’Office 365 Usage Analytics début 2018 afin de fournir des éléments d’analyse et des visuels sur l’usage des services via Power BI.

    Microsoft annonce Office 2019, la prochaine version boite perpétuelle d’Office. Cette dernière est prévue pour la seconde moitié de l’année 2018. Elle comprendra Word, Excel, PowerPoint, Outlook. On attend des fonctionnalités facilitant l’utilisation du stylet avec la sensibilité de pression, les effets, et le replay d’écriture. De nouvelles formules et tableaux vont apparaître dans Excel. De nouvelles animations visuelles comme Morph et Zoom seront ajoutées à PowerPoint.

    Au-delà d’Office 2019, ce sont aussi les produits serveurs On-Premises avec Skype for Business 2019, Exchange Server 2019, SharePoint 2019 qui sont prévus pour la seconde moitié 2018.

     

    Communication Unifiées

    Microsoft a confirmé que Microsoft Teams allait être mis en avant en lieu et place de Skype for Business. Ceci ne signe pas la mort de ce dernier mais Microsoft va suggérer de passer à Microsoft Teams. Microsoft Teams intègre maintenant les nombreux aspects déjà couverts par le client Skype for Business comme les réunions planifiées, l’intégration avec le calendrier Outlook etc. Microsoft intègre les conférences audio (en Preview). Ceci permet à des participants de rejoindre avec Teams et Skype for Business. La messagerie instantanée ainsi que le partage d'écrans et la fédération avec d'autres entreprises est attendue pour le deuxième semestre 2018. Dans la même période, Microsoft intégrera les fonctionnalités d’appels incluant les appels entrants et sortants vers les numéros PSTN, la mise en attente, les transferts d’appel et la messagerie vocale.

    Plus d'informations sur la Roadmap.

    Lenovo a annoncé leur Skype Rooms System sous le nom Smart Hub 500 et Logitech, Crestron, et Polycom.

     

    Collaboration

    Microsoft va intégrer de l’Intelligence Artificielle à Excel pour permettre au produit de comprendre les types de données au-delà du simple texte et des nombres. Par exemple, Excel saura que l’Inde est un pays et que MSFT est une action. Ces changements sont attendus pour 2018 au travers d’Office Insiders.

    Microsoft annonce l’intégration des profils Linkedin aux applications et services Microsoft (Office 365, etc.)

    Une nouvelle expérience de partage unifiée pour OneDrive et SharePoint entre Windows, Mac, le Web et les applications mobiles, va arriver dans les applications Office dans les prochaines semaines. Le but sera de permettre le partage simplifié et sécurisé tout en contrôlant l’accès des fichiers à travers Office 365. Il sera possible de partager des fichiers avec des utilisateurs en dehors de l’entreprise et qui n’ont pas nécessairement de compte Microsoft.

    Les entreprises pourront personnaliser le design des pages SharePoint, ajouter du contenu dynamique à partir de plus 100 nouvelles web parts et connecteurs. Il sera aussi possible de partager des pages sur des sites SharePoint ou comme des onglets dans Teams.

    Yammer et SharePoint s’intègrent pour créer un meilleur intranet social qui relie l’information. Un web-part permettant l’intégration des conversations Yammer dans des sites SharePoint va être mis à disposition dans les prochains mois. Il sera aussi possible de visualiser et éditer des documents SharePoint directement depuis Yammer.

    Yammer intégrera le présentiel et vous permettra de démarrer des appels audio ou vidéos directement depuis le portail.

    Une application Yammer pour Windows et Mac est disponible avec toutes les capacités de gestion du déploiement.

    Microsoft va enfin permettre de stocker les données de Yammer dans une région dédiée en dehors des Etats Unis.  Cette fonctionnalité en Preview sera à disposition des clients en Europe dans la première partie du calendrier de 2018. Ceci va permettre à Microsoft de construire des fonctionnalités eDiscovery, Data Loss Prevention pour Yammer depuis le centre d’administration d’office.

    Yammer va intégrer une nouvelle notion de reporting appelée Group Insights pour donner aux Managers une vision des personnes, de la tendance des activités et du contenu pour les membres d’un groupe sur des périodes données.

    Microsoft va intégrer les données de groupe Yammer dans Microsoft Graph afin de les rendre disponible au travers d’Office 365 Usage Analytics via Power BI.

    Si vous souhaitez obtenir plus d’éléments sur Yammer.

    Sécurité

    Disponibilité Générale d’Office 365 Message Encryption permettant d’utiliser Azure Information Protection comme capacité de protection des emails dans Office 365. Il est possible de protéger et voir des emails Office 365 depuis divers périphériques ou depuis différents services email utilisateur comme Gmail, Outlook.com et Yahoo.com. Microsoft annonce le support du Bring Your Own Key (BYOK) pour Exchange Online.

    Office 365 Advanced Threat Protection (ATP) se voit améliorer ses capacités Anti-Phishing avec du Machine Learning, l’extension des capacités ATP à SharePoint Online, OneDrive for Business et Microsoft Teams. L’encapsulation d’URLs proposée par Office 365 ATP a été revue de manière à ce que l’utilisateur puisse voir l’URL. Note les clients Office pour iOS et Android seront mis à jour d’ici la fin de l’année. Il devient possible de prévisualiser et éditer du contenu attaché lors de son analyse.

    Sur Office 365 Threat Intelligence, Microsoft permet aux administrateurs de simuler différentes menaces pour comprendre comment les utilisateurs réagiraient à des attaques. L’outil fournit aussi des tendances sur les différentes catégories et campagnes de menaces. Une capacité permet à l’administrateur de remédier du contenu et de supprimer un email malicieux.

    Microsoft annonce la Preview de Compliance Manager pour aider les entreprises dans la démarche d’obligation liée à la GDPR. On y retrouve l’évaluation du risque en temps réel, les éléments actionnables, etc.

     

    Dynamics 365

    Microsoft annonce les solutions Dynamics 365 AI afin d’inclure un agent virtuel intelligent pour le service client, un assistant intelligent pour le personnel du service client, des outils de gestion de conversation. En outre, ce sont l’apparition d’applications SaaS modulaires avec Dynamics 365 for Talent: Attract, et Dynamics 365 for Talent: Onboard. Ces dernières permettent de mettre en évidence les candidats les plus attractifs pour l’entreprise et d’accélérer la productivité pour les nouvelles embauches en personnalisant le processus d’intégration.

    Dynamics 365 va s’intégrer à Linkedin pour permettre l’envoi d’InMails et de messages directement depuis Dynamics 365 for Sales.

    Microsoft annonce de nouvelles intégrations entre PowerApps, Microsoft Flow, Office 365 et Dynamics 365.

    Plus d’informations sur : https://cloudblogs.microsoft.com/dynamics365/2017/09/25/modernizing-business-process-with-cloud-and-ai/

  • Mise à jour de l’outil MDM Migration Analysis Tool pour Windows 10 1709

    Microsoft a mis à jour l’outil MDM Migration Analysis Tool avec les nouveaux paramétrages supportés par les Configuration Service Provider (CSP) de Windows 10 1709. MMAT permet notamment d’évaluer l’effort nécessaire pour passer du modèle de stratégie de groupe (GPO) vers la gestion moderne par MDM.

    MMAT effectue un inventaire des paramètres de stratégies de groupe et trouve les paramètres MDM associé à partir des documentations MSDN, etc. L’outil s’exécute en regardant les stratégies appliquées à l’ordinateur et à l’utilisateur courant.
    Il faudra pour cela :

    • Installer les outils d’administration à distance (RSAT)
    • Copier le contenu de répertoire d’installation qui contient les scripts PowerShell, EXE, XML, etc.
    • Vous pouvez ensuite invoquer le script : Invoke-MdmMigrationAnalysisTool.ps1

    Télécharger MDM Migration Analysis Tool

  • [SCCM] Preview 2 de System Center Updates Publisher 2017

    Microsoft a publié une nouvelle Preview (6.0.219.0) de son outil System Center Updates Publisher. Ce dernier permet d’intégrer des catalogues de mises à jour tierces voir de créer vos propres catalogues et mises à jour. SCUP 2017 apporte le support de Windows 10 et Windows Server 2016. En outre, il signe la fin du support de Windows 7 et WSUS 3.x (Windows Server 2008 SP2, 2008 R2).

    La Preview 2 apporte les améliorations suivantes :

    • L’indexation pour des imports plus rapide des catalogues précédemment importés.
    • L’inclusion des certificats de signature dans les catalogues de mises à jour afin d’éviter les blocages liés aux opérations de publication.
      Note : L’ancien format de catalogue est toujours supporté mais les producteurs de catalogue doivent ajouter les informations nécessaires à leur catalogue existant
    • Correction de problèmes liés à la première Preview.
    • Les mises à jour publiées dans WSUS auront par défaut un timestamp de signature. Ceci demande un accès à Internet.

    Cette version est compatible :

    • Windows 10, Windows 8.1, Windows Server 2012 R2, Windows Server 2016
    • System Center 2012 Configuration Manager Service Pack 2
    • System Center 2012 R2 Configuration Manager Service Pack 1
    • Une version supportée de System Center Configuration Manager current branch, System Center Configuration Manager long-term servicing branch version 1606

     

    Télécharger System Center Updates Publisher Preview

    Plus d'informations sur : https://cloudblogs.microsoft.com/enterprisemobility/2017/09/26/system-center-updates-publisher-september-2017-preview-is-now-available/

  • [Intune] Les nouveautés du mois de Septembre 2017

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement

    • De nouvelles notifications à destination de l’utilisateur final dans le portail d’entreprise pour Android Oreo, indiquent quand le portail d’entreprise effectue des tâches de fond (comme récupérer les stratégies, etc.).
    • L’utilisateur peut maintenant accéder au portail d’entreprise sur Android sans avoir à réaliser à l’enregistrement. Ce scénario s’adresse principalement aux entreprises qui déploiement des stratégies de protection applicative. Les utilisateurs peuvent installer des applications à partir du portail d’entreprise sans enregistrer le périphérique.
    • Les phases d’enregistrement du portail d’entreprise pour Android, ont été simplifiée pour rendre l’opération d’enregistrement plus simple. Vous pouvez voir le nouveau processus dans : UI updates for Intune end user apps.
    • Mise à jour du portail d’entreprise de Windows 10 pour supporter Windows Information Protection. L’application peut être ajoutée dans les stratégies WIP. Il n’est plus nécessaire de la mettre dans la liste des exemptions.

    Gestion des périphériques

    • Support natif d’iOS 11.
    • Fin de support d’iOS 8.0. Le portail d’entreprise nécessitera la version iOS 9.0 ou plus pour fonctionner. Les périphériques qui n’auront pas été mis à jour avant septembre ne pourront plus accéder au portail d’entreprise.
    • Mise à jour du portail d’entreprise pour Windows 10 afin de permettre le rafraichissement dans l‘application en cliquant sur Refresh/Rafraichissement ou en pressant F5.

    Protection des péripéhriques

    • Intégration avec la solution de Mobile Thread Defense proposée par Zimperium. La solution rejoint donc Lookout et Check Point SandBlast Mobile.

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new