La configuration d’un serveur NDES peut parfois nécessiter beaucoup de patience afin qu’il puisse être utilisé dans le processus de déploiement de certificats par Microsoft Intune.

Pour ce faire, je vous partage deux URLs :

• La première comprend des scripts qui permettent de :
  • Valider la configuration du serveur NDES
  • Valider l’URL NDES
• La seconde est une page du support qui vous assiste dans
  • La création et la configuration du compte de service NDES
  • La configuration du modèle de certificat NDES sur l’autorité de certification
  • La délivrance du modèle NDES
  • La configuration du rôle NDES Server
  • La configuration IIS sur le serveur NDES
  • La configuration des modèles de certificat SSL et de demande de certificat SSL
  • Les tests de la fonctionnalité NDES
  • L’installation et la configuration du connecteur NDES pour Microsoft Intune

Vous avez peut-être constaté que les machines Windows 10 1709, 1803, 1809, n’avaient plus de son après l’application du Patch Tuesday d’Octobre 2018 et notamment la KB4464330. Ceci concerne les systèmes HP et Intel. Cela génère des erreurs notamment pour joindre des réunions dans Skype ou Microsoft Teams.

Microsoft a publié un correctif : la KB4468550 que vous pouvez télécharger à partir du Catalogue de mise à jour Microsoft.

Cette mise à jour corrige le problème suivant : après l’installation du pilote Intel Smart Sound Technology (version 09.21.00.3755) via Windows Update ou manuellement, le son de l’ordinateur peut cesser de fonctionner.

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Le portail Azure se voit doter de nouveautés avec entre autres :
  • Disponibilité Générale de la capacité de changer de compte sans avoir à se déconnecter/reconnecter ou fermer le navigateur. Vous pouvez utiliser « se connecter avec un compte différent ».
  • De nouveaux filtres dans la partie Azure Marketplace permettent lister par prix, systèmes d’exploitation et éditeurs.
  • Amélioration du tableau de bord Recovery Service vault avec des menus d’opérations consolidés, une section d’aperçu avec les annonces récentes et des onglets dédiés à la sauvegarde et à la restauration de site. Dans la vue des objets répliqués, vous pouvez voir les derniers points de restauration. Vous pouvez aussi éditer les propriétés Compute and Network.
  • Reconception de la tuile Overview pour Azure SQL Data Warehouse. Ceci permet de voir l’usage des Data Warehouse Units (DWU) sur la dernière heure, les fonctionnalités disponibles, et les tâches d’administration du Data Warehouse.
  • Mise à jour de l’expérience pour la création d’un serveur logique SQL. Vous pouvez maintenant démarrer un essai d’Advanced Threat Protection dès que le serveur est créé. Vous pouvez aussi choisir l’option « Allow Azure services to access this serveur » (activé par défaut)
  • Un nouveau diagramme Database data storage permet de voir les métriques d’allocation de l’espace dans Azure SQL Database.

Azure MarketPlace

• On retrouve 31 nouvelles offres dans l’Azure Marketplace :

  • Côté machines virtuelles : Bocada Backup Reporting Automation Software, DocuTRAK 3.5, Foglight for Virtualization Enterprise Edition 8.8, IBM DataPower Virtual Edition 7.7, IBM WebSphere Application Server Liberty 18.0, IBM WebSphere MQ 9.1, IPM+ Enterprise Energy Management Platform, IZAR@NET, JAMS V7 (BYOL) - Server 2016, Leap Orbit Storage-backed SFTP Appliance, Matillion ETL for Snowflake, Modern Requirements4TFS 2018 Update 2.1, Modernization Platform as a Service (ModPaaS), Objectivity D*ChoC, RSK Orchid MainNet Beta, Session Border Controllers (SBC) for Azure, SQL Server 2017 Ent w/ VulnerabilityAssessment, SQL Server 2017 Web with Vulnerability Assessment.

  • Côté applications web :

    CentOS 7.4 Hardened - Antivirus & Auto Updates, CMS Made Simple on Ubuntu 14.04 LTS, Confidential Compute VM Deployment, E-mail Converter, Gradle on Ubuntu 14.04 LTS, Joomla on Ubuntu 16.04 LTS-Auto Updates + Antivirus, Kong Cluster, Striim, Striim for Real-Time Data Integration to CosmosDB, Striim for Real-Time Integration to PostgreSQL, et Wordpress on Ubuntu 14.04 LTS.

  • Côté Container Solutions :Kubeapps Dashboard Container Image, et SonarQube Container Image.

Azure Event Grid

• Disponibilité Générale d’Azure Event Grid dans les régions Azure Government.
• Annonce des Event Domains pour Azure Event Grid. Un Event Domain est un outil de gestion pour un grand nombre d’Event Grid Topics liés à la même application, un artefact de premier niveau qui peut contenir des milliers de sujets. Avec un domaine, vous obtenez un contrôle d'authentification et d’autorisation fin sur chaque sujet via Azure Active Directory, qui vous permet de décider facilement lequel de vos tenants ou clients a accès pour s'abonner à des sujets. Event Domain gère également le partitionnement, ce qui signifie qu'au lieu d'avoir besoin de publier les événements sur chaque sujet individuellement, il est possible publier tous vos événements sur le point de terminaison du domaine et Event Grid s'assure que chaque événement est envoyé sur le bon sujet.
• Annonce du support de plusieurs types de filtres avancés numériques, booléens et sur les caractères.
• Une nouvelle fonctionnalité permet de configurer un Time To Live (TTL) sur une Event Subscription à la création afin qu’il soit automatiquement nettoyé.

Azure SQL

• Public Preview de Static Data Masking sur Azure SQL Database permettant d’offrir une protection des données pour aider les utilisateurs à anonymiser les données sensibles lorsqu’elle doivent être utilisées pour du Reporting, de l’analyse, du dépannage, etc.
• Public Preview de Machine Learning Services avec le support de R dans Azure SQL Database. Vous pouvez donc exécuter des scripts R afin de préparer les données, entrainer des modèles Machine Learning, déployer des modèles et des scripts R en production.
• Annonce de Workload importance pour Azure SQL Data Warehouse. Ceci va offrir des fonctionnalités de gestion de la charge de travail qui optimisent l'exécution des requêtes afin de garantir un accès prioritaire aux ressources système pour des tâches importantes. Avec cette fonctionnalité, les clients peuvent utiliser une seule base de données SQL Data Warehouse pour exécuter plus efficacement plusieurs charges de travail, éliminant ainsi la complexité des entrepôts de données séparés pour chaque solution. Avec cette nouvelle fonctionnalité, SQL Data Warehouse permet un meilleur contrôle, une meilleure utilisation et une optimisation des ressources déployées. La fonctionnalité sera disponible plus tard cette année, sans frais supplémentaires.
• Azure SQL Data Warehouse supporte nativement la sécurité au niveau des lignes (RLS) permettant aux entreprises d’implémenter des règles de sécurité granulaires sans nécessiter le redéveloppement ou le redéploiement du Data Warehouse et sans impact sur les performances.
• Preview de SQL Server Data Tool dans Visual Studio pour Azure SQL Data Warehouse.
• Extension des capacités de conseils intelligents pour inclure des détails supplémentaires sur l’optimisation des schémas de base de données dans Azure SQL Data Warehouse. Ceci se fait au travers d’Azure Advisor.
• Arrivée de Query Store dans Azure SQL Data Warehouse. Ceci permet aux développeurs de revoir les charges de requêtage s’exécutant sur la plateforme et d’analyser les plans d’exécution et les statistiques pour identifier les problèmes de performance.
• Azure SQL Data Warehouse intègre maintenant Accelerated Database Recovery (ADR) permettant d’améliorer la disponibilité en mettant en pause et en redémarrant des opérations de service.
• Azure SQL Data Warehouse fournit une intégration avec Azure Monitor Diagnostic Logs pour capturer et archiver des données d’usage comme les requêtes exécutées les statistiques d’attente.
• Nouvelle version (Novembre 2018) d’Azure Data Studio (anciennement SQL Operations Studio).
• Voici un article qui détaille les performances de l’Ultra SSD comparé à du stockage Premium Storage Pool pour des charges SQL Server hébergées sur des machines virtuelles Azure.
• Disponibilité Générale dans tous les datacenters de l’extension plv8 pour Azure Database for PostgreSQL.
• Microsoft a publié les bonnes pratiques en matière d’alerting sur les métriques pour Azure Database for MySQL et Azure Database for PostgreSQL.

Operations Management Suite (OMS)

• Nouvelle version 1.8.1-256 de l'agent OMS pour Linux qui corrige un problème pour les journaux personnalisés qui cause des doublons occasionnels, qui améliore la fiabilité et la fréquence par défaut de l'heartbeat de l'agent.

HDInsight

• Disponibilité Générale des points de terminaison privés pour les Clusters HDInsight déployés dans un réseau virtuel. Cette fonctionnalité permet aux entreprises de mieux isoler l'accès à leurs clusters HDInsight de l'Internet public et d'améliorer leur sécurité au niveau de la couche réseau. Avec l'introduction des points de terminaison privés, les entreprises peuvent désormais utiliser des règles NSG pour séparer l'accès d'Internet et des utilisateurs finaux qui se trouvent à l'intérieur des limites de confiance du réseau virtuel. Le réseau virtuel peut être étendu au réseau sur site, de sorte que le trafic provenant du réseau sur site vers un cluster HDInsight puisse également être isolé d'Internet.

Azure App Service

• Le centre de déploiement Azure App Service est en disponibilité générale pour vous donner une vision globale des méthodes de déploiement supportées par l'application.

Azure IoT

• Nouveaux partenariats pour Azure Maps et Azure Digital Twins afin d’améliorer les villes intelligentes.

Azure Cognitive Services

• Public Preview de l’API Bing Local Business Search permettant de trouver facilement des infirmations de commerces locaux directement dans votre application. Vous pouvez récupérer des informations d’appel, de navigation, etc.

Autres services

• Disponibilité Générale d’Azure Event Hubs pour Apache Kafka. Cette nouvelle fonctionnalité permet de lancer la diffusion en continu d'événements à partir d'applications utilisant le protocole Kafka directement dans Event Hubs, simplement en changeant une chaîne de connexion. Utilisez vos applications, frameworks et outils Kafka existants pour dialoguer avec Event Hubs et bénéficier de la facilité d'une solution platform-as-a-service ; vous n'avez pas besoin de lancer Zookeeper, de gérer ou de configurer vos clusters.
• Disponibilité Générale d’Avere vFXT pour Azure. Cette solution est utilisée pour des applications à hautes performances. Avere vFXT pour Azure fournit un accès aux données à très faible latence, quelle que soit l'origine des données du fichier. Le Avere vFXT pour Azure fournit également une mémoire cache avec construit sur des blobs dans Azure, facilitant la migration des pipelines basés sur des fichiers sans avoir à réécrire les applications.
• Azure Policy audite maintenant les applications installés dans une machine virtuelle. Il y a trois stratégies de configuration. La première vérifie les paramètres de sécurité des mots de passe pour Windows et Linux. La seconde est une stratégie d'audit du protocole de chiffrement utilisé par IIS sur Windows Server. La VM sera conforme si TLS version 1.1 ou 1.2 est activée et que les autres protocoles sont désactivés. La troisième vérifie si une application est installée dans les VM Windows.
• Preview du support des réseau virtuels personnalisés pour Azure Container Instances.

Microsoft et la communauté ont signalé une vulnérabilité dans le chiffrement matériel de certains disques pré-chiffrés (Self-Encrypting Drives). Le problème concerne les disques eux-mêmes mais impactent BitLocker.

Sur les machines Windows équipés de disques pré-chiffrés, BitLocker Drive Encryption gère le chiffrement et utilise le chiffrement matériel par défaut. Du fait que ces disques n’ont pas l’auto-chiffrement adéquat, le chiffrement par BitLocker n’est pas effectif. C’est le cas pour :

• Crucial (Micron) MX100, MX200 et MX300.
• Samsung T3 et T5 USB.
• Samsung 840 EVO et 850 EVO.

D’autres références peuvent être concernées. Plus d’infos

Les entreprises doivent donc pour ces disques, forcer le chiffrement logiciel sur les machines équipées de disques pré-chiffrés. Ceci peut être réalisé en déployant une stratégie de groupe pour remplacer le comportement par défaut. Il est à noter que Windows appliquer le chiffrement logiciel uniquement au moment de l'activation de BitLocker.

Afin de vérifier si vos machines sont impactées par ce problème, vous devez utiliser la procédure suivante :

1. Via une invite de commande, exécuter managed-bde.exe -status
2. Si les disques ne renvoient pas Hardware Encryption pour le champ Encryption Method, alors vous le chiffrement logiciel est utilisé et vous n’êtes pas affectés par les vulnérabilités.

De manière industrielle, vous pouvez utiliser le script suivant :

$BitlockerVolume = Get-BitLockerVolume | select encryptionmethod,mountpoint,VolumeType,ProtectionStatus |? { $_.VolumeType -eq "OperatingSystem" -and $_.ProtectionStatus -eq "On" }
switch ($BitlockerVolume.encryptionmethod) {
Aes128 { $true }
Aes256 { $true }
Aes128Diffuser { $true }
Aes256Diffuser { $true }
XtsAes128 { $true }
XtsAes256 { $true }
Default { $false }
}

Pour les disques qui sont chiffrés à l'aide d'une forme vulnérable de chiffrement matériel, vous pouvez atténuer la vulnérabilité en passant au chiffrement logiciel à l'aide de Bitlocker avec une stratégie de groupe.

Notez qu’après qu'un lecteur ait été chiffré à l'aide du chiffrement matériel, le passage au chiffrement logiciel sur ce lecteur nécessitera que le lecteur soit d'abord déchiffré, puis réchiffré à l'aide du chiffrement logiciel. Si vous utilisez BitLocker, il ne suffit pas seulement de modifier la valeur de la stratégie de groupe pour appliquer le chiffrement logiciel afin de chiffrer à nouveau les données existantes.

Pour ce faire :

1. Configurez et déployez une stratégie de groupe pour activer le chiffrement logiciel forcé avec les paramétrages 
2. Désactivez complètement BitLocker pour déchiffrer le lecteur avec le paramétrage : Configure use of hardware-based encryption for fixed data drives/operating system drives à Disabled
3. Activez à nouveau BitLocker

IMPORTANT : Il n’est pas nécessaire de reformater le lecteur ou de réinstaller des applications après avoir modifié les paramètres de BitLocker.

Plus d’informations sur : ADV180028 | Guidance for configuring BitLocker to enforce software encryption

Microsoft a publié un avertissement (MC152397) dans le centre de messages d’Office 365 pour signifier la suppression temporaire d’un paramétrage de configuration de périphérique dans Microsoft Intune for Education.

Le paramétrage correspondant permet à l’administration d’autoriser un utilisateur de sauvegarder des fichiers localement sur un périphérique. Ce paramétrage est disponible dans Groups – Settings – Shared device settings - Block access to local storage.

Par défaut un périphérique configuré pour le provisionnement via Set up PC’s provisioning bloque l’accès au stockage local (exception si l’utilisateur y a accès via l’interface d’une application).

Microsoft planifie un retour du paramétrage courant novembre.

Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-Device-Configuration-Setting-Temporary-Modified-for/ba-p/281414

Microsoft a communiqué concernant un problème connu entre Windows 10 1809 (October 2018)  et les paramétrages de conformité de firewall de Microsoft Intune.  Les paramétrages de conformité sont notamment utilisés pour l’accès conditionnel afin de vérifier l’état du pare-feu via le centre de sécurité Windows (Windows Security Center). En fonction de l’état du pare-feu Windows ou tiers, la stratégie de conformité marquera le périphérique comme conforme ou non conforme.

Le problème est si vous avez défini ce contrôle de conformité, Windows renvoie l'état true - firewall activé - même si le pare-feu du périphérique n'est pas activé. Cela signifie que les périphériques sans pare-feu pourraient accéder aux ressources de l’entreprise (messagerie, etc.) même si vous souhaitiez bloquer ce comportement. Ceci ne concerne que Windows 10 1809.

Si ce problème vous affecte, il est recommandé de déployer une stratégie de configuration de pare-feu.

Plus d’informations : Firewall policies in Intune.

L’équipe System Center vient de publier les packs d’administration (Management Pack) pour la brique Skype for Business Server 2019 en version 2046.19. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack apporte les fonctionnalités suivantes :

• Scénario de disponibilité de bout en bout à partir de plusieurs emplacements.
• Fiabilité et qualité des appels perçue par les utilisateurs
• Etat de santé et performance des composants
• Validation de scénarios de bout en bout géographiquement distribuable pour Skype for Business Server 2019. Cela inclut la couverture pour les utilisateurs internes, distants et des succursales.
• Couverture accrue des scénarios dans des domaines tels que la connectivité AV Edge et la connectivité de messagerie unifiée Exchange.
• Amélioration des journaux de dépannage pour rationaliser l'analyse des causes profondes des pannes.
• Surveillance accrue de la fiabilité des appels et des conférences des utilisateurs finaux réels.
• Alertes intégrées sur la qualité des médias à partir des données sur la qualité de l'expérience (QoE) rapportées par les applications clients.
• Surveillance complète des événements et des performances pour tous les rôles de Skype for Business Server 2019.

Ce Management Pack fonctionne avec System Center Operations Manager 2007 R2, System Center 2012 Operations Manager, System Center 2016 Operations Manager, ou System Center Operations Manager 1709+. Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger Skype for Business Server 2019, Management Pack

Microsoft vient de mettre à jour le pack d’administration ou Management Pack (MP) SCOM pour le service DHCP de Windows Server 2016 en version 10.0.11.0. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Voici les changements introduits :

• Correction d'un problème : La découverte DHCP 2016 Scopes Discovery ne parvient pas à découvrir les étendues lorsqu’il y a un grand nombre d’étendues.
• Ajout d'un nouveau moniteur pour la surveillance d'un grand nombre d’étendues comme une seule entité et d'une tâche pour générer un rapport sur les étendues critiques.
• Support de Windows Server 1709+.
• Revue des chaînes d'affichage et des articles de la base de connaissances en fonction des versions prises en charge des systèmes d'exploitation : Microsoft Windows Server 2016 et 1709+.
• Correction d'un problème : Le moniteur WMI Health monitor ne fonctionne pas si le SPN http://servername est configuré sur un compte utilisateur.
• Correction d'un problème : Le moniteur WMI Health monitor ne fonctionne pas si WINRM est configuré pour utiliser https uniquement.

Notez que ce pack d’administration fonctionne avec System Center 2012 Operations Manager. Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger Microsoft System Center Management Pack for Windows Server DHCP 2016

Microsoft va publier des correctifs pour corriger les deux problèmes connus qui ont été révélés dans Microsoft Intune. Ces derniers concernent les paramétrages Microsoft Edge de Windows 10 :

• Pop-ups : Quand ce paramétrage est configuré à « Block », les pop-ups ne sont en réalité par bloquées sur le périphérique qui sont ciblés par le problème. En novembre, ce paramètre sera corrigé dans le backend d’Intune pour bloquer les pop-ups lorsque le paramétrage est configuré.
• Send intranet traffic to Internet Explorer : Ce paramètre permet d’envoyer tous les sites intranet vers Internet Explorer lorsque vous ne souhaitez pas tester la compatibilité avec Microsoft Edge. Actuellement, l'interface utilisateur ne reflète pas la fonctionnalité prévue. Ceci sera corrigé en changeant les options de réglage en "Allow" au lieu de "Block". Avec cette correction, le nom de propriété GraphAPI pour ce paramètre passera de "EdgeBlockSendingIntranetTrafficToInternetExplorer" à "EdgeSendIntranetTraffictoInternetExplorer".

Ces correctifs seront effectifs dans la mise à jour de Novembre 2018 de Microsoft Intune.

Plus d’informations sur : https://aka.ms/edge-settings-known-issues

Microsoft a publié une mise à jour de son fichier de listing des paramétrages de stratégies de groupe (GPO) pour Windows 10 1809 (October 2018 Update). On retrouve de nombreux nouveaux paramétrages dont :

Télémétrie et Vie privée :

• Disable deleting diagnostic data
• Disable diagnostic data viewer.
• Configure Microsoft 365 Update Readiness upload endpoint

Système :

• Settings Page Visibility (pour l’utilisateur). Ceci était très attendu !
• Allow Clipboard synchronization across devices
• Allow Clipboard History
• Remove frequent programs list from the Start Menu
• Remove All Programs list from the Start menu
• Do not keep history of recently opened documents
• Force Start to be either full screen size or menu size
• Remove "Recently added" list from Start Menu

OOBE :

• Don't launch privacy settings experience on user logon

Windows Update

• Remove access to "Pause updates" feature
• Display options for update notifications

Windows Defender :

• Configure detection for potentially unwanted applications
• Configure low CPU priority for scheduled scans

Windows Defender Application Guard :

• Allow Windows Defender Application Guard to use Root Certificate Authorities from the user’s device
• Allow camera and microphone access in Windows Defender Application Guard
• Allow users to trust files that open in Windows Defender Application Guard
• Configure additional sources for untrusted files in Windows Defender Application Guard.

Windows Defender Security Center

• Hide the Virus and threat protection area
• Hide the Ransomware data recovery area
• Hide the Firewall and network protection area
• Hide the App and browser protection area
• Prevent users from modifying settings
• Hide the Device performance and health area
• Hide the Family options area
• Hide all notifications
• Hide non-critical notifications
• Configure customized notifications
• Configure customized contact information
• Specify contact company name
• Specify contact phone number or Skype ID
• Specify contact email address or Email ID
• Specify contact website
• Hide the Account protection area
• Hide the Device security area
• Hide the Security processor (TPM) troubleshooter page
• Hide the Secure boot area
• Disable the Clear TPM button
• Hide the TPM Firmware Update recommendation.
• Hide Windows Security Systray

MMC :

• Group Policy Starter GPO Editor
• Group Policy Management Editor
• Storage Manager for SANs
• Storage Manager for SANS Extension
• Disk Management Extension
• Share and Storage Management
• Share and Storage Management Extension
• DFS Management
• DFS Management Extension
• File Server Resource Manager
• File Server Resource Manager Extension

Préférences de stratégie de groupe :

• Configure Applications preference extension policy processing
• Configure Applications preference logging and tracing
• Configure Data Sources preference extension policy processing
• Configure Data Sources preference logging and tracing
• Configure Devices preference extension policy processing
• Configure Devices preference logging and tracing
• Configure Drive Maps preference extension policy processing
• Configure Drive Maps preference logging and tracing
• Configure Environment preference extension policy processing
• Configure Environment preference logging and tracing
• Configure Files preference extension policy processing
• Configure Files preference logging and tracing
• Configure Folder Options preference extension policy processing
• Configure Folder Options preference logging and tracing
• Configure Folders preference extension policy processing
• Configure Folders preference logging and tracing
• Configure Ini Files preference extension policy processing
• Configure Ini Files preference logging and tracing
• Configure Internet Settings preference extension policy processing
• Configure Internet Settings preference logging and tracing
• Configure Local Users and Groups preference extension policy processing
• Configure Local Users and Groups preference logging and tracing
• Configure Network Options preference extension policy processing
• Configure Network Options preference logging and tracing
• Configure Network Shares preference extension policy processing
• Configure Network Shares preference logging and tracing
• Configure Power Options preference extension policy processing
• Configure Power Options preference logging and tracing
• Configure Printers preference extension policy processing
• Configure Printers preference logging and tracing
• Configure Regional Options preference extension policy processing
• Configure Regional Options preference logging and tracing
• Configure Registry preference extension policy processing
• Configure Registry preference logging and tracing
• Configure Scheduled Tasks preference extension policy processing
• Configure Scheduled Tasks preference logging and tracing
• Configure Services preference extension policy processing
• Configure Services preference logging and tracing
• Configure Shortcuts preference extension policy processing
• Configure Shortcuts preference logging and tracing
• Configure Start Menu preference extension policy processing
• Configure Start Menu preference logging and tracing
• Permit use of Application snap-ins
• Permit use of Applications preference extension
• Permit use of Control Panel Settings (Computers)
• Permit use of Data Sources preference extension
• Permit use of Devices preference extension
• Permit use of Drive Maps preference extension
• Permit use of Environment preference extension
• Permit use of Files preference extension
• Permit use of Folders preference extension
• Permit use of Folder Options preference extension
• Permit use of Ini Files preference extension
• Permit use of Internet Settings preference extension
• Permit use of Local Users and Groups preference extension
• Permit use of Network Options preference extension
• Permit use of Network Shares preference extension
• Permit use of Power Options preference extension
• Permit use of Printers preference extension
• Permit use of Regional Options preference extension
• Permit use of Registry preference extension
• Permit use of Scheduled Tasks preference extension
• Permit use of Services preference extension
• Permit use of Shortcuts preference extension
• Permit use of Start Menu preference extension
• Permit use of Control Panel Settings (Users)
• Permit use of Preferences tab

Note : Il y a d'autres paramétrages mais j'ai sélectionné ceux qui me paraissaient important.

Télécharger Group Policy Settings Reference Spreadsheet Windows 1809

Microsoft prépare actuellement de nouvelles certifications à destination des administrateurs de la solution Microsoft 365. Ces certifications sont nouvelles et regroupent toutes les briques de la solution avec notamment : l’identité, la gestion, la conformité, la sécurité, la collaboration avec Office 365 (Exchange, SharePoint, Skype for Business), Windows 10 (Windows as a Service), Azure AD, Microsoft Intune, etc.
Ces certifications permettront d’obtenir le statut Microsoft 365 Certified: Enterprise Administrator Expert.

Vous devez planifier les examens avant le 14 décembre et les passer avant le 17 décembre.
Microsoft planifie leur publication finale pour le début de l’année 2019.

On retrouve donc deux certifications :

• MS-100: Microsoft 365 Identity and Services
  • 20-25% sur la conception et l’implémentation des services Microsoft 365 : Ceci inclut la gestion des domaines, la planification, la mise en œuvre des abonnements et tenants Microsoft 365, la gestion des abonnements et de la santé du tenant, planifier la migration des données utilisateurs.
  • 35-40% sur la gestion des identités et rôles utilisateurs : Ceci inclut la conception de la stratégie d’identité, la planification de la synchronisation avec Azure AD Connect, la gestion de la synchronisation, la gestion des identités Azure AD, et la gestion des rôles utilisateurs
  • 20-25% sur la gestion des accès et des authentifications : Ceci inclut la gestion de l’authentification, l’implémentation de l’authentification à facteurs multiples, la configuration des accès aux applications, l’implémentation des accès pour les utilisateurs externes.
  • 10-15% sur la planification des charges de travail et applications Office 365
• MS-101: Microsoft 365 Mobility and Security
  • 30-35% sur l’implémentation des services de périphériques modernes : Ceci inclut l’implémentation de la gestion des périphériques mobiles, la gestion de la conformité de périphérique, la planification des périphériques et applications, et la planification du déploiement Windows 10.
  • 30-35% sur l’implémentation de la gestion des menaces et de la sécurité avec Microsoft 365 : Ceci inclut l’implémentation de Cloud App Security, l’implémentation de la gestion des menaces, l’implémentation de Windows Defender Advanced Threat Protection (ATP), et la gestion des rapports et alertes de sécurité
  • 35-40% sur la gestion de la conformité et de la gouvernance Microsoft 365 : Ceci inclut la configuration de la prévention de la perte de données (DLP), l’implémentation d’Azure Information Protection, la gestion de la gouvernance de données, la gestion de l’audit, et la gestion d’eDiscovery.

Des codes de passage sont disponibles pour les 300 premiers :

• MS100LibertyGenius 
• MS101AmazingPjM

Source : https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375171

Il semble qu’un problème touche System Center Configuration Manager 1806 avec le déploiement de système d’exploitation. Le déploiement se bloque sur la tâche Install Software Updates.
Le problème est constaté avec Windows 10 mais il se peut que les autres systèmes soient concernés.
Il est aussi applicable si vous avez installé le dernier correctif cumulatif (KB4462978)

La tâche finit par tomber en timeout.

On retrouve les erreurs suivantes dans le fichier smsts.log :

Successfully initiated RefreshUpdates operation. For Troubleshooting, please refer to logs : UpdatesDeployment.log, UpdatesHandler.log, UpdateStore.log, WUAHandler.log, Windows Update.log
Waiting for RefreshUpdates complete notification from Update Deployment Agent
FALSE, HRESULT = 800705b4 (installswupdate.cpp, 1359)
Time-out expired waiting for updates refresh complete notification.
WaitingForRefreshUpdatesComplete(spInstall), HRESULT = 800705b4 (installswupdate.cpp, 1492)
RefreshUpdates(bForceOnlineScan), HRESULT = 800705b4 (installswupdate.cpp, 1001)
InstallUpdates(pInstallUpdates, tType, sJobID, sActiveResquestHandle), HRESULT = 800705b4 (main.cpp, 248)
(…)
Failed to run the action : Install Software Updates. This operation returned because the timeout period expired (Error: 800705B4; Source Windows)

Le fichier RebootCoordinator.log semble boucler sur

Ccmsetup is still running. Will retry in 1 minutes.

Microsoft investigue actuellement le problème. Une des solutions de contournement proposées revient à supprimer et recréer le déploiement associé au(x) groupe(s) de mises à jour logicielles qui ciblent les clients.

Certains ont pu constater que l’utilisation du client 1802 permet de refaire fonctionner cette étape mais ceci n’a pas pu être confirmé car le comportement semble échoué pour d’autres utilisateurs.

L’équipe ConfigMgr a publié un correctif à destination de System Center Configuration Manager 1806. Le correctif s’applique au serveur de site, aux consoles, et aux clients.

Cette mise à jour remplace la mise à jour KB 434666645 ou KB 4459354 publiée précédemment.

Note : les sites secondaires doivent être mis à jour manuellement et une procédure permet de vérifier la mise à jour effective de leurs bases de données.

Parmi les corrections, on retrouve :

Clients

• Lorsque l'option An administrator must approve a request for this application on the device est activée, Software Center affiche une application approuvée pour un utilisateur donné sur un autre périphérique. Par exemple, si une demande d'utilisateur pour une application de l'ordinateur Desktop1 est approuvée, cette même demande est répertoriée comme approuvée lorsque cet utilisateur se connecte à l'ordinateur Desktop2.
• Les paramètres de sélection des certificats ne sont pas reconnus lors de l'installation d'un nouveau client s'ils sont transmis à l'aide d'un fichier de configuration.
• Après la mise à jour vers Configuration Manager 1806, les périphériques cogérés peuvent ne pas exécuter de déploiements ciblés sur les utilisateurs.
• Après l'installation du client Configuration Manager, la clé de registre suivante peut encore contenir des données. Ces données restantes peuvent interférer avec la gestion future par le Configuration Manager ou Microsoft Intune : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DeviceManageabilityCSP

Systèmes de site

• Le service SMS Executive (smsexec.exe) peut s'arrêter inopinément lorsqu'il traite les données de santé des clients.
• Le processus de désinstallation échoue pour un site à haute disponibilité qui était configuré auparavant comme serveur passif. Le fichier FailOverMgr.log contient des entrées qui ressemblent à ce qui suit : Failed to get installation directory for site server {old_site_server_name}
• Après avoir ajouté un tenant Azure Active Directory à la console Configuration Manager, la base de données du site peut grossir de manière inattendue. Ce problème survient en raison de l'ajout d'informations d'audit étrangères à la base de données du site.
• L'installation d'un serveur de site passif hautement disponibile peut échouer si le serveur cible est configuré pour utiliser une instance nommée pour la base de données du site dans un Always ON. De plus, les erreurs qui ressemblent à ce qui suit sont enregistrées dans le journal d’installation de Configuration Manager:
  CTool::ConvertNETBIOSToFQDN: getaddrinfo failed on {server_name}\{instance_name}, WSA error = 11001
• La promotion d'un serveur de site passif en mode actif peut échouer. Ce problème peut survenir si l'installation du fournisseur SDK sur le serveur passif écrase des informations dans la clé de registre SMS.

Gestion de contenu et de la distribution de logiciels

• La procédure MP_GetSuperPeerContentLocations est optimisée pour améliorer les performances SQL et la précision des résultats.
• Après la mise à jour de Configuration Manager 1806, le bouton Parcourir est incorrectement désactivé pour les Codes de produit dans les propriétés de Windows Installer dans la console.
• La suspension d'un déploiement de phase configuré pour démarrer dans le futur peut amener le client à démarrer ce déploiement à la place.
• La propriété djust the download speed to use the unused network bandwidth (Windows LEDBAT) distribution point ne fonctionne pas comme prévue dans Configuration Manager, 1806.
  Remarque : Après l'application de ce rollup, les nouveaux points de distribution qui utilisent cette propriété fonctionnent comme prévus. Toutefois, pour les points de distribution existants, vous devez désactiver puis réactiver cette propriété pour que ces points de distribution existants fonctionnent correctement.

Gestion des mises à jour logicielles

• Les catalogues de mise à jour de logiciels tiers ou le contenu de fichiers contenant un espace dans l'URL ou le nom de fichier ne sont pas synchronisés ou publiés.
• Le composant Windows Server Update Services (WSUS) de Configuration Manager sur un serveur de site ne communique pas avec un serveur WSUS distant lorsqu'un proxy est configuré pour ce serveur de site.
• Après avoir désactivé l'option Server Group pour une collection, les clients membres recherchent incorrectement un verrouillage de déploiement. Lorsque ce problème survient, le client ne peut pas installer les mises à jour.
• KB4465865 : Les mises à jour logicielles ne sont pas téléchargées dans un environnement Configuration Manager si WSUS est déconnecté.

Déploiement de système d’exploitation

• Après avoir modifié une séquence de tâches qui contient une variable cachée, cette variable peut être écrasée par des informations incorrectes qui empêchent l'exécution de la séquence de tâches.
• L'option Install software packages according to dynamic variable est automatiquement sélectionnée. Ce problème survient lorsque vous modifiez une séquence de tâches existante dans l'éditeur de séquence de tâches pour ajouter des tâches Install Package.
• L'ajoute d’une étape Run Command Line à une séquence de tâches existante qui met à jour le système d'exploitation, échoue. De plus, une erreur qui ressemble à ce qui suit s'affiche dans l'éditeur de séquence de tâches :

ConfigMgr Error Object:

Instance of SMS_ExtendedStatus

Description = “Failed to validate property TargetDrive.”;

ErrorCode = 2147500037

Gestion de conformité et de paramètrages

• Lorsque des modifications sont apportées à l'accès contrôlé aux dossiers, la strategie Exploit Guard n'a pas d'effet sur les clients.

Console d’administration

• De multiples améliorations sont apportées au tableau de bord du cycle de vie.
• La console Configuration Manager peut s'arrêter inopinément lorsque vous essayez d'ouvrir une nouvelle fenêtre, telle que la fenêtre de l’Editeur de séquence de tâches.

Pour installer la mise à jour, rendez-vous dans la partie Updates and Servicing de la console d’administration.

Plus d’informations sur la KB4462978 Update rollup for System Center Configuration Manager current branch, version 1806

Microsoft vient de mettre à jour le Management Pack (7.1.10100.2) pour superviser le rôle File & iSCSI Services sur Windows Server 2012 et Windows Server 2012 R2. Ce Management Pack n’est supporté que sur System Center 2012 Operations Manager ou plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Le Management Pack apporte les changements suivants :

• DeDuplication
• FSRM
• iSCSI
• NFS
• SMB
• Support des namespaces clusterisés
• Support des membres de groupe de réplication clusterisés
• Supervision AgentLess
• Plus de détails dans la base de connaissances

Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

Télécharger System Center 2012 Management Pack for Microsoft Windows Server File & iSCSI Services 2012 R2

C’était une demande faite par les entreprises depuis longtemps, Microsoft vient d’officialiser un nouveau mode d’abonnement pour Microsoft Intune. Ce dernier permet de couvrir les périphériques partagés comme les modes Kiosks sur Android, Windows 10, etc. Il permet de couvrir un périphérique et non plus un utilisateur donné, ceci est très utile lorsque plusieurs utilisateurs (parfois non connus) partagent le même périphérique.

Ce mode de licence ne permet pas de couvrir les mécanismes de sécurité et de gestion basés sur l’utilisateur (Accès conditionnel, les stratégies de protection applicatives (MAM), etc.).

Cette licence peut fournir une valeur supplémentaire pour les périphériques en utilisant des méthodes d’enregistrement en masse telles que Windows Autopilot, Apple Business Manager ou Google zero touch enrolment, lorsque les appareils ne nécessitent pas d'affinité utilisateur et pas de fonctionnalités ciblées par l'utilisateur.

Source : https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Microsoft-Intune-announces-device-based-subscription-for-shared/ba-p/280817

Microsoft vient de publier une nouvelle version (10.0.2.2) le pack d’administration ou Management Pack (MP) SCOM pour Active Directory. Cette version a complétement été réécrite pour l’arrivée de Windows Server 2016. Elle supporte Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 et ne fonctionne qu’avec System Center 2012 R2 Operations Manager et plus.
Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger Microsoft System Center Management Pack for ADDS

Microsoft vient de publier une mise à jour (1.6.0.0) du pack d’administration ou Management Pack (MP) pour Microsoft Azure. Ce Management Pack vient remplacer les précédents pour Windows Azure. System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack fournit les fonctionnalités suivantes :

• Découverte des services : Application Insights, Automation, Backup, Biztalk, Cloud Service, Data Factory, DocumentDB, Logic App, Media Services, Mobile Services, Networks, Notification Hubs, Operational Insights, Redis Cache, Scheduler, Search, Service Bus, SQL Azure, Storage Accounts, Traffic Manager, Azure Data Factory, Virtual Machines, et Websites
• Collecte de performance pour : Cloud Services, Data Factory, DocumentDB, Mobile Services, Redis Cache, SQL Azure, Virtual Machines, Websites

Cette version apporte les changements :

• Correction de fausses erreurs concernant l'accès requis au service DataAccess lors de la surveillance des règles d'alerte classiques dans la configuration de la gateway.
• Amélioration des noms et des descriptions des flux de travail responsables de la présentation des alertes métriques dans la configuration de la gateway.
• Mise à jour de la section " Azure Alerts in Operations Manager" dans le Guide
• Modification des noms d'alertes pour les alertes d’avertissement créées sur les moniteurs dynamiques
• Support de System Center Operations Manager 1801
• Mise en place d'une validation de "the given key not present in the dictionary".
• Il est possible de mettre à jour à partir de 1.5.30.26 CTP, mais il est recommandé de recréer le modèle MP d'Azure dans la section Authoring pour obtenir de nouveaux overrides et effectuer des modifications.

Notez que ce pack d’administration nécessite System Center 2012 Service Pack 1 (SP1) – Operations Manager, System Center 2012 R2 Operations Manager ou System Center 2016 Operations Manager

Télécharger Microsoft System Center 2016 Management Pack for Microsoft Azure

Microsoft a publié une mise à jour (version 7.2.0.0) pour le Management Pack d’Office 365. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système. Il est à noter que cette version supporte System Center 2012 Operations Manager SP1 ou plus.

Cette mise à jour comprend les changements suivants :

• Corrections des chaînes d'affichage.
• Corrections des liens vers le portail Office 365.
• Corrections mineures du guide.

Télécharger System Center Management Pack for Office 365

Microsoft vient de mettre à disposition la Public Preview de la protection de mot de passe Azure Active Directory pour des environnements On-Premises Active Directory. La solution permet de valider la liste des mots de passe bannis ou personnalisés que vous avez pu définir dans Azure Active Directory pour vérifier cette liste lorsqu’un utilisateur change de mot de passe.

La fonctionnalité requiert Azure AD Premium. Il est à noter que la liste des mots de passe bannis est proposée avec Azure AD Basic.

Il y a trois composants éléments qui composent la protection par mot de passe Azure AD :

• Le service de proxy Azure AD password protection fonctionne sur n'importe quelle machine associée à un domaine dans la forêt Active Directory actuelle. Il transmet les demandes des contrôleurs de domaine à Azure AD et renvoie la réponse d'Azure AD au contrôleur de domaine.
• Le service agent de contrôleur de domaine d’Azure AD password protection reçoit les demandes de validation de mot de passe de la DLL de filtre de mot de passe de l'agent DC, les traite en utilisant la politique de mot de passe disponible localement, et retourne le résultat (pass\fail). Ce service est responsable d'appeler périodiquement (une fois par heure) le service de proxy Azure AD password pour récupérer les nouvelles versions de la politique de mot de passe. La communication pour les appels à destination et en provenance du service de proxy Azure AD password est gérée via RPC (Remote Procedure Call) sur TCP. Une fois récupérées, les nouvelles stratégies sont stockées dans un dossier sysvol où elles peuvent être répliquées vers d'autres contrôleurs de domaine. Le service agent de contrôleur de domaine surveille également le dossier sysvol pour détecter les changements au cas où d'autres contrôleurs de domaine y auraient écrit de nouvelles politiques de mot de passe, si une politique récente appropriée est déjà disponible, la vérification du service de proxy Azure AD password protection sera ignorée.
• La DLL de filtre de mot de passe de l’agent de contrôleur de domaine reçoit les demandes de validation de mot de passe du système d'exploitation et les transmet au service agent de contrôleur de domaine d’Azure AD password protection qui fonctionne localement sur le contrôleur de domaine.

Télécharger Azure AD password protection for Windows Server Active Directory (preview)

Microsoft vient de publier un pack d’adoption client afin de fournir des ressources de démarrage, des astuces pour les IT Pros, les administrateurs et les formateurs afin de déployer Outlook pour iOS et Android aux utilisateurs de l’entreprise.

Télécharger Microsoft Outlook for iOS and Android Customer Adoption Pack

Microsoft a publié le Service Pack 3 (12.0.6024.0) de SQL Server 2014. Ce dernier comprend tous les correctifs et Cumulatives Updates fournis jusqu’à la date de publication. Comme d’habitude, attendez les annonces de support officielles avant de mettre à jour les bases de données pour vos produits (System Center, etc.)

En outre après des demandes clientes, Microsoft a inclut :

• Amélioration des performances et de la stabilité
• Des corrections de bugs

Télécharger :

• Microsoft® SQL Server® 2014 Service Pack 3 (SP3)
• Microsoft® SQL Server® 2014 Service Pack 3 (SP3) Express

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Général] Les utilisateurs peuvent désormais accéder aux propriétés et aux actions clés des comptes, telles que la réinitialisation du mot de passe, à partir du portail d’entreprise.
• [Général] Les alertes et les problèmes d’enregistrement apparaissent maintenant dans des onglets séparés sur la page Aperçu/Overview de Device Enrollment.

• [Général] Un nouveau rapport fournit des détails sur les enregistrements abandonnés est disponible sous Device enrollment > Monitor.

• [Général] Azure Active Directory a une fonction de conditions d'utilisation que vous pouvez utiliser à la place des conditions générales d'utilisation existantes d'Intune. La fonctionnalité des conditions d'utilisation d'Azure AD offre plus de flexibilité quant aux conditions à afficher et quand les afficher, un meilleur support des localisations, plus de contrôle sur la façon dont les termes sont rendus et un meilleur reporting. La fonctionnalité des conditions d'utilisation d'Azure AD nécessite Azure Active Directory Premium P1 qui fait également partie de la suite Enterprise Mobility + Security E3.
• [Windows 10] Les utilisateurs peuvent maintenant utiliser le menu contextuel du périphérique et des applications pour déclencher des actions communes comme renommer un appareil ou vérifier sa conformité.
• [Windows 10] Les utilisateurs pourront désormais déclencher des actions d'applications et de périphériques dans le portail d'entreprise Windows à l'aide de raccourcis clavier.
• [Windows 10] Vous pouvez appliquer des profils Windows Autopilot aux appareils Win 10 enregistrés dans Microsoft Intune mais qui n'ont pas encore été enregistrés pour Autopilot. Dans le profil Autopilot, choisissez l'option Convert all targeted devices to Autopilot pour enregistrer automatiquement les périphériques non Autopilot auprès du service de déploiement Windows Autopilot. Prévoir 48 heures pour le traitement de l’enregistrement. Lorsque le périphérique est retiré et réinitialisé, Autopilot le provisionnera.

• [Windows 10] Vous pouvez maintenant créer et affecter plusieurs profils de page de statut d’enregistrement (Enrollment Status Page) à des groupes Azure Active Directory.
• [Windows 10] Vous pourrez assigner des profils Windows Autopilot au groupe virtuel All devices. Pour ce faire, choisissez Device enrollment > Windows enrollment > Deployment Profiles > choisissez un profil > Assignments > sous Assigner pour choisissez All devices.
• [iOS] Apple Business Manager (ABM) fonctionne avec Intune et vous pouvez mettre à niveau votre compte Device Enrollment Program (DEP) vers ABM. Le processus dans Intune est le même. Pour mettre à niveau votre compte Apple DEP à ABM, rendez-vous sur https://support.apple.com/en-us/HT208817.
• [iOS] Il est possible de télécharger une image personnalisée représentant l’entreprise qui sera affichée en arrière-plan sur la page de profil de l'utilisateur dans l'application iOS Company Portal.

Gestion du périphérique

• [Android] Il est possible de restreindre les applications et bloquer l'accès aux ressources de l'entreprise sur les appareils Android. Dans Device compliance > Policies > Create policy > Android > System Security, il y a un nouveau paramètre dans la section vice Security, appelé Restricted apps. Le paramètre Restricted apps utilise une stratégie de conformité pour bloquer l'accès aux ressources de l'entreprise si certaines applications sont installées sur le périphérique. L'appareil est considéré comme non conforme jusqu'à ce que les applications restreintes soient supprimées du périphérique.

• [iOS/Android] Les stratégies de protection des applications Intune vous permettent de configurer divers paramètres de protection des données pour les applications protégées Intune, telles que Microsoft Outlook et Microsoft Word. Microsoft a modifié l'apparence et la convivialité de ces paramètres pour iOS et Android afin de faciliter la recherche de paramètres individuels. Il existe trois catégories de paramètre de stratégie :
  • Data relocation - Ce groupe comprend les contrôles de prévention des pertes de données (DLP), comme les restrictions couper, copier, coller et sauvegarder. Ces paramètres déterminent la façon dont les utilisateurs interagissent avec les données des applications.
  • Access requirements - Ce groupe contient les options PIN par application qui déterminent comment l'utilisateur final accède aux applications dans un contexte de travail.
  • Conditional launch - Ce groupe contient des paramètres tels que les paramètres minimums du système d'exploitation, la détection de jailbreak et de périphérique rooté, et les délais de grâce hors ligne.

• [Windows 10] Intune supporte maintenant le regroupement des périphériques Windows via un Identifiant de corrélation lors de l'enregistrement à l'aide de Windows Autopilot pour les périphériques existants via Configuration Manager. L’identifiant de corrélation est un paramètre du fichier de configuration Windows Autopilot. Intune règle automatiquement l'attribut Azure AD device enrollmentProfileName sur "OfflineAutopilotprofile-". Ceci permet de créer des groupes dynamiques Azure AD à partir de l'identifiant de corrélation via l'attribut enrollmentprofileName pour les enregistrements de Windows Autopilot. Pour plus d'informations, consultez Windows Autopilot for existing devices.

Configuration du périphérique

• [Général] Lorsqu'un périphérique n'est pas conforme, vous pouvez créer une action sur la stratégie de conformité qui verrouille le périphérique à distance. Ceci s’applique à Android, iOS, macOS, Windows 10 Mobile, Windows Phone 8.1.

• [Général] Auparavant, il n’était pas possible de supprimer un profil email d'un périphérique s'il s'agissait du seul profil de messagerie. Avec cette mise à jour, ce comportement change. Désormais, vous pouvez supprimer un profil de messagerie, même s'il s'agit du seul profil de messagerie de périphérique.
• [Général] Dans certains scénarios, les certificats PKCS et SCEP restent sur les périphériques, même lors de la suppression d'une stratégie déployée sur groupe, de la suppression d'une configuration ou d'un déploiement de conformité, ou de la mise à jour par un administrateur d'un profil SCEP ou PKCS existant. Cette mise à jour change le comportement. Il existe certains scénarios dans lesquels les certificats PKCS et SCEP sont supprimés des périphériques, et certains scénarios dans lesquels ces certificats restent sur le périphérique. Vous pouvez consulter la page Remove SCEP and PKCS certificates in Microsoft Intune pour en apprendre plus.
• [Windows 10] Lorsque vous créez un profil de configuration VPN (Device configuration > Profiles > Create profile > Windows 10 and later platform > VPN profile type), vous saisissez certains paramètres DNS. Avec cette mise à jour, vous pouvez également entrer plusieurs suffixes DNS. Lorsque vous utilisez des suffixes DNS, vous pouvez rechercher une ressource réseau en utilisant son nom court au lieu du FQDN. Cette mise à jour vous permet également de changer l'ordre des suffixes DNS. Les paramètres VPN de Windows 10 répertorient les paramètres DNS actuels.
• [Android] Vous pouvez utiliser des connexions VPN Always-On (permanente) sur des périphériques d'entreprise Android avec des work profiles gérés. Les connexions VPN toujours actives restent connectées ou se reconnectent immédiatement lorsque l'utilisateur déverrouille son appareil, lorsque l'appareil redémarre ou lorsque le réseau sans fil change. Vous pouvez également mettre la connexion en mode "lockdown", qui bloque tout le trafic réseau jusqu'à ce que la connexion VPN soit active. Vous pouvez activer le VPN Always-on dans Device configuration > Profiles > Create profile > Android enterprise for platform > Device restrictions > Connectivity settings.
• [Android] Lorsque vous créez une nouvelle stratégie de conformité (Intune > Device compliance > Policies > Create policy > Android or Android enterprise for Platform > System Security), la valeur par défaut du type de mot de passe requis change de la Valeur par défaut du périphérique à Au moins numérique (At least numeric). Ceci s’applique à Android et Android Enterprise.
• [Windows 10/iOS] Les certificats SCEP peuvent maintenant être délivrés à des périphériques, y compris des périphériques sans utilisateur tels que des kiosques (Device configuration > Profiles > Create profile > Windows 10 and later for platform > SCEP certificate for profile). On retrouve d’autres améliorations comme :
  • La propriété Subject d'un profil SCEP est maintenant une zone de texte personnalisée et peut inclure de nouvelles variables.
  • La propriété Subject alternative name (SAN) d'un profil SCEP est maintenant un format de table et peut inclure de nouvelles variables. Dans le tableau, un administrateur peut ajouter un attribut et remplir la valeur dans une zone de texte personnalisée. Le SAN prend en charge les attributs suivants :
    • DNS
    • Adresse électronique
    • UPN
  • [Windows 10] Améliorations sur les profils de configuration des Kiosks Windows 10 (Device configuration > Profiles > Create profile > Windows 10 and later for platform > Kiosk preview for profile type) :
    • Actuellement, vous pouvez créer plusieurs profils de kiosque sur le même appareil. Avec cette mise à jour, Intune ne supportera qu'un seul profil de kiosque par appareil. Si vous avez toujours besoin de plusieurs profils de kiosque sur un seul appareil, vous pouvez utiliser des URIs personnalisés.
    • Dans un profil Kiosk avec plusieurs applications, vous pouvez sélectionner la taille des tuiles de l'application et l'ordre de disposition du menu Démarrer dans la grille de l'application. Si vous préférez plus de personnalisation, vous pouvez continuer à télécharger un fichier XML.
    • Les paramètres du navigateur du Kiosk sont déplacés dans les paramètres Kiosk. Actuellement, les paramètres du navigateur Web du Kiosk ont leur propre catégorie dans le portail Azure.
  • [Windows 10] Les scripts PowerShell dans Intune peuvent être ciblés sur les groupes de sécurité de périphérique dans Azure Active Directory.
  • [Windows 10] Avec cette mise à jour, il est possible d’utiliser une clé pré-partagée (PSK) avec le protocole de sécurité WPA/WPA2-Personal pour authentifier un profil de configuration Wi-Fi pour Windows 10. Vous pouvez également spécifier la configuration du coût d'un réseau taxé/payant pour les périphériques avec Windows 10 1809. Actuellement, vous devez importer un profil Wi-Fi ou créer un profil personnalisé pour utiliser une clé pré-partagée.

• [iOS] Un nouveau paramètre permet d’activer le contrôle d'accès réseau (NAC) lorsque vous créez un profil de configuration VPN pour Cisco AnyConnect, F5 Access, et Citrix SSO pour iOS. Ce paramètre permet d'inclure l'Identifiant NAC du périphérique dans le profil VPN. Pour l’instant, aucun client VPN ou partenaire NAC ne prend en charge ce paramétrage.
• [macOS] Cette mise à jour inclut macOS Gatekeeper pour évaluer la conformité des périphériques. Pour définir la propriété Gatekeeper, ajoutez une stratégie de conformité pour les périphériques macOS.

Gestion des applications

• [Général] Vous pouvez dépanner le succès de l'installation des applications en consultant la colonne intitulée App install dans l’espace Troubleshooting. Pour afficher l’espace Troubleshooting, dans le portail Intune, sélectionnez Troubleshoot sous Help and support.
• [Android/iOS] Les administrateurs peuvent contrôler les comptes utilisateurs ajoutés aux applications Microsoft Office sur les périphériques gérés. Vous pouvez limiter l'accès aux seuls comptes utilisateurs autorisés de l’entreprise et bloquer les comptes personnels sur les périphériques enregistrés.
• [Android/iOS] L’administrateur peut exiger un code PIN non biométrique après un délai d’attente spécifié par l’administrateur. Ceci permet d’améliorer la sécurité pour la gestion des applications mobiles (MAM). Les paramètres affectent les utilisateurs qui utilisent Touch ID (iOS), Face ID (iOS), Android Biometric ou d'autres futures méthodes d'authentification biométrique pour accéder à leurs applications compatibles APP/MAM. Ces paramètres permettent aux administrateurs d'Intune d'avoir un contrôle plus granulaire sur l'accès des utilisateurs, éliminant les cas où un appareil avec plusieurs empreintes digitales ou d'autres méthodes d'accès biométriques peut révéler des données d'entreprise à un utilisateur incorrect. Dans le portail Azure, ouvrez Microsoft Intune. Sélectionnez Client apps > App protection policies > Add a policy > Settings.
• [Android/iOS] Vous pouvez maintenant créer une stratégie de configuration des applications Outlook sur iOS et Android pour les utilisateurs On-Premises qui utilisent l'authentification Basic avec le protocole ActiveSync. D'autres paramètres de configuration seront ajoutés au fur et à mesure qu'ils seront activés sur Outlook pour iOS et Android.
• [iOS] Les administrateurs peuvent bloquer l'utilisation de claviers tiers lors de l'accès aux données de l'entreprise dans les applications protégées par des stratégies. Lorsqu’une stratégie de protection applicative (APP) est configurée pour bloquer les claviers tiers, l'utilisateur du périphérique reçoit un message la première fois qu'il interagit avec des données d'entreprise lorsqu'il utilise un clavier tiers. Toutes les options, autres que le clavier natif, sont bloquées et les utilisateurs du périphérique ne les verront pas. Les utilisateurs de l'appareil ne verront le message d’information qu'une seule fois.

• [iOS] Les utilisateurs sont maintenant invités à entrer leur code PIN après avoir effectué des modifications biométriques sur leur périphérique iOS. Cela comprend les modifications apportées aux empreintes digitales enregistrées (TouchID) ou à l'identification faciale (Face ID). Le timing de l'invite dépend de la façon dont la configuration des exigences d'accès recontrôle après le délai d'attente (minutes). Lorsqu'aucun code PIN n'est défini, l'utilisateur est invité à en définir un. Cette fonctionnalité n'est disponible que pour iOS, et nécessite l’utilisation d'applications qui intègrent le SDK Intune APP pour iOS, version 9.0.1 ou ultérieure. L'intégration du SDK est nécessaire pour que le comportement puisse être appliqué aux applications ciblées. Cette intégration se fait sur une base continue et dépend des équipes de développement d'application. Parmi les applications qui l’utilisent, on retrouve WXP, Outlook, Managed Browser et Yammer.
• [iOS] Vous pouvez séparer le contrôle des paramètres de transfert de données Intune APP sur les périphériques iOS MDM enregistrés en spécifiant l'identité de l'utilisateur enregistré, sous la forme d’UPN. Les administrateurs qui n'utilisent pas l’IntuneMAMUPN n'observeront pas de changement de comportement.
• [Windows 10] Vous pourrez déployer des langues supplémentaires pour les applications Office 365 Pro Plus gérées par Intune. La liste des langues disponibles comprend le type de pack de langues (noyau, partiel et relecture). Dans le portail Azure, sélectionnez Microsoft Intune > Client Apps > Apps > Add. Sélectionnez Windows 10 sous Office 365 Suite. Sélectionnez Langues dans la tuile Paramètres.

• [Windows 10] Lorsque Intune installe Office sur les machines des utilisateurs, les utilisateurs obtiennent automatiquement les mêmes paquets de langues qu'ils avaient avec les précédentes installations de .MSI Office.
• [Windows 10] Intune supporte maintenant une taille maximale de package d’applications à 8 Go pour les applications métiers.
• [Windows 10] Les extensions de fichiers pour les applications métiers Windows comprennent désormais les .msi, .appx, .appx, .appxbundle, .msix et .msixbundle. Vous pouvez ajouter une application dans Microsoft Intune en sélectionnant Client apps > Apps > Add. Pour les applications métiers, sélectionnez ine-of-business app comme type d'application, sélectionnez le fichier de l’app, puis entrez un fichier d'installation avec l'extension appropriée.
• [Windows 10] En s'appuyant sur le support existant des applications métiers et des applications du Microsoft Store for Business, les administrateurs peuvent utiliser Intune pour déployer la plupart des applications existantes de leur entreprise sur les périphériques Windows 10. Les administrateurs peuvent ajouter, installer et désinstaller des applications pour les utilisateurs de Windows 10 dans une variété de formats, tels que MSIs, Setup.exe ou MSP. Intune évaluera les règles des exigences avant le téléchargement et l'installation, notifiant les utilisateurs finaux de l'état ou les exigences de redémarrage à l'aide du Centre de notifications de Windows 10. Cette fonctionnalité permet de prendre aux entreprises intéressées de transférer cette charge de travail vers Intune et le cloud. Cette fonctionnalité est actuellement en Preview et Microsoft prévoit d’ajouter de nouvelles fonctionnalités importantes au cours des prochains mois.
• [Windows 10] Vous pouvez déployer les applications Win32 afin qu'elles soient installées dans le contexte utilisateur pour des utilisateurs individuels, et non pas pour tous les utilisateurs du périphérique.

• [Windows 10] Les utilisateurs n'ont plus besoin d'être connectés aux périphériques pour installer des applications Win32 ou exécuter des scripts PowerShell.

Supervision et Dépannage

• [Général] Nouvelle expérience de support Intune dans le portail d‘administration de périphérique de Microsoft 365. Microsoft déploie une nouvelle expérience d'aide et de support pour Intune dans le portail Microsoft 365 Device Management. Cette nouvelle expérience vous permet de décrire votre problème dans vos propres mots et d'obtenir des conseils de dépannage et du contenu de remédiation sur le Web. Ces solutions sont proposées via un algorithme d'apprentissage machine basé sur des règles, piloté par les demandes des utilisateurs. En plus des conseils spécifiques, vous pouvez également utiliser le nouveau workflow de création de cas pour ouvrir un cas de support par e-mail ou par téléphone.

PowerShell

• [Général] Un nouveau module PowerShell, qui prend en charge l'API Intune via Microsoft Graph, est maintenant disponible en Preview sur GitHub.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft a annoncé l’événement Microsoft Ignite : The Tour. Ces conférences gratuites sont des redites condensées de l’Ignite. On retrouvera :

• Plus de 100 sessions sur le développement, la données, l’IT, la Business Intelligence.
• Des laboratoires en libre-service
• Des experts sur Azure et Microsoft 365 à disposition

Les thèmes suivants seront abordés :

• Construire des applications pour le Cloud - Apprenez comment architecturer et construire des applications pour profiter de l’élasticité que le Cloud offre.
• Déploiement de l’environnement de travail et de l’infrastructure - Découvrez comment commencer le voyage vers le cloud et quelles étapes vous devez suivre pour déplacer les infrastructures et déployer le poste de travail moderne.
• Tirer le meilleur parti des données - Apprenez à utiliser l'intelligence artificielle et le Machine Learning pour acquérir de nouvelles connaissances en utilisant les données existantes dans les entreprises.
• Migration des applications vers le cloud - Découvrez ce qu'il faut pour moderniser les applications et les préparer à une migration réussie vers le cloud.
• Optimisez le travail d'équipe dans l’entreprise - Révéler l’efficacité collaborative au sein de l’entreprise et apprenez comment bâtir des équipes efficaces.
• Sécurisation de l’entreprise - Bâtissez une organisation sécurisée sans compromettre la productivité de votre entreprise.

Ces événements auront lieu dans 17 pays :

• Berlin : 6 et 7 Décembre
• Sao Paulo : 11 et 12 Décembre
• Toronto : 10 et 11 Janvier
• Singapour : 16 et 17 Janvier
• Tel Aviv : 22 et 23 Janvier
• Johannesburg : 28 et 29 Janvier
• Milan : 31 Janvier et 1^er Février
• Washington DC : 4 et 5 Février
• Sydney : 13 et 14 Février
• Hong Kong : 20 et 21 Février
• Londres : 26 et 27 Février
• Amsterdam : 20 et 21 Mars
• Dubaï : 27 et 28 Mars
• Séoul : 3 et 4 Avril
• Mexico : 10 et 11 Avril
• Stockholm : 24 et 25 Avril
• Mumbai : 22 et 23 Mai

S’inscrire à un des événements