Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 31/8/2018

    [Intune] Les nouveautés du mois d’août 2018 - Updated

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [Général] Mise à jour de l’expérience utilisateur pour le site web du portail d’entreprise. Ces nouvelles fonctionnalités, basées sur les commentaires des clients, avec des zones du site - comme les détails du périphérique, la partie Feedbacks et support et l'aperçu du périphérique- qui ont fait l'objet d'une nouvelle conception moderne et réactive. On retrouve aussi :
      • Des scénarios rationalisés sur toutes les plates-formes de périphériques
      • L’amélioration de l'identification des périphériques et des scénarios d’enregistrement
      • Des messages d'erreur plus utiles
      • Un langage plus proche de l’utilisateur avec moins de jargon technologique
      • La possibilité de partager des liens directs vers des applications.
      • Des performances améliorées pour les catalogues d'applications volumineux
      • L’accessibilité accrue pour tous les utilisateurs

    Plus d’informations sur : UI updates for Intune end-user apps.

    • [Windows 10] Vous pouvez maintenant affecter un utilisateur à un seul périphérique AutoPilot. Les administrateurs pourront également donner des noms pour accueillir l'utilisateur lors de la configuration de leur périphérique avec AutoPilot. S'applique à : Windows Insider 1809 ou version ultérieure.

    • [Windows 10] Vous pouvez spécifier un modèle de nom d'ordinateur pour générer et définir le nom de l'ordinateur lors de l’enregistrement avec Windows AutoPilot.
    • [Windows 10] Il existe de nouvelles options de profil Windows Autopilot pour les administrateurs afin de masquer l’options de changement de compte sur les pages d'erreur d'ouverture de session et de domaine. Pour masquer ces options, il faut que le branding de la société soit configurée dans Azure Active Directory. S'applique à Windows Insider 1809 ou version ultérieure.

    • [Windows 10] Vous pouvez bloquer l’enregistrement des appareils personnels Windows 10 (BYOD).
    • [iOS/macOS] Si quelqu'un essaie de supprimer un certificat Apple MDM Push, une boîte de dialogue de confirmation affiche le nombre de périphériques iOS et macOS associés. Si le certificat est supprimé, ces périphériques devront être réenregistrés.
    • [iOS] Vous avez maintenant la possibilité d'exécuter le portail d'entreprise en mode Single App si vous authentifiez un utilisateur par l'intermédiaire du portail d'entreprise au lieu de l'assistant de configuration lors de l’enregistrement DEP. Cette option verrouille le périphérique immédiatement après la fin de l'assistant de configuration, de sorte qu'un utilisateur doit se connecter pour accéder au périphérique. Ce processus permet de s'assurer que l'appareil termine l’enregistrement et n'est pas dans un état orphelin sans qu'aucun utilisateur ne soit lié.
    • [iOS] Vous pouvez maintenant utiliser les licences périphériques du Programme d'achat en volume (VPP) pour pré-provisionner le portail d’entreprise pendant l’enregistrement au Programme Apple Device Enrollment Program (DEP). Pour ce faire, lorsque vous créez ou modifiez un profil d’enregistrement, spécifiez le token VPP que vous souhaitez utiliser pour installer le portail d'entreprise. Assurez-vous que votre token n'expire pas et que vous avez suffisamment de licences pour le portail d’entreprise. Dans les cas où le token expire ou n'a plus de licences, Intune va pousser le portail d’entreprise à partir de l’App Store à la place (ce qui demandera un Apple ID).
    • [macOS] Support de l’enregistrement de périphériques macOS via le programme Apple Device Enrollment Program (DEP).
    • [macOS] Le Portail d’entreprise sur macOS inclut maintenant le numéro de version dans le nom du fichier d'installation.

     

    Gestion du périphérique

    • [Général] Changement de la terminologie pour "Retire" et "Wipe". Par souci de cohérence avec GraphAPI, l'interface utilisateur et la documentation de Intune ont modifié les termes suivants :
      • Remove company data sera changé pour "Retire".
      • Factory Reset sera changé pour Wipe.
    • [Windows 10] Vous pouvez permettre aux utilisateurs de contrôler les installations d'applications. Si cette option est activée, les installations qui pourraient autrement être arrêtées en raison d'une violation de la sécurité sont autorisées à continuer. Vous pouvez demander à l'installateur Windows d'utiliser des permissions élevées lorsqu'il installe n'importe quel programme sur un système. En outre, vous pouvez activer l'indexation des éléments Windows Information Protection (WIP) et les métadonnées les concernant tout en étant stocké dans un emplacement non chiffré. Lorsque la stratégie est désactivée, les éléments protégés par WIP ne sont pas indexés et n'apparaissent pas dans les résultats de Cortana ou dans l'explorateur de fichiers. La fonctionnalité de ces options est désactivée par défaut.
    • [Windows 10] Vous pouvez configurer les profils VPN Windows 10 pour enregistrer dynamiquement les adresses IP attribuées à l'interface VPN avec le DNS interne, sans avoir besoin d'utiliser des profils personnalisés.
    • [iOS] Dans Intune > Software Updates > Update policies for iOS, vous pouvez configurer les jours et les heures où vous ne voulez pas que les périphériques installent des mises à jour. Dans une prochaine version, vous pourrez retarder l’affichage d’une mise à jour, de 1 à 90 jours.

    • [macOS] Vous pouvez supprimer les périphériques gérés par JAMF en allant dans Devices > choisissez le périphérique Jamf > Delete.

     

    Configuration du périphérique

    • [Général] Les stratégies de conformité créées sur le portail Azure classic seront bientôt obsolètes. Vous pouvez consulter et supprimer les politiques de conformité existantes, mais vous ne pouvez pas les mettre à jour. Si vous devez migrer des politiques de conformité vers le portail Intune Azure actuel, vous pouvez exporter les politiques sous la forme d'un fichier séparé par des virgules (fichier.csv). Ensuite, utilisez les détails du fichier pour recréer ces politiques dans le portail Intune Azure.
    • [Windows 10] Lorsque vous créez une stratégie Windows Hello for Business, elle s'applique à tous les utilisateurs au sein de l'organisation. Avec cette mise à jour, la stratégie peut également être appliquée à des utilisateurs spécifiques ou à des périphériques spécifiques à l'aide d'une stratégie de configuration des périphériques (Device Configuration > Profiles > Create profile > Identity Protection > Windows Hello for Business).

    • [Windows 10] Vous pouvez maintenant activer le mode Federal Information Processing Standards (FIPS) pour les profils Wi-Fi d'entreprise pour Windows 10.
    • [Windows 10] Vous pouvez créer un profil de configuration de périphérique qui fait passer un périphérique Windows 10 du mode S au mode S, ou empêcher les utilisateurs de passer du au mode S. Cette fonctionnalité se trouve dans Intune > Device configuration > Profiles > Windows 10 and later > Edition upgrade and mode switch. Ceci ne s'applique qu’à Windows 10 1809 et plus.
    • [Windows 10] Lorsque vous utilisez Windows Defender Advanced Threat Protection et Intune, vous deviez auparavant télécharger un package de configuration et l'ajouter à votre profil de configuration. Avec cette mise à jour, Intune reçoit automatiquement le package de Windows Defender Security Center, et l'ajoute à votre profil.
    • [Windows 10] Vous pouvez maintenant définir des profils de périphérique pour exiger que le périphérique se connecte à un réseau avant de passer la page Réseau pendant la configuration de Windows 10. Ne s’applique qu’à Windows 10 Insider.
    • [iOS] Vous pouvez créer un type de connexion Zscaler pour la création d’un profil VPN sur iOS.
    • [iOS] Dans Device compliance > Policies > Create policy > iOS > System Security, il y a un nouveau paramètre Restricted applications. Ce nouveau paramètre utilise une stratégie de conformité pour bloquer l'accès aux ressources de l'entreprise si certaines applications sont installées sur l'appareil. L'appareil est considéré comme non conforme jusqu'à ce que les applications restreintes soient retirées de l'appareil.
    • [iOS]Mise à jour pour ajouter le support des clients VPN iOS suivants :
      • F5 Access (version 3.0.1 et plus)
      • Citrix SSO
      • Palo Alto Networks GlobalProtect version 5.0 et plus
      • Les types de connexion F5 Access existants sont renommés F5 Access Legacy for iOS.
      • Les types de connexion Palo Alto Networks GlobalProtect existants sont renommés Palo Alto Networks GlobalProtect (legacy) for iOS.

     

    Gestion des applications

    • [Windows 10] Lorsque vous déployez des applications Office 365 ProPlus aux périphériques Windows 10 en utilisant Intune, vous pouvez sélectionner la version d'Office. Dans le portail Azure, sélectionnez Microsoft Intune > Apps > Add App. Ensuite, sélectionnez Office 365 ProPlus Suite (Windows 10) dans la liste déroulante Type. Sélectionnez App Suite Settings pour afficher la lame associée. Réglez le canal de mise à jour sur une valeur, telle que Monthly. Si nécessaire, supprimez l'autre version d'Office (msi) des périphériques de l'utilisateur final en sélectionnant Oui. Sélectionnez la version spécifique d'Office pour le canal à installer sur les périphériques de l'utilisateur final. Les déploiements actuels continueront à déployer l'ancienne version, mais la liste des versions sera continuellement mise à jour par canal.

    •  [iOS] Support des tunnels de paquets pour les profils VPN iOS par application pour les types de connexion personnalisés et Pulse Secure. Lorsque vous utilisez les profils VPN iOS par application, vous pouvez choisir d'utiliser le tunneling au niveau de l’application (app-proxy) ou le tunneling au niveau du paquet (packet-tunnel).
    • [iOS] Les mises à jour automatiques des applications fonctionnent à la fois pour les applications sous licence périphérique et utilisateur pour iOS version 11.0 et supérieure.

    Sécurité du périphérique

     

    • [Général] Vous pouvez créer des balises pour limiter l'accès aux ressources d'Intune. Ajoutez une balise à une affectation de rôle, puis ajoutez la balise scope à un profil de configuration. Le rôle n'aura accès qu'aux ressources dont les profils de configuration ont des balises de portée correspondantes (ou aucune balise de portée).
    • [iOS] Le paramètre de détection de jailbreak amélioré apparaît maintenant dans tous les rapports de conformité de la console d'administration.

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

     

    • 31/8/2018

    [Azure] Changement dans les termes de licences Azure Active Directory pour l’accès conditionnel et Identity Protection

    Microsoft a changé les conditions de licence pour Azure Active Directory. Parmi les changements notables, on retrouve :

    • Les entreprises peuvent maintenant acheter le service Azure AD Identity Protection pour un sous ensemble d’utilisateurs
    • Les clients Azure AD Premium 1 (P1) peuvent activer les restrictions basées sur le proxy dans l’accès conditionnel.
    • Les clients Azure AD Premium 1 (P1) peuvent utiliser des contrôles personnalisés comme des intégrations à des solutions d’authentification à facteurs multiples (MFA) tierces.

    Plus de détails sur : https://azure.microsoft.com/en-us/pricing/details/active-directory/

    • 30/8/2018

    Nouvelle Preview (1.36.18.0) du client Azure Information Protection

    Microsoft vient de publier une nouvelle Preview (1.36.18.0) du client pour son service Microsoft Azure Information Protection. Parmi les changements sur le client, on retrouve :

    • Prise en charge de nouveaux types d'informations sensibles pour vous aider à classer les documents contenant des informations personnelles.
    • Prise en charge de la labelisation pour le format Strict Open XML Document dans les fichiers Word, Excel et PowerPoint.
    • Prise en charge de la norme ISO pour le chiffrement des PDF, en configurant une nouvelle option avancée du client. Lorsque cette option est configurée, les documents PDF que vous protégez conservent leur extension de nom de fichier.pdf (plutôt que de passer à.ppdf) et peuvent être ouverts par des lecteurs PDF qui prennent en charge cette norme ISO.
    • Prise en charge des fichiers qui ont été protégés par Secure Islands lorsque ces fichiers ne sont pas des documents PDF et Office. Par exemple, des fichiers texte et images protégés. Ou, les fichiers qui ont une extension de nom de fichier.pfile. Ce support permet de nouveaux scénarios, tels que le scanneur Azure Information Protection qui permet d'inspecter ces fichiers à la recherche d'informations sensibles et de les ré-étiqueter automatiquement pour Azure Information Protection.
    • Lorsque vous classifiez et protégez en utilisant PowerShell ou le scanneur, les métadonnées des documents Office ne sont pas supprimées ou chiffrées.
    • L'affichage des e-mails à l'aide des icônes de flèche Élément suivant et Élément précédent sur la barre d'outils Accès rapide affiche l'étiquette correcte pour chaque e-mail.
    • Les permissions personnalisées prennent en charge les adresses électroniques des destinataires qui contiennent une apostrophe.
    • L'environnement informatique s'initialisera avec succès (bootstrap) lorsque cette action est lancée en ouvrant un document protégé stocké dans SharePoint Online.
    • Plusieurs correctifs importants.

    Parmi les changements sur le scanneur, on retrouve 

    • Nouvelle cmdlet, Update-AIPScanner : Requis pour fonctionner une fois après la mise à niveau de la version 1.26.6.0 ou antérieure.
    • Nouvelle cmdlet, Get-AIPScannerStatus : Obtient l'état actuel du service pour le scanner.
    • Nouvelle cmdlet, Start-AIPScan : Demande au scanneur de démarrer un cycle d’analyse ponctuel lorsque l'horaire est réglé sur manuel.
    • SharePoint Server 2010 est pris en charge pour les clients qui ont étendu le support de cette version de SharePoint.
    • Pour les documents protégés dans les bibliothèques SharePoint, si le paramètre DefaultOwnerparameter n'est pas utilisé pour le référentiel de données, la valeur SharePoint Editor est maintenant utilisée comme valeur par défaut au lieu de la valeur Author.
    • Les rapports du scanneur incluent "Dernière modification par" pour les documents Office.
    • Pour le scanneur, la liste d'exclusion par défaut inclut maintenant les fichiers.rtf


    Télécharger Azure Information Protection Client Preview

    • 27/8/2018

    [SCCM] La Technical Preview 1808 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1808 (5.0.8707.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

    System Center Configuration Manager TP 1808 comprend les nouveautés suivantes :

    Déploiement d’applications

    • Un nouveau bouton est disponible dans le Centre Logiciels pour réparer une application. Vous pouvez configurer la ligne de commande de réparation sur le type de déploiement d’une application.

    Mise à jour logicielles et conformité

    • La fonctionnalité Phased Deployment est maintenant disponible pour les mises à jour logicielles. Ceci permet d’orchestrer, de coordonner et de séquencer le déploiement d’une application. Vous pouvez naviguer dans Software Library – Software Updates – All Software Updates/Office 365 Updates, sélectionnez l’application et choisissez Create Phased Deployment

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1808

    • 27/8/2018

    Nouvelle Preview (1.2018.821.0) de l’outil de packaging MSIX

    Microsoft vient de mettre à disposition une nouvelle préversion (1.2018.821.0) de l’outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

    Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

    Cette préversion ajoute les fonctionnalités :

    • Ajout du support de l’invite de commande
    • Ajout de la capacité d’utiliser une machine virtuelle locale existante pour l’environnement de packaging
    • Ajout de la possibilité de vérifier les informations de l’éditeur dans le manifest avec un certificat de signature afin d’éviter les problèmes de signature
    • Ajout de mise à jour mineur à l’interface pour la clarifier.

     

    Ceci s’ajoute aux capacités principales existantes :

    • Packaging d’applications au format MSI, EXE, App-V 5.x) vers MSIX
    • Créer un package de modification pour un package nouvellement créé via l’option Modification Package
    • L’ouverture d’un package MSIX pour voir et éditer les propriétés via l’option Open package editor.

    Il n’est pour l’instant pas possible de convertir des packages App-V 4.6 SP3, d’avoir accès à l’interface en ligne de commande, de packager sur un machine virtuelle existant, et certaines options ne permettent pas encore d’ajout ou supprimer des fichiers virtuels ou des éléments dans le registre virtuel.

    Pour accéder à l’outil, vous devez :

    • Participer au programme Windows Insider Fast ou Slow Ring
    • Avoir Windows 10 17701 ou plus
    • Avoir les droits d’administrateur sur la machine
    • Avoir un compte Microsoft pour accéder au Microsoft Store.

    Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

    Plus d'éléments sur le format MSIX sur MSIX Intro

    Télécharger MSIX Packing Tool

    • 26/8/2018

    [Azure] Une vidéo de présentation des nouveautés de Cloud App Security

    Microsoft propose une vidéo via Microsoft Mechanics pour présenter les dernières nouveautés du service Microsoft Cloud App Security. MCAS est une solution CASB qui assure la découverte, la conformité, la protection de l'information et la protection contre les menaces pour les services natifs de Microsoft et les applications tierces.

    Parmi les nouveautés présentées dans la vidéo, on retrouve :

    • Découverte d'applications métier (LoB)
    • Évaluation de la conformité GDPR de toutes les applications de votre organisation.
    • Détection des ransomware et des activités des utilisateurs qui ne devraient plus avoir accès aux ressources de votre entreprise.
    • Surveillance et contrôle des sessions des utilisateurs en temps réel avec le contrôle des applications avec accès conditionnel.
    • Gestion centralisée du DLP avec le moteur de classification des données de Microsoft