Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Général] Mise à jour de l’expérience utilisateur pour le site web du portail d’entreprise. Ces nouvelles fonctionnalités, basées sur les commentaires des clients, avec des zones du site - comme les détails du périphérique, la partie Feedbacks et support et l'aperçu du périphérique- qui ont fait l'objet d'une nouvelle conception moderne et réactive. On retrouve aussi :
  • Des scénarios rationalisés sur toutes les plates-formes de périphériques
  • L’amélioration de l'identification des périphériques et des scénarios d’enregistrement
  • Des messages d'erreur plus utiles
  • Un langage plus proche de l’utilisateur avec moins de jargon technologique
  • La possibilité de partager des liens directs vers des applications.
  • Des performances améliorées pour les catalogues d'applications volumineux
  • L’accessibilité accrue pour tous les utilisateurs

Plus d’informations sur : UI updates for Intune end-user apps.

• [Windows 10] Vous pouvez maintenant affecter un utilisateur à un seul périphérique AutoPilot. Les administrateurs pourront également donner des noms pour accueillir l'utilisateur lors de la configuration de leur périphérique avec AutoPilot. S'applique à : Windows Insider 1809 ou version ultérieure.

• [Windows 10] Vous pouvez spécifier un modèle de nom d'ordinateur pour générer et définir le nom de l'ordinateur lors de l’enregistrement avec Windows AutoPilot.
• [Windows 10] Il existe de nouvelles options de profil Windows Autopilot pour les administrateurs afin de masquer l’options de changement de compte sur les pages d'erreur d'ouverture de session et de domaine. Pour masquer ces options, il faut que le branding de la société soit configurée dans Azure Active Directory. S'applique à Windows Insider 1809 ou version ultérieure.

• [Windows 10] Vous pouvez bloquer l’enregistrement des appareils personnels Windows 10 (BYOD).
• [iOS/macOS] Si quelqu'un essaie de supprimer un certificat Apple MDM Push, une boîte de dialogue de confirmation affiche le nombre de périphériques iOS et macOS associés. Si le certificat est supprimé, ces périphériques devront être réenregistrés.
• [iOS] Vous avez maintenant la possibilité d'exécuter le portail d'entreprise en mode Single App si vous authentifiez un utilisateur par l'intermédiaire du portail d'entreprise au lieu de l'assistant de configuration lors de l’enregistrement DEP. Cette option verrouille le périphérique immédiatement après la fin de l'assistant de configuration, de sorte qu'un utilisateur doit se connecter pour accéder au périphérique. Ce processus permet de s'assurer que l'appareil termine l’enregistrement et n'est pas dans un état orphelin sans qu'aucun utilisateur ne soit lié.
• [iOS] Vous pouvez maintenant utiliser les licences périphériques du Programme d'achat en volume (VPP) pour pré-provisionner le portail d’entreprise pendant l’enregistrement au Programme Apple Device Enrollment Program (DEP). Pour ce faire, lorsque vous créez ou modifiez un profil d’enregistrement, spécifiez le token VPP que vous souhaitez utiliser pour installer le portail d'entreprise. Assurez-vous que votre token n'expire pas et que vous avez suffisamment de licences pour le portail d’entreprise. Dans les cas où le token expire ou n'a plus de licences, Intune va pousser le portail d’entreprise à partir de l’App Store à la place (ce qui demandera un Apple ID).
• [macOS] Support de l’enregistrement de périphériques macOS via le programme Apple Device Enrollment Program (DEP).
• [macOS] Le Portail d’entreprise sur macOS inclut maintenant le numéro de version dans le nom du fichier d'installation.

Gestion du périphérique

• [Général] Changement de la terminologie pour "Retire" et "Wipe". Par souci de cohérence avec GraphAPI, l'interface utilisateur et la documentation de Intune ont modifié les termes suivants :
  • Remove company data sera changé pour "Retire".
  • Factory Reset sera changé pour Wipe.
• [Windows 10] Vous pouvez permettre aux utilisateurs de contrôler les installations d'applications. Si cette option est activée, les installations qui pourraient autrement être arrêtées en raison d'une violation de la sécurité sont autorisées à continuer. Vous pouvez demander à l'installateur Windows d'utiliser des permissions élevées lorsqu'il installe n'importe quel programme sur un système. En outre, vous pouvez activer l'indexation des éléments Windows Information Protection (WIP) et les métadonnées les concernant tout en étant stocké dans un emplacement non chiffré. Lorsque la stratégie est désactivée, les éléments protégés par WIP ne sont pas indexés et n'apparaissent pas dans les résultats de Cortana ou dans l'explorateur de fichiers. La fonctionnalité de ces options est désactivée par défaut.
• [Windows 10] Vous pouvez configurer les profils VPN Windows 10 pour enregistrer dynamiquement les adresses IP attribuées à l'interface VPN avec le DNS interne, sans avoir besoin d'utiliser des profils personnalisés.
• [iOS] Dans Intune > Software Updates > Update policies for iOS, vous pouvez configurer les jours et les heures où vous ne voulez pas que les périphériques installent des mises à jour. Dans une prochaine version, vous pourrez retarder l’affichage d’une mise à jour, de 1 à 90 jours.

• [macOS] Vous pouvez supprimer les périphériques gérés par JAMF en allant dans Devices > choisissez le périphérique Jamf > Delete.

Configuration du périphérique

• [Général] Les stratégies de conformité créées sur le portail Azure classic seront bientôt obsolètes. Vous pouvez consulter et supprimer les politiques de conformité existantes, mais vous ne pouvez pas les mettre à jour. Si vous devez migrer des politiques de conformité vers le portail Intune Azure actuel, vous pouvez exporter les politiques sous la forme d'un fichier séparé par des virgules (fichier.csv). Ensuite, utilisez les détails du fichier pour recréer ces politiques dans le portail Intune Azure.
• [Windows 10] Lorsque vous créez une stratégie Windows Hello for Business, elle s'applique à tous les utilisateurs au sein de l'organisation. Avec cette mise à jour, la stratégie peut également être appliquée à des utilisateurs spécifiques ou à des périphériques spécifiques à l'aide d'une stratégie de configuration des périphériques (Device Configuration > Profiles > Create profile > Identity Protection > Windows Hello for Business).

• [Windows 10] Vous pouvez maintenant activer le mode Federal Information Processing Standards (FIPS) pour les profils Wi-Fi d'entreprise pour Windows 10.
• [Windows 10] Vous pouvez créer un profil de configuration de périphérique qui fait passer un périphérique Windows 10 du mode S au mode S, ou empêcher les utilisateurs de passer du au mode S. Cette fonctionnalité se trouve dans Intune > Device configuration > Profiles > Windows 10 and later > Edition upgrade and mode switch. Ceci ne s'applique qu’à Windows 10 1809 et plus.
• [Windows 10] Lorsque vous utilisez Windows Defender Advanced Threat Protection et Intune, vous deviez auparavant télécharger un package de configuration et l'ajouter à votre profil de configuration. Avec cette mise à jour, Intune reçoit automatiquement le package de Windows Defender Security Center, et l'ajoute à votre profil.
• [Windows 10] Vous pouvez maintenant définir des profils de périphérique pour exiger que le périphérique se connecte à un réseau avant de passer la page Réseau pendant la configuration de Windows 10. Ne s’applique qu’à Windows 10 Insider.
• [iOS] Vous pouvez créer un type de connexion Zscaler pour la création d’un profil VPN sur iOS.
• [iOS] Dans Device compliance > Policies > Create policy > iOS > System Security, il y a un nouveau paramètre Restricted applications. Ce nouveau paramètre utilise une stratégie de conformité pour bloquer l'accès aux ressources de l'entreprise si certaines applications sont installées sur l'appareil. L'appareil est considéré comme non conforme jusqu'à ce que les applications restreintes soient retirées de l'appareil.
• [iOS]Mise à jour pour ajouter le support des clients VPN iOS suivants :
  • F5 Access (version 3.0.1 et plus)
  • Citrix SSO
  • Palo Alto Networks GlobalProtect version 5.0 et plus
  • Les types de connexion F5 Access existants sont renommés F5 Access Legacy for iOS.
  • Les types de connexion Palo Alto Networks GlobalProtect existants sont renommés Palo Alto Networks GlobalProtect (legacy) for iOS.

Gestion des applications

• [Windows 10] Lorsque vous déployez des applications Office 365 ProPlus aux périphériques Windows 10 en utilisant Intune, vous pouvez sélectionner la version d'Office. Dans le portail Azure, sélectionnez Microsoft Intune > Apps > Add App. Ensuite, sélectionnez Office 365 ProPlus Suite (Windows 10) dans la liste déroulante Type. Sélectionnez App Suite Settings pour afficher la lame associée. Réglez le canal de mise à jour sur une valeur, telle que Monthly. Si nécessaire, supprimez l'autre version d'Office (msi) des périphériques de l'utilisateur final en sélectionnant Oui. Sélectionnez la version spécifique d'Office pour le canal à installer sur les périphériques de l'utilisateur final. Les déploiements actuels continueront à déployer l'ancienne version, mais la liste des versions sera continuellement mise à jour par canal.

•  [iOS] Support des tunnels de paquets pour les profils VPN iOS par application pour les types de connexion personnalisés et Pulse Secure. Lorsque vous utilisez les profils VPN iOS par application, vous pouvez choisir d'utiliser le tunneling au niveau de l’application (app-proxy) ou le tunneling au niveau du paquet (packet-tunnel).
• [iOS] Les mises à jour automatiques des applications fonctionnent à la fois pour les applications sous licence périphérique et utilisateur pour iOS version 11.0 et supérieure.

Sécurité du périphérique

• [Général] Vous pouvez contrôler l'accès des périphériques mobiles aux ressources de l'entreprise en utilisant l'accès conditionnel basé sur l'évaluation des risques réalisée par Better Mobile, une solution Mobile Threat Defense qui s'intègre à Microsoft Intune. Note : BETTER offre 50 licences de périphériques gratuites pour 18 mois à tous les tenants Microsoft Intune. Plus d’informations sur : https://www.better.mobi/intune

• [Général] Vous pouvez créer des balises pour limiter l'accès aux ressources d'Intune. Ajoutez une balise à une affectation de rôle, puis ajoutez la balise scope à un profil de configuration. Le rôle n'aura accès qu'aux ressources dont les profils de configuration ont des balises de portée correspondantes (ou aucune balise de portée).
• [iOS] Le paramètre de détection de jailbreak amélioré apparaît maintenant dans tous les rapports de conformité de la console d'administration.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft a changé les conditions de licence pour Azure Active Directory. Parmi les changements notables, on retrouve :

• Les entreprises peuvent maintenant acheter le service Azure AD Identity Protection pour un sous ensemble d’utilisateurs
• Les clients Azure AD Premium 1 (P1) peuvent activer les restrictions basées sur le proxy dans l’accès conditionnel.
• Les clients Azure AD Premium 1 (P1) peuvent utiliser des contrôles personnalisés comme des intégrations à des solutions d’authentification à facteurs multiples (MFA) tierces.

Plus de détails sur : https://azure.microsoft.com/en-us/pricing/details/active-directory/

Microsoft vient de publier une nouvelle Preview (1.36.18.0) du client pour son service Microsoft Azure Information Protection. Parmi les changements sur le client, on retrouve :

• Prise en charge de nouveaux types d'informations sensibles pour vous aider à classer les documents contenant des informations personnelles.
• Prise en charge de la labelisation pour le format Strict Open XML Document dans les fichiers Word, Excel et PowerPoint.
• Prise en charge de la norme ISO pour le chiffrement des PDF, en configurant une nouvelle option avancée du client. Lorsque cette option est configurée, les documents PDF que vous protégez conservent leur extension de nom de fichier.pdf (plutôt que de passer à.ppdf) et peuvent être ouverts par des lecteurs PDF qui prennent en charge cette norme ISO.
• Prise en charge des fichiers qui ont été protégés par Secure Islands lorsque ces fichiers ne sont pas des documents PDF et Office. Par exemple, des fichiers texte et images protégés. Ou, les fichiers qui ont une extension de nom de fichier.pfile. Ce support permet de nouveaux scénarios, tels que le scanneur Azure Information Protection qui permet d'inspecter ces fichiers à la recherche d'informations sensibles et de les ré-étiqueter automatiquement pour Azure Information Protection.
• Lorsque vous classifiez et protégez en utilisant PowerShell ou le scanneur, les métadonnées des documents Office ne sont pas supprimées ou chiffrées.
• L'affichage des e-mails à l'aide des icônes de flèche Élément suivant et Élément précédent sur la barre d'outils Accès rapide affiche l'étiquette correcte pour chaque e-mail.
• Les permissions personnalisées prennent en charge les adresses électroniques des destinataires qui contiennent une apostrophe.
• L'environnement informatique s'initialisera avec succès (bootstrap) lorsque cette action est lancée en ouvrant un document protégé stocké dans SharePoint Online.
• Plusieurs correctifs importants.

Parmi les changements sur le scanneur, on retrouve 

• Nouvelle cmdlet, Update-AIPScanner : Requis pour fonctionner une fois après la mise à niveau de la version 1.26.6.0 ou antérieure.
• Nouvelle cmdlet, Get-AIPScannerStatus : Obtient l'état actuel du service pour le scanner.
• Nouvelle cmdlet, Start-AIPScan : Demande au scanneur de démarrer un cycle d’analyse ponctuel lorsque l'horaire est réglé sur manuel.
• SharePoint Server 2010 est pris en charge pour les clients qui ont étendu le support de cette version de SharePoint.
• Pour les documents protégés dans les bibliothèques SharePoint, si le paramètre DefaultOwnerparameter n'est pas utilisé pour le référentiel de données, la valeur SharePoint Editor est maintenant utilisée comme valeur par défaut au lieu de la valeur Author.
• Les rapports du scanneur incluent "Dernière modification par" pour les documents Office.
• Pour le scanneur, la liste d'exclusion par défaut inclut maintenant les fichiers.rtf

Télécharger Azure Information Protection Client Preview

Microsoft vient de mettre à disposition la Technical Preview 1808 (5.0.8707.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1808 comprend les nouveautés suivantes :

Déploiement d’applications

• Un nouveau bouton est disponible dans le Centre Logiciels pour réparer une application. Vous pouvez configurer la ligne de commande de réparation sur le type de déploiement d’une application.

Mise à jour logicielles et conformité

• La fonctionnalité Phased Deployment est maintenant disponible pour les mises à jour logicielles. Ceci permet d’orchestrer, de coordonner et de séquencer le déploiement d’une application. Vous pouvez naviguer dans Software Library – Software Updates – All Software Updates/Office 365 Updates, sélectionnez l’application et choisissez Create Phased Deployment

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1808

Microsoft vient de mettre à disposition une nouvelle préversion (1.2018.821.0) de l’outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Cette préversion ajoute les fonctionnalités :

• Ajout du support de l’invite de commande
• Ajout de la capacité d’utiliser une machine virtuelle locale existante pour l’environnement de packaging
• Ajout de la possibilité de vérifier les informations de l’éditeur dans le manifest avec un certificat de signature afin d’éviter les problèmes de signature
• Ajout de mise à jour mineur à l’interface pour la clarifier.

Ceci s’ajoute aux capacités principales existantes :

• Packaging d’applications au format MSI, EXE, App-V 5.x) vers MSIX
• Créer un package de modification pour un package nouvellement créé via l’option Modification Package
• L’ouverture d’un package MSIX pour voir et éditer les propriétés via l’option Open package editor.

Il n’est pour l’instant pas possible de convertir des packages App-V 4.6 SP3, d’avoir accès à l’interface en ligne de commande, de packager sur un machine virtuelle existant, et certaines options ne permettent pas encore d’ajout ou supprimer des fichiers virtuels ou des éléments dans le registre virtuel.

Pour accéder à l’outil, vous devez :

• Participer au programme Windows Insider Fast ou Slow Ring
• Avoir Windows 10 17701 ou plus
• Avoir les droits d’administrateur sur la machine
• Avoir un compte Microsoft pour accéder au Microsoft Store.

Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Microsoft propose une vidéo via Microsoft Mechanics pour présenter les dernières nouveautés du service Microsoft Cloud App Security. MCAS est une solution CASB qui assure la découverte, la conformité, la protection de l'information et la protection contre les menaces pour les services natifs de Microsoft et les applications tierces.

Parmi les nouveautés présentées dans la vidéo, on retrouve :

• Découverte d'applications métier (LoB)
• Évaluation de la conformité GDPR de toutes les applications de votre organisation.
• Détection des ransomware et des activités des utilisateurs qui ne devraient plus avoir accès aux ressources de votre entreprise.
• Surveillance et contrôle des sessions des utilisateurs en temps réel avec le contrôle des applications avec accès conditionnel.
• Gestion centralisée du DLP avec le moteur de classification des données de Microsoft

Source : https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/Microsoft-Cloud-App-Security-Updates-Microsoft-Mechanics/ba-p/234827

Vous avez mis à jour d’une version Windows 10 à l’autre et les applications modernes précédemment retirées sont revenues ? Vous avez provisionné une application pour tous les utilisateurs mais cette dernière n’a pas été chargée lors de l’ouverture de session et du profil ?

Autant de questions qui peuvent nécessiter du dépannage avancé.

DISM et PowerShell peut être une première réponse. L’observateur d’événements peut vous donner des éléments en naviguant dans : Applications and Services logs – Microsoft – Windows – AppxDeployment et AppxDeployment-Server

Mais le registre peut fournir des éléments intéressants via : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore

On retrouve différentes clés :

• Applications
• Deleted avec des sous clés :
  • EndofLife pour les applications retirées par l’éditeur
  • Upgrade : pour des applications qui ont été mises à niveau
• Deprovisioned : liste les applications qui ont été retirés globalement par un administrateur via DISM ou les Cmdlets PowerShell.
• InboxApplications pour les applications essentielles au système qui ne peuvent être désinstallées. Ceci inclut Microsoft Edge
• Les clés correspondant au SID de l’utilisateur qui listent toutes les applications installées pour l’utilisateur
• Staged : Les applications provisionnées pour tous les utilisateurs.

Par exemple pour Windows 10 1703 ou 1709, vous pouvez créer des clés spécifiques sous Deprovisioned pour s’assurer que celles qui ont été retirées ne seront plus réinstallée avec la version 1803.

Aaron Margosisv (Microsoft) a créé une boite à outils de script qui visent à créer et maintenir des règles de liste blanche AppLocker. Les scripts PowerShell documentent les exécutions d’applications sur des dossiers qui sont écrivables par un utilisateur standard. Il permet ainsi de bloquer et créer les règles adéquates.

Plus d’informations sur le billet d’Aaron : Application whitelisting with “AaronLocker”

Télécharger les scripts

Microsoft a annoncé la fin de support d’iOS 9 par Microsoft Intune à partir de Septembre. La sortie d’iOS 12 est attendue pour septembre 2018 et après cette date l’enregistrement à Microsoft Intune, le portail d’entreprise et le navigateur géré (Managed Browser) demanderont à minima iOS 10.

Microsoft rappelle que les applications mobiles d’Office 365 ne sont déjà plus compatibles iOS 9. Les périphériques suivants sont concernés :

• iPhone 4S
• iPod Touch
• iPad 2
• iPad (3^ème Génération)
• iPad Mini (1^er Génération)

Vous devez donc les remplacer vers des périphériques plus récents qui supportent au moins iOS 10.

Pour identifier les périphériques qui ne seront plus compatibles, vous pouvez :

• Pour Intune en mode autonome, naviguez dans Devices – all devices et filtrer sur le système d’exploitation
• Pour Intune en mode hybride avec Configuration Manager, naviguez dans Assets and Compliance – Devices et ajoutez la colonne Operating System et Client Version pour trouver les périphériques concernés.

Les stratégies de protection des applications peuvent aussi vous permettre dès aujourd’hui de demander une version de système d’exploitation minimum avec le paramètre : « Require minimum iOS operating system (Warning only) »

Chris Jackson (Microsoft) a publié un billet sur la fonctionnalité de réduction de la surface d’attaque (ASR) présente dans Windows 10 via Windows Defender Exploit Guard. Le principal problème de cette fonctionnalité est que les différentes atténuations peuvent avoir des impacts sur les applications utilisées ; ceci inclut aussi des applications Microsoft telles qu’Excel.

Son article revient sur la stratégie à adopter lors de l’implémentation de la fonctionnalité : Interpreting Exploit Guard ASR audit alerts

Matt Shadbolt (MSFT) a publié un billet pour décrire la marche à suivre lorsque vous devez dépanner l’application de stratégies MDM sur Windows 10 via Microsoft Intune.

Le premier point de passage est l’observateur d’événements (eventvwr) en naviguant dans Application and Services Logs – Microsoft - Windows - DeviceManagement-Enterprise-Diagnostics-Provider.

Le journal Admin donne des éléments intéressants mais vous pouvez activer le mode Debug via le menu View puis Show Analytics and Debug Logs. Un journal Debug apparaît alors. Vous pouvez l’activer et relancer une synchronisation pour avoir plus de détails.

Pour en apprendre plus, rendez-vous sur : Troubleshooting Windows 10 Intune Policy Failures

Microsoft a mis à jour une nouvelle fois la baseline permettant de vérifier l’état de conformité des machines vis-à-vis des vulnérabilités Spectre et Meltdown (Speculation Execution Side-Channel) avec System Center Configuration Manager. Cette version ajoute la vérification de la vulnérabilité CVE-2018-3620.

La baseline vérifie si la protection est activée pour les quatre vulnérabilités suivantes :

• CVE-2018-3620 (L1 Terminal Fault)
• CVE-2018-3639
• CVE-2017-5715
• CVE-2017-5754

La baseline requiert PowerShell 3.0 pour fonctionner.

Télécharger Speculation Execution Side-Channel Vulnerabilities Configuration Baseline

Source : https://blogs.technet.microsoft.com/configurationmgr/2018/08/20/speculative-execution-configuration-baseline-updated-for-l1tf-cve-2018-3620/

L’équipe du support Intune a publié un billet pour détailler d’un comportement concernant la plateforme Android et la gestion par Microsoft Intune. Il se peut que les périphériques Android ne demandent pas nécessairement la création d’un mot de passe si vous avez laisser le type de mot de passe comme par défaut du périphérique.

Microsoft va retirer cette valeur afin d’empêcher la création de stratégie qui ne donne pas le comportement voulu.

Vous pouvez constater le paramétrage dans le portail Intune en naviguant dans

• Device configuration > Profiles > Android device restrictions profile > Password.
• Device configuration > Profiles > Android enterprise, Work profile only device restriction profile > Work profile settings
• Device configuration > Profiles > Android enterprise, Work profile only device restriction profile > Device password
• Device configuration > Profiles > Android enterprise, Device Owner only device restriction profile > Device password
• Device compliance > Policies > Android policy > System Security tab

L’option Device Default doit donc être changée à une valeur comme Any ou Required.

Plus d’information sur : Android passwords may not be enforced when selecting “device default” password type

Cela fait maintenant plusieurs mois que Microsoft a changé la stratégie de mise à jour des systèmes d’exploitation pour aligner ce qui a été mis en place avec Windows 10. On retrouve différents types de mises à jour cumulatives publiées et si vous naviguez sur les Forums Microsoft, vous avez peut-être pu voir des ingénieurs dire que certains bugs étaient corrigés dans la mise à jour 4C, 5D, etc.

Non ! Ce n’est pas la bataille navale mais bien un jargon faisant référence à un type de mise à jour cumulative mensuel.

• Les mises à jour B font références aux mises à jour cumulatives publiées lors du Patch Tuesday, le second mardi du mois. Ce sont celles qui permettent de corriger les vulnérabilités de sécurité détectées et testées par Microsoft.
• Les mises à jour C et D ont lieu la 3^ème et 4^ème semaine du mois. Ce sont des Preview qui ne contiennent pas de mises à jour de sécurité et sont proposées à des fins de tests pour la publication du Patch Tuesday du mois suivant (comme une mise à jour B).
• Les mises à jour hors cycle (out-of-band release) n’ont pas de planification particulière. Ces mises à jour de sécurité sortent du cycle standard de mise à jour pour corriger une vulnérabilité dangereuse (0days) ou un problème de qualité immédiatement sans avoir à attendre les autres mises à jour.

Ainsi, si vous voyez quelqu’un qui parle de la mise à jour 9C, cela signifie que c’est la mise à jour publiée la 3^ème semaine du mois de septembre.

Plus d’informations sur l’histoire des mises à jour via l’article : Windows 10 update servicing cadence

L’équipe du support Intune a communiqué avoir retiré certains paramétrages pour iOS et macOS qui étaient présentés temporairement dans le portail Azure. Ces paramétrages ont été présentés dans l’interface bien que le backend n’étaient pas prêt.

Voici la liste des paramétrages iOS qui ont été temporairement supprimés :

• Require students to request permission to leave Classroom course (supervised only)
• Allow over-the-air PKI updates
• Limit ad tracking
• Block VPN creation (supervised only)
• Require iTunes password for all purchases
• Block removal of system apps from device (supervised only)
• Block AirPrint (supervised only) – 4 paramètres
• Block iCloud Keychain sync
• Block Enterprise Book Backup
• Block enterprise book metadata sync (notes and highlights)

Voici la liste des paramétrages macOS qui ont été temporairement supprimés :

• Block AirPrint (supervised only) – 3 paramètres
• Block iCloud Keychain sync

Source : https://blogs.technet.microsoft.com/intunesupport/2018/08/13/support-tip-update-to-some-manageability-settings/

Voilà une bonne nouvelle pour toutes les entreprises qui gèrent des machines Windows 10 et une bonne raison de passer à Windows 10 1809. Microsoft a annoncé avoir travaillé sur un nouveau type de mise à jour de qualité plus facile à gérer, plus petite en taille et redistribuable.

Jusqu’à maintenant, on retrouvait trois types de packages :

• Les mises à jour cumulatives complètes pouvant aller jusqu’à 2 GB
• Les mises à jour cumulative Delta étant un sous ensemble des changements entre la version précédente et la version courante du niveau de mise à jour.
• Les mises à jour Express comprenant un découpage des composants de la mise à jour afin que le client ne télécharge et l’installe que ce qui est nécessaire.

On retrouvait un ratio inversement proportionnel entre la taille nécessaire à télécharger sur les clients et la taille du stockage nécessaire sur les serveurs WSUS ou les points de distribution d’une infrastructure System Center Configuration Manager. En effet les mises à jour cumulatives complètes, ont une taille fixe de 2GB sur les clients ou sur les points de distribution. Les mises à jour Express peuvent avoir une taille bien moindre (100 MB) sur les clients mais demander jusqu’à trois fois la taille de la mise à jour complète (+ de 6GB) sur les points de distribution.

Les entreprises avaient donc le choix entre impacter le réseau et le stockage client avec des mises à jour cumulatives complètes ou impacter le stockage des serveurs d’infrastructure (WSUS/SCCM) pour limiter l’impact sur la bande passante et le stockage local des clients.

Avec ce nouveau type de mise à jour, on retrouve une optimisation similaire côté client ou côté serveur d’infrastructure :

Ces mises à jour seront disponibles au format Cabinet (.cab) sur Windows Update, WSUS et SCCM ou au format Update Standalone Installer (.msi) en téléchargement. Ils pourront donc être gérés par System Center Configuration Manager, WSUS, Microsoft Intune, ou des outils de MDM tiers. Ceci s’appliquera à Windows 10 1809+ ou Windows Server 2019.

Source : https://techcommunity.microsoft.com/t5/Windows-IT-Pro-Blog/What-s-next-for-Windows-10-and-Windows-Server-quality-updates/ba-p/229461

Cela faisait plusieurs mois qu’on pouvait s’attendre à une annonce comme celle-ci avec le peu de nouveautés et d’investissements sur la gestion des périphériques mobiles (MDM) en mode hybride via System Center Configuration Manager couplé à Microsoft Intune. C’est maintenant officiel et la fin du service est prévue pour le 1er septembre 2019. Cette décision est motivée par l’investissement important fait par Microsoft sur Microsoft Intune dans mode autonome. Ceci a créé un plébiscitât du service par les entreprises. Il y a de moins en moins d’entreprises qui utilisent le mode hybride.

Les clients concernés ont été informés via une notification (MC146431) dans l’Office Message Center du portail Office 365.  Pour savoir si vous utilisez le mode hybride, vous pouvez ouvrir la console Configuration Manager et naviguer dans Administration – Cloud Services – Microsoft Intune Subscriptions. Si vous constatez qu’un abonnement est présent, c’est que vous utilisez le mode hybride.

Microsoft laisse donc un an à ses clients pour migrer vers la gestion des périphériques mobiles (MDM) via Microsoft Intune en mode autonome. Pendant cette année, Microsoft corrigera les bugs importants et s’assurera que les fonctionnalités existantes, fonctionnent sur les nouveaux systèmes tels qu’iOS 12.

Les clients qui migreront sur Microsoft Intune en mode autonome n’ont pas à opérer de changement de licences puisque ces dernières, restent les mêmes. A partir de Novembre 2018, Microsoft va commencer à bloquer l’ajout de nouveaux tenants hybrides. Lorsque la fin du service sera effective le 1er septembre 2019, les périphériques gérés en mode hybride ne recevront plus de stratégies, d’applications, etc.

Pour les clients hybrides, vous devez commencer à réfléchir à la migration. Microsoft fournit un chemin de migration qui permet de passer du mode hybride au mode autonome sans interruptions particulières. Vous pouvez vous référez à la documentation. Dans les grandes lignes, le processus est le suivant :

1. Importer les données de Configuration Manager dans Microsoft Intune via l’outil Intune Data Importer Tool. Ceci inclut les stratégies, les profils, les déploiements, etc.
2. Préparer Intune pour la migration des utilisateurs. Ceci inclut la création des groupes Azure Active Directory, l’installation des connecteurs Exchange ou NDES.
3. Changer l’autorité MDM pour certains utilisateurs et procéder ainsi à la migration par lots. Ceci met votre tenant dans une mode d’autorité mixte.
4. Changer l’autorité MDM à Microsoft Intune seul.

Les clients peuvent se faire assister par le programme Microsoft FastTrack.

Dans les faits, voici quelles sont les options pour chaque plateforme si vous utilisez le mode hybride :

• Périphériques Windows 10 Desktop ou Mobile : Passage du mode hybride vers Microsoft Intune autonome ou Co-Management via Configuration Manager et Microsoft Intune.
• Périphériques iOS : Passage du mode hybride vers Microsoft Intune autonome.
• Périphériques Android : Passage du mode hybride vers Microsoft Intune autonome.
• Périphériques macOS : Passage du mode hybride vers Microsoft Intune autonome.

Note : Cette annonce ne remet pas en cause le futur de System Center Configuration Manager qui reste positionné comme une solution de gestion traditionnelle On-Premises.

Plus d’informations : https://blogs.technet.microsoft.com/intunesupport/2018/08/14/move-from-hybrid-mobile-device-management-to-intune-on-azure/

Après trois semaines où la version n’était proposée qu’en Slow Ring via l’exécution du script PowerShell, Microsoft vient de mettre à disposition System Center Configuration Manager 1806 (5.00.8692.1000) pour toutes les infrastructures. Vous pouvez aller dans la partie Administration – Updates & Servicing pour lancer la mise à niveau de votre infrastructure. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1702 avant de pouvoir passer à cette version.

Pour voir la liste des nouveautés, je vous invite à lire mon autre billet.

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Microsoft a informé d’une vulnérabilité Denial of Service (DoS) (CVE-2018-5390) affectant le kernel Linux. Des machines virtuelles exécutants Linux, peuvent être vulnérable. Les hôtes Azure ne sont pas concernés par ce problème de vulnérabilité et Microsoft travaille avec les fabricants de distribution Linux pour corriger le problème.
• Disponibilité Générale des groupes d’administration (Azure Management Groups) permettant d’organiser les abonnements et appliquer des contrôles de gouvernance via Azure Policy et RBAC. Tous les abonnements des groupes d’administration héritent de ces contrôles.
• Intégration d’Ansible 2.6 à Azure Cloud Shell avec 4 nouveaux modules permettant de gérer (créer, mettre à jour et supprimer) un service Azure Kubernetes, et de gérer des ressources Azure en utilisant l’API REST Azure. Ansible permet d’automatiser les applications et les infrastructures IT. Pour rappel, l'Azure Cloud Shell est un outil de ligne de commande en mode navigateur qui permet d'exécuter des commandes directement dans le portail.

Azure MarketPlace

• On retrouve 97 nouvelles offres en Juillet parmi lesquelles :
  • Pour les machines virtuelles : Bloombase StoreSafe, BlueCat DNS Edge Service Point VM for Azure, CentOS 7 WebServer (LAMP) with WAF, Dell EMC Data Domain Virtual Edition (DD VE) v4.0, Dell EMC NetWorker Virtual Edition, Eastwind Sensor for CloudVu, Hardened Node.js PHP IIS on Windows Server 2012 R2, ISP OCR on Azure, LimeSurvey by tunnelbiz, Netsweeper 6.0.6, php linux server with laravel framework, QRadar SIEM (BYOL), Softadmin, et Zultys MXvirtual from Connector73.
  • Pour les Web Applications : AcuPebble, CSP Control Center, Kaspersky Hybrid Cloud Security (BYOL), et RadiantOne Federated Identity Service.

Azure Storage

• Public Preview d’Azure NetApp files, un service natif Azure proposant la technologie ONTAP de NetApp. Ceci permet d’apporter des volumes NFS gérés dans Azure. La Preview est disponible dans le Datacenter East US et prochainement sur West US 2.
• Preview des disques SSD pour le service Azure Data Box Disk. Ce dernier permet le transfert de jusqu’à 40 TB de données vers Azure.

Azure Network

• Public Preview d’Azure Virtual WAN offrant la possibilité de connecter de façon transparente vos succursales à Azure avec les périphériques SDWAN et VPN (c'est-à-dire les équipements des locaux de l’entreprise) avec une facilité d'utilisation intégrée et une gestion automatisée de la connectivité et de la configuration. Microsoft lance le service avec Citrix et Riverbed mais des partenaires additionnels sont attendus : Barracuda, Checkpoint, Nokia Nuage, Palo Alto, Versa Networks et Silverpeak
• Public Preview d’Azure Firewall offrant des capacités de pare-feu natif entièrement dynamique pour les ressources du réseau virtuel, avec une haute disponibilité intégrée et la possibilité d'évoluer automatiquement. Les clients peuvent créer et appliquer des stratégies de connectivité à l'aide de règles de filtrage au niveau des applications et du réseau. Les stratégies de connectivité peuvent être appliquées sur plusieurs abonnements et réseaux virtuels. Le service Azure Firewall est entièrement intégré avec la plate-forme Azure, l'interface utilisateur du portail et les services.
• Microsoft annonce l’arrivée de 8 nouveaux emplacements POP (Point of Presence) pour Azure CDN : Seattle (USA), Las Vegas (USA), Houston (USA), Budapest (Hongrie), Barcelone (Espagne), Varsovie (Pologne), New Delhi (Inde), et Busan (Corée du Sud).
• Disponibilité Générale des VNet Service Endpoints pour MySQL et PostgreSQL dans toutes les régions afin de vous permettre d'isoler la connectivité à votre serveur logique à partir d'un sous-réseau ou d'un ensemble de sous-réseaux donné dans votre réseau virtuel. Le trafic vers MySQL/PostgreSQL de votre VNet restera toujours dans le réseau Azure. Cette route directe sera privilégiée par rapport à toutes les routes spécifiques qui utilisent le trafic Internet via des appliances virtuelles ou On-Premises.
• Ajout des probes HTTPS aux load balancers standard dans Azure. Ceci permet d’obtenir l’état pour un chemin et un port spécifique entre différents essais.

Azure Advisor

• Azure Advisor intègre de nouvelles recommandations pour Azure SQL Data Warehouse.
• Public Preview de la journalisation des activités en utilisant les paramétrages de diagnostic d’Azure Monitor. Ceci vous permet de streamer des données de journalisation du service vers un compte de stockage Azure, un espace de nom Event Hubs ou un workspace Log Analytics.

IaaS

• Disponibilité Générale de la flexibilité de la taille des instances de machines virtuelles réservées. La fonctionnalité permet de déployer des machines virtuelles de tailles différentes tout en gardant le bénéfice d’Azure Reserved Instances (RI). On retrouve donc un ratio associé à la taille par groupe de machines virtuelles (par exemple DSv3 Series).
• Disponibilité Générale de la fonctionnalité permettant de convertir des machines virtuelles avec des disques non gérés vers disques gérés (Managed Disks). La migration peut se faire en un seul clic. Les Managed Disks offre de nombreux bénéfices comme la fin des limites associées au compte de stockage, la création de VM Scale Sets avec plus de 1000 instances, la sécurisation des disques, des snapshots et des images via RBAC, etc.
• Une option de redémarrage a été ajoutée Azure Update Management.

Azure Stack

• Mise à jour 3 d’Azure App Service pour Azure Stack apportant les fonctionnalités suivantes :
  • Support de l’utilisation de SQL Server Always ON pour les bases de données Azure App Service Resource Provider.
  • Mise à jour d’App Service Tenant, Admin, des portails Functions, et des outils Kudu.
  • Mise à jour d’ASP.Net Core, NodeJS, Zulu OpenJDK, Tomcat, PHP, Wincache et Git.
  • Des correctifs et des mises à jour
• Les différents services Azure sur Azure Stack ne nécessiteront plus qu’un port dédié pour l’ajout de fonctionnalité dans le portail. Seul le port 443 sera nécessaire et devra être ouvert en sorti. Microsoft vient de faire le travail pour les extensions par défaut du portail utilisateur et d’administration pour la mise à jour 1810. Ce qui a réduit de 27 à un seul port nécessaire. Microsoft va peu à peu étendre ceci à l’ensemble des services comme SQL ou MySQL. Ceci demandera par contre deux certificats wildcard SSL pour le portail utilisateur et d’administration.

Azure Advanced Threat Protection

• Microsoft annonce 4 nouvelles détections. Deux détections sont autour d'une nouvelle attaque où un attaquant se fait passer pour un contrôleur de domaine afin d'obtenir des privilèges dans l'environnement. Microsoft détecte maintenant quand une machine est promue de façon suspecte comme contrôleur de domaine, et quand une demande de réplication d'un contrôleur de domaine suspect est envoyée. Microsoft a également ajouté une nouvelle façon de détecter les attaques Golden Ticket, lorsque l'attaquant accorde un golden ticket à un faux utilisateur qui n'existe pas dans Active Directory. Ceci constitue une technique courante utilisée par les attaquants pour cacher leurs traces. La dernière détection vous avertit lorsqu'un utilisateur se connecte à partir d'une connexion VPN suspecte.

Enterprise Mobility + Security

Azure Active Directory

• Microsoft a unifié les expériences utilisateurs pour l’enregistrement des informations de sécurité pour l’authentification à facteurs multiples (MFA) et le portail de réinitialisation de mot de passe en libre-service (SSPR). Microsoft a créé une nouvelle documentation pour guider les utilisateurs dans cette nouvelle expérience.
• Amélioration de l’expérience d’enregistrement de l’application Microsoft Authenticator avec des instructions et des illustrations claires. De plus, les utilisateurs qui s'inscrivent à partir de leur périphérique mobile peuvent configurer leur compte dans l'application Microsoft Authenticator d'un simple clic.
• Les utilisateurs qui enregistrent l'application Microsoft Authenticator par le biais de la nouvelle expérience d'enregistrement des informations de sécurité ou de l'expérience actuelle d'enregistrement MFA peuvent utiliser une application d'authentification pour prouver qui ils sont pour réinitialiser leur mot de passe. Voici la documentation pour activer cette fonctionnalité.

Azure Information Protection

• Mise à jour de la documentation d’Azure Information Protection :
  • How to configure conditions for automatic and recommended classification for Azure Information Protection pour inclure les nouveaux types d’information sensibles qui vont devenir disponible dans le portail Azure afin d’identifier les données personnelles dans les documents et Emails.
  • Deploying the Azure Information Protection scanner to automatically classify and protect files pour expliquer qu’afin de découvrir et classifier des documents Office, ces derniers doivent être dans un format de fichier Office 97-2003 ou Office Open XML.
  • Azure Information Protection client: Version release history and support policy : Mise à jour avec la nouvelle version Preview.
  • Azure Information Protection client administrator guide : Ajout d’une section Post installation tasks qui inclut des instructions pour modifier les macros dans les feuilles Excel.
  • Mise à jour de Admin Guide: Custom configurations for the Azure Information Protection client

Operations Management Suite

• Depuis fin juillet, les Workspaces ne peuvent être créé qu’à partir du portail Azure.

Windows Analytics

• .

Azure Log Analytics

• Nouvelle version 6.0-163 de l’agent Log Analytics pour Linux apportant la fin du support de SSL 0.9.8 et TLS 1.0/1.1, le support d’Ubuntu 18.04, la fin du support des distributions Amazon Linux 2012.09, CentOS 5, Oracle Linux 5, RHEL 5, Debian 6 et 7, Ubuntu 12.04, SUSE 11. Il apporte aussi l’amélioration de la sécurité et notamment des permissions sur les fichiers et dossiers. On retrouve aussi Ruby 2.4.4, OMI 1.4.2-5, SCX 1.6.3-659.

• • Advanced Analytics arrive dans le portail Azure. Celui-ci permet d’exécuter des requêtes avancées. Vous pourrez alors mettre autant d’onglets que vous le souhaitez, des visualisations enrichies, la colorisation de la syntaxe, l’exploreur de requêtes, le visionnaire de schéma, etc.

• Pas moins de 12 fonctions ont été ajoutés au langage de requêtage d’Azure Log Analytics.

Azure Automation

• Disponibilité Générale de la fonctionnalité permettant le démarrage et l’arrêt de machines virtuelles en dehors des heures de travail.

Azure Backup

• Azure Backup supporte maintenant jusqu’à 100 machines virtuelles par stratégie de protection.

Azure Site Recovery

• Update Rollup 27 pour Azure Site Recovery (ASR) avec l’ajout du Support de SUSE 12 et RHEL 7.5 et la correction d’un bug si un nombre de cœurs insuffisant est disponible dans l’abonnement.
• Veritas Backup Exec Instant Cloud Recovery peut maintenant utiliser les capacités d’Azure Site Recover via Backup Exec 20.2. Les utilisateurs de Backup Exec peuvent facilement configurer la réplication continue pour les machines virtuelles On-Prem vers Azure avec un basculement rapide en cas de perturbation sur site. Les clients de Backup Exec peuvent minimiser le RPO et le RTO pour les applications critiques.

Azure Migrate

• Azure Migrate permet maintenant de planifier la migration vers Azure pour des machines virtuelles qui utiliseront les instances réservées. Azure Migrate vous permettra de mettre en évidence le modèle de coût.
• La solution fournit de nouveaux moyens de spécifier les séries de machines virtuelles qui seront utiliser pour les recommandations de tailles.
• Vous pouvez utiliser la propriété de type de stockage dans une évaluation et spécifier des disques premium comme type de stockage pour vous assurer que la recommandation de taille VM est faite en conséquence.
• Vous pouvez maintenant utiliser la propriété VM uptime en évaluation pour spécifier les détails du temps de disponibilité des VMs et obtenir l'estimation des coûts des VMs.
• Azure Migrate supporte maintenant Azure Government Cloud.
• Si vous avez des machines virtuelles Windows Server 2008 dans votre environnement, vous pouvez maintenant profiter de l'option pour obtenir des mises à jour de sécurité étendues gratuites en migrant ces machines virtuelles vers Azure. Azure Migrate vous aidera maintenant à identifier ces VMs comme des VMs prêtes pour Azure qui peuvent être migrées vers Azure en utilisant Azure Site Recovery.

Azure SQL

• Disponibilité Générale des capacités réservées pour Azure SQL Database pour une seule et des bases de données simples et des Elastic Pools.
• Améliorations d’Azure Database for MySQL avec notamment :
  • Preview du support de l’amélioration de la sécurité avec les Virtual Network Service Endpoints afin d’isoler la connectivité d’un serveur logique à partir d’un ou plusieurs réseaux.
  • Support de bases de données allant jusqu’à 4TB lors de la sélection des niveaux de service General Purpose ou Memory Optimized.
  • Disponibilité Générale de Data-in Replication pour synchroniser les données depuis un serveur On-Premises, une machine virtuelle ou des services de base de données en dehors d’Azure dans Azure Database for MySQL.
  • La restauration géographique est disponible.
  • Preview du support par Azure Database Migration Service (DMS) pour permettre la migration de bases de données MySQL vers Azure Database for MySQL sans interruption.
  • Disponibilité générale du niveau de prix Memory Optimized.
  • Disponibilité Régionale dans 28 régions supplémentaires dont : Central US (Gen 4), North Central US (Gen 5), France Central (Gen 5), East Asia (Gen 5), Australia East (Gen5), Australia East 2 (Gen5), Australia Southeast (Gen 5), Central India (Gen 5), West India (Gen 5), South India (Gen 5), et Korea Central (Gen 5).
• Améliorations d’Azure Database for PostgreSQL avec notamment :
  • Preview du support de l’amélioration de la sécurité avec les Virtual Network Service Endpoints afin d’isoler la connectivité d’un serveur logique à partir d’un ou plusieurs réseaux.
  • Support de bases de données allant jusqu’à 4TB lors de la sélection des niveaux de service General Purpose ou Memory Optimized.
  • La restauration géographique est disponible.
  • Support de PostgreSQL version 10.3.
  • Preview du support par Azure Database Migration Service (DMS) pour permettre la migration de bases de données PostgreSQL vers Azure Database for PostgreQSL sans interruption.
  • Disponibilité générale du niveau de prix Memory Optimized.
  • Disponibilité Régionale dans 28 régions supplémentaires dont : Central US (Gen 4), North Central US (Gen 5), France Central (Gen 5), East Asia (Gen 5), Australia East (Gen5), Australia East 2 (Gen5), Australia Southeast (Gen 5), Central India (Gen 5), West India (Gen 5), South India (Gen 5), et Korea Central (Gen 5).

Azure Data Factory

• Les outils visuels Azure Data Factory supporte maintenant l’intégration avec GitHub.

HDInsight

• Azure HDInsight Apache Phoenix supporte maintenant Zeppelin. Apache Phoenis est une base de données relationnelle massivement parallèle open source et construite sur HBase. Apache Zeppelin est un notebook open source basé sur le Web qui permet l'analyse interactive des données et des documents collaboratifs avec SQL, Scala et beaucoup d'autres langages.
• HDInsight supporte les Service endpoints avec les Blob Storage, Azure SQL Database, et Azure Comsos DB.

Azure IoT

• Public Preview de la fonctionnalité de bascule manuelle d’Azure IoT Hub. La fonctionnalité permet à une entreprise de basculer une instance IoT Hub d’une région principale Azure vers une région géographiquement associée.

Azure App Service

• Disponibilité Générale de Linux sur les environnements App Service. Vous pouvez utiliser du Node, PHP, Java, .NET Core. En outre si vous utilisez vos conteneurs personnalisés, vous pouvez prendre des images à partir de DockerHub, Azure Container Registry, et de votre propre registre privé.
• Public Preview du support des conteneurs Windows par Azure App Service. On retrouve de nouveaux SKUs et des images de base. Cette Public Preview permet de déployer des applications conteneurisées en utilisant Docker Hub, Azure Container Registry ou des registres privés, le déploiement incrémental en production, le dimensionnement automatique, etc.

Autres services

• Disponibilité Générale des outils d’analyse comportemental des utilisateurs dans Azure Application Insights.
• Public Preview du SDK 2.0 Java Script pour Azure Cosmos DB
• Publication de la version 0.5.0 du SDK Speech Devices.
• Disponibilité de la version 1.3.0 d'Azure Blockchain Workbench avec l'amélioration du temps et de la fiabilité de déploiement, l'amélioration des microservices DLT Watcher et DLT Consumer. On retrouve aussi la capacité de déployer u nWorkbench dans un consortium multi membre Ethereum PoA.

Microsoft vient de publier une mise à jour de sécurité pour Exchange Server 2013 CU20, 2013 CU21, 2016 CU9, et 2016 CU10.

Ces mises à jour corrigent la vulnérabilité suivante : Microsoft Common Vulnerabilities and Exposures CVE-2018-8302. Une vulnérabilité d'exécution de code à distance existe dans Microsoft Exchange lorsqu’il ne gère pas correctement les objets en mémoire. Un attaquant qui a exploité avec succès la vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l'utilisateur du système. Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes.

Télécharger :

• Security Update For Exchange Server 2013 CU20 (KB4340731)
• Security Update For Exchange Server 2013 CU21 (KB4340731)
• Security Update For Exchange Server 2016 CU9 (KB4340731)
• Security Update For Exchange Server 2016 CU10 (KB4340731)

L’équipe Exchange vient de publier le 23ème Rollup (KB4340733) pour Exchange Server 2010 SP3 (version 14.03.0417.001).

Il corrige la vulnérabilité suivante : Microsoft Common Vulnerabilities and Exposures CVE-2018-8302

Télécharger Update Rollup 23 For Exchange 2010 SP3 (KB4340733)

Voici un article intéressant de Paul Bergson (PFE Microsoft) qui détaille une nouvelle mode avec la montée en puissance des cryptomonnaies : Le Cryptojacking. On retrouve un nouveau genre de malware qui vise à utiliser les ressources des ordinateurs pour miner de la cryptomonnaie. Les attaquants n’ont souvent pas l’argent de payer des charges de calcul dans le Cloud et passe donc par l’infection de machines standards pour miner notamment du Monero.

Comme à l’usage, l’infection a lieu de deux façons :

• Via une attaque par hameçonnage (phishing)
• Via un website infecté qui lance un script (JavaScript).

L’article revient sur des éléments de base pour assurer la sécurité :

• Avoir un système et un antivirus à jour.
• Blacklister les sites connus pour le minage
• L’utilisation d’un bloqueur de pub
• La désactivation de JavaScript dans le navigateur
• La suppression des extensions de navigateur qui peuvent avoir été compromises
• La supervision des serveurs et des postes de travail
• L’éducation de l’utilisateur pour voir des changements sur le CPU, l’augmentation du ventilateur ou de la chaleur de l’ordinateur

En outre, il détaille les solutions Microsoft pour éviter ce genre de problème :

• Windows Defender SmartScreen
• Windows Defender Exploit Guard – Network Protection
• Windows Defender Antivirus en activant le filtre contre les applications potentiellement non souhaitées (PUA)
• Windows Defender Advanced Threat Protection
• AppLocker et Windows Defender Application Control pour donner un système de verrouillage et de liste noire/blanche d’applications.

Lire Cryptojacking – Leeches of the Internet

Microsoft a mis à disposition une nouvelle version (15.0.2.540) du serveur de rapports On-Premises pour Power BI et de PowerBI Desktop (2.61.5192.641). Power BI Report Server est disponible au travers de la licence Power BI Premium. Il permet d’offrir plus de capacité aux utilisateurs pour accéder, partager et distribuer le contenu Power BI. Le but notamment de fournir un serveur On-Premises pour héberger les rapports Power BI. Le service est construit sur la technologie SQL Server Reporting Services et inclut par conséquent toutes ses capacités (comme l’exécution de rapports RDL). Outre cette publication, on retrouve le client Power BI Desktop optimisé pour Power BI Report Server.

Cette nouvelle version de Power BI Report Server apporte :

• Reporting :
  • Report Theming
  • Boutons pour déclencher des actions
  • Styles de lignes de graphiques combinés
  • Amélioration du tri par défaut pour les visuels
  • Slicer numérique
  • Synchronisation avancée des slicers
  • Améliorations de l'axe logarithmique
  • Options de l'étiquette de données pour le diagramme en entonnoir
  • Régler la largeur de trait à zéro
  • Prise en charge d'un contraste élevé pour les rapports
  • Contrôle du rayon des Donuts
  • Contrôle de la position des étiquettes de détail des tableaux et donuts
  • Formatage des étiquettes de données séparément pour chaque mesure dans un diagramme combiné.
  • Nouvel en-tête visuel avec plus de flexibilité et de formatage
  • Formatage des fonds d'écran
  • Tooltips pour les tableaux et les matrices
  • Désactivation des infobulles pour les visuels
  • Accessibilité pour les slicer
  • Améliorations du volet de formatage
  • Support de lignes étagées pour les graphiques en ligne et combo.
  • Amélioration de l'expérience de tri
  • Imprimer les rapports par le biais de l'exportation au format PDF (dans Power BI Desktop)
  • Créer des groupes de favoris
  • Retraitement du slicer
  • Infobulles pour la page de rapport
• Analytics
  • Nouvelle fonction DAX : COMBINEVALUES()
  • Mesurer le drillthrough
  • Formatage conditionnel par un champ différent
  • Formatage conditionnel par valeurs
• Modeling
  • Filtrage et tri dans la vue des données
  • Amélioration du formatage des paramètres linguistiques
  • Catégories de données pour les mesures
  • Fonctions DAX statistiques

Pour faire fonctionner cette version, vous avez besoin de :

• .NET Framework 4.5.2 ou plus
• SQL Server Database Engine (2008 ou plus), pour stocker la base de données du serveur de rapports
• SQL Server Analysis Services (2012 SP1 CU4 ou plus), pour vos sources de données Live Analysis Services

Plus d’informations sur : https://powerbi.microsoft.com/fr-fr/blog/power-bi-report-server-update-august-2018/

Télécharger

• Microsoft Power BI Report Server – August 2018
• Microsoft Power BI Desktop (Optimized for Power BI Report Server - August 2018)

Microsoft vient de mettre à jour (version 7.7.1136.0) le management pack permettant la supervision des systèmes d’exploitation UNIX/Linux avec System Center 2012 Operations Manager (SCOM) 2012, 2016, 1801 ou 1807. Ce Management Pack permet la découverte et la supervision de la disponibilité ou de la configuration des systèmes UNIX. Cette mise à jour inclut l’agent en version 1.6.0-163 ou 1.6.3-659 (1807).

La mise à jour comprend les Management Packs pour System Center Operations Manager 1807.

Télécharger System Center Monitoring Pack for UNIX and Linux Operating Systems

Apple s’apprête à introduire un changement concernant les connexions VPN dans iOS 12. Les anciens clients des fournisseurs VPNs ne pourront plus fonctionner. Certains fabricants ont déjà communiqué sur le sujet :

• Cisco Legacy AnyConnect
• F5 Access Legacy/F5 Access 2.1 and earlier
• Palo Alto Networks GlobalProtect 4.1 and earlier

Vous devez migrer vos clients vers les nouveaux clients. Cela peut être déjà le cas pour Cisco AnyConnect. Microsoft va intégrer les changements nécessaires avant la sortie d’iOS 12 pour les clients VPN de :

• F5 Access 2018/F5 Access 3.0 ou plus
• Palo Alto Networks GlobalProtect 5.0 ou plus

Vous pouvez déjà changer pour ces clients en utilisant un profil VPN iOS avec un type de connexion personnalisé. Néanmoins, la fonctionnalité de connexion par une application ainsi que le contrôle d’accès réseau (NAC) ne fonctionneront pas.

Source : https://blogs.technet.microsoft.com/intunesupport/2018/07/30/support-tip-ios-12-and-vpn/