Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 31/5/2019

    [Intune] Mise à jour du workflow d’authentification des périphériques iOS d’entreprise avec Setup Assistant

    J’en avais déjà parlé mais je profite d’un email provenant d’un client pour le rappel. En février, Microsoft a mis à jour la procédure d’enregistrement des périphériques iOS dans Microsoft Intune via Apple Configurator, Apple Business Manager, Apple School Manager ou Apple Device Enrollment Program (DEP) en utilisant Setup Assistant pour l’authentification. Ce changement requiert à une adaptation de votre configuration notamment pour les périphériques enregistrés avec affinité utilisateur.

    Lors de d’enregistrement de nouveaux périphériques et de l'authentification à l'aide de l'assistant de configuration (Setup Assistant), vous pouvez choisir de déployer ou non l'application Portail d'entreprise automatiquement. Les utilisateurs finaux ne verront plus l'écran "Identifier votre appareil" et l'écran "Confirmer votre appareil" dans le flux d’enregistrement.

    Sur les périphériques déjà enregistrés via l'Assistant de configuration (Setup Assistant) via l'une des méthodes d'enregistrement des périphériques d'entreprise d'Apple si vous souhaitez activer l'accès conditionnel, vous devrez configurer une stratégie de configuration d'application avec un xml spécifique pour pousser le Portail d'entreprise uniquement pour cet ensemble de périphériques.

    Maintenant que ce changement a été mis en œuvre, si vous n'avez pas déployé le Portail d'entreprise avec le profil de configuration d'application mentionné ci-dessus et si les utilisateurs finaux téléchargent l'application du Portail d'entreprise depuis l'App Store, ils pourront se connecter, mais un message d'erreur leur sera envoyé. Ils ne pourront pas utiliser l'application pour l'accès conditionnel.

    Pour ce faire, vous devez télécharger l’application portail d’entreprise via le programme Apple VPP.
    Vous devez ensuite créer une stratégie de configuration d’application en naviguant dans : Client Apps – App Configuration Policies. Sélectionnez l’application puis associez la configuration xml suivante :

    <dict>

        <key>IntuneCompanyPortalEnrollmentAfterUDA</key>

        <dict>

            <key>IntuneDeviceId</key>

            <string>{{deviceid}}</string>

            <key>UserId</key>

            <string>{{userid}}</string>

        </dict>

    </dict>

    Vous devez ensuite déployer cette stratégie de configuration sur les périphériques.

     

    Plus d’informations : https://aka.ms/enrollment_setup_assistant

    • 30/5/2019

    [Intune] Problème sur les stratégies Windows Defender Application Guard

    Microsoft a communiqué qu’un bug a été identifié sur les paramétrages de stratégies Windows Defender Application Guard sur Microsoft Intune. Le problème survient si vous ne configurez pas ceci à travers les stratégies de groupe, graph ou les scripts. Dans ce cas, le paramétrage n’est pas activé comme prévu.

    Les clients utilisant ces stratégies Application Guard ont été prévenus. Microsoft est en train de corriger le problème, les stratégies seront appliquées comme attendu dans les semaines à venir.

    • 29/5/2019

    [AIP] Publication des clients AIP (1.48.204.0) et AIP Unified Labeling (2.0.779.0) sur Windows Update

    Microsoft vient de publier les versions 1.48.204.0 du client Azure Information Protection et 2.0.779.0 du client Azure Information Protection Unified Labeling sur Windows Update.

    La version 1.48.204.0 ajoute les éléments suivants :

    • Le scanneur Azure Information Protection est maintenant configuré à partir du portail Azure, plutôt qu'en utilisant PowerShell.
    • Le scanneur supporte plusieurs bases de données de configuration sur la même instance de serveur SQL lorsque vous spécifiez un nom de profil.
    • Support des types d'informations sensibles suivants qui aident à identifier les informations d'identification dans les documents et les e-mails :
      • Azure Service Bus Connection String
      • Azure IoT Connection String
      • Azure Storage Account
      • Azure IAAS Database Connection String and Azure SQL Connection String
      • Azure Redis Cache Connection String
      • Azure SAS
      • SQL Server Connection String
      • Azure DocumentDB Auth Key
      • Azure Publish Setting Password
      • Azure Storage Account Key (Generic)
    • Nouveaux paramètres client avancés qui implémentent des messages contextuels dans Outlook qui peuvent avertir, justifier ou bloquer l'envoi d'e-mails.
    • Si vous labelisez et protégez les fichiers en utilisant le cmdlet Set-AIPFileLabel, vous pouvez utiliser le paramètre EnableTracking pour enregistrer le fichier sur le site de suivi des documents.
    • Nouveau paramètre client avancé applicable uniquement lorsque vous configurez les paramètres de stratégie pour ne pas afficher les permissions personnalisées : Lorsqu'un fichier est protégé par des permissions personnalisées, affichez l'option permissions personnalisées dans l'Explorateur de fichiers pour que les utilisateurs puissent les voir et les modifier (s'ils ont les permissions de modifier les paramètres de protection).
    • Découverte des noeuds de terminaison d'Azure Information Protection Analytics.
    • Deux nouveaux paramètres client avancés pour l’analytics, pour les scénarios suivants :
      • Empêcher l'envoi de correspondances de type d'information pour un sous-ensemble d'utilisateurs lorsque vous avez coché la case dans le portail Azure pour collecter les correspondances de contenu.
      • Pour le rapport de découverte des données, indiquez si les fichiers contiennent des informations sensibles.
    • Pour la liste des correctifs, rendez-vous sur l’article adéquat.

     

    La version 2.0.779.0 corrige un problème de condition rare où parfois, aucune étiquette ne s'affiche dans les applications Office ou File Explorer. Les nouveautés étaient présentes dans la version 2.0.778.0.

     

    Télécharger Microsoft Azure Information Protection

    • 28/5/2019

    [Windows 10 1809] Le chiffrement silencieux BitLocker ne fonctionne pas sur des périphériques joints à Azure AD

    Microsoft a publié un article dans la base de connaissance concernant un problème touchant le chiffrement silencieux des disques avec BitLocker sur des machines Windows 1809 jointes à Azure Active Directory. Le chiffrement démarre bien puis s’arrête sans chiffrer aucun des disques.

    Ceci touche tous les scénarios :

    • Chiffrement lors du déploiement avec Windows Autopilot
    • Chiffrement via les stratégies Microsoft Intune
    • Chiffrement lors de la jointure automatique à Azure Active Directory via des périphériques compatibles Connected Standby

    Pour les périphériques joints à Azure AD, le paramètrage AllowWarningForOtherDiskEncryption du CSP BitLocker contrôle si les utilisateurs sont invités à désactiver d'autres méthodes de chiffrement de disque si la stratégie de groupe requiert le chiffrement de disque BitLocker. Si AllowWarningForOtherDiskEncryption est réglé sur 0, le message d'avertissement est désactivé et le processus de cryptage BitLocker s'exécute en silence.

    Si les autres méthodes de chiffrement ne sont pas désactivées, le processus de chiffrement ne peut pas sauvegarder la clé de restauration BitLocker sur Azure AD. Cet échec, à son tour, provoque l'arrêt du processus de chiffrement sans chiffrer les lecteurs. Ce problème se produit quel que soit le niveau d'autorisation de l'utilisateur sur l'ordinateur.

    Pour contourner le problème, Microsoft recommande de chiffrer manuellement la machine via le panneau de configuration.

    Microsoft a publié la mise à jour corrigeant ce problème : May 21, 2019—KB4497934 (OS Build OS 17763.529)

    Source : https://support.microsoft.com/en-us/help/4501517/bitlocker-cannot-silently-encrypt-drives-on-azure-ad-joined-devices

    • 27/5/2019

    Nouvelle Preview (1.2019.522.0) de l’outil de packaging MSIX

    Microsoft propose une nouvelle préversion (1.2019.522.0) de son outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

    Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

    Pas de nouveautés dans cette préversion mais une amélioration des fonctionnalités déjà introduite précédemment :

    • Support des installeurs Win32 qui requièrent des redémarrages. Une option permettant de faire de l’auto-connexion après un redémarrage est disponible
    • De nouvelles options dans les paramétrages d’application pour :
      • Spécifier un certificat par défaut et signer des packages avec
      • Spécifier un code de sortie pour les installeurs qui nécessite un redémarrage
    • Corrections de bugs et améliorations

     

    Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

    Plus d'éléments sur le format MSIX sur MSIX Intro

    Télécharger MSIX Packing Tool

    • 27/5/2019

    [Intune] Les nouveautés de mi-mai 2019

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [Windows 10] Disponibilité Générale de la page d’état d’enregistrement (Enrollment Status Page).

    • [Windows 10] L’interface permettant la création d’un profile d’enregistrement Autopilot a été mis à jour pour s’aligner avec les styles d’interface d’Azure.
    • [iOS] Changement dans la méthode d’authentification pour les périphériques enregistrés via Apple Configurator, Apple Business Manager, Apple School Manager, et Apple Device Enrollment Program (DEP). Microsoft Intune ne supportera plus le portail d’entreprise s’il est installé manuellement par l’utilisateur lorsque l’authentification a lieu via Setup Assistant lors de l’enregistrement. Plus d’informations sur : Mise à jour du workflow d’authentification des périphériques iOS d’entreprise avec Setup Assistant.
    • [iOS] La suppression d’un périphérique à partir des portails Apple Device Enrollment Program ou Apple Business Manager est répliquée dans Microsoft Intune lors de la prochaine synchronisation.

    Gestion du périphérique

    • [Général] Vous n’avez plus besoin d’inclure les espaces dans les numéros IMEI lors de la recherche dans la vue All Devices.
    • [Windows 10] La fonctionnalité Autopilot Reset fonctionne maintenant pour tous les périphériques et plus uniquement ceux qui ne sont pas configurés pour utiliser la page d’enregistrement d’état (ESP). Si aucune page d'état d'inscription n'a été configurée pour le périphérique lors de l’enregistrement initial, le périphérique ira directement sur le bureau après la connexion. Cela peut prendre jusqu'à huit heures pour se synchroniser et paraître conforme dans Intune.

    Configuration du périphérique

    • [Général] Public Preview permettant d’utiliser Intune pour gérer les tâches de sécurité pour Microsoft Defender Advanced Threat Protection (ATP). Cette intégration avec ATP ajoute une approche basée sur les risques pour découvrir, prioriser et corriger les vulnérabilités et les erreurs de configuration des périphériques, tout en réduisant le temps entre la découverte et l'atténuation.

    • [Windows 10] Un nouveau paramétrage de conformité permet de vérifier la version de la puce TPM sur le périphérique.

    • [Windows 10] Vous pouvez configurer les scripts PowerShell pour qu'ils s'exécutent avec les privilèges d'administrateur de l'utilisateur sur le périphérique.

    • [Windows 10] Microsoft a ajouté en Preview une baseline de sécurité pour Microsoft Defender Advanced Threat Protection (ATP).
    • [iOS] Support de Network Access Control par F5 Access sur les périphériques iOS. Ce supporte st apporté par la mise à jour de BIG-IP 13.1.5 (Notez que BIG-IP 14 n’est pas supporté). Vous devez ensuite intégrer BIG-IP avec Intune pour NAC et cochez le paramétrage Enable Network Access Control (NAC) sur le profile VPN dans Microsoft Intune.

    • [iOS] Vous pouvez empêcher l’utilisateur de modifier le partage de connexion personnel (supervisé uniquement) et désactiver la journalisation du serveur Siri. Ceci se fait via la création d’une stratégie de restriction (Device configuration > Profiles > Create profile > iOS comme plateforme > Device restrictions pour le type de profil).

    • [iOS] Le paramétrage Password to access app store est renommé Require iTunes Store password for all purchases dans Device configuration > Profiles > Create profile > iOS pour plateforme > Device restrictions comme type de profil > App store, Doc viewing, and Gaming.
    • [macOS] Nouveau paramétrage de restriction de périphériques pour l’application classroom. Ces paramétrages disponibles dans Device configuration > Profiles > Create profile > macOS comme plateforme > Device restrictions comme type de profile, permettent de bloquer les sceenshots, et de désactiver la librairie photo iCloud.

     

    Gestion des applications

    • [Android/iOS] Vous pouvez configurer comment l’utilisateur final met à jour des applications métiers via les stratégies de protection d’applications. Les utilisateurs finaux verront cette fonction dans la boîte de dialogue de lancement conditionnel avec la version minimale de l'application, qui les invitera à mettre à jour l'application métier. Vous devez fournir ces détails de mise à jour dans le cadre de votre stratégie de protection des applications (APP/MAM). Sous iOS, cette fonctionnalité nécessite que l'application soit intégrée (ou encapsulée à l'aide de l'outil de wrapping) avec le SDK Intune pour iOS v. 10.0.7 ou supérieur. Sur Android, cette fonctionnalité nécessite la dernière version du Portail d'entreprise. Pour configurer la façon dont un utilisateur final met à jour une application métier, l'application a besoin d'une stratégie de configuration d'application gérée qui lui est envoyée avec la clé com.microsoft.intune.myappstore. La valeur envoyée définira de quel magasin l'utilisateur final téléchargera l'application. Si l'application est déployée via le Portail d'entreprise, la valeur doit être CompanyPortal. Pour tout autre magasin, vous devez saisir une URL complète.
    • [Android/iOS] Vous pouvez spécifier si la signature par défaut est activée dans Outlook sur iOS et Android. Vous pouvez aussi laisser l’utilisateur changer les paramétrages biométriques dans Outlook sur iOS.
    • [Android] Pour faciliter la configuration et l'utilisation de la gestion d'Android Enterprise par les administrateurs, Intune ajoutera automatiquement quatre applications Android Enterprise communes à la console d'administration d'Intune :
      • Microsoft Intune - Utilisé pour les scénarios entièrement gérés d'Android Enterprise.
      • Microsoft Authenticator - Vous aide à vous connecter à vos comptes si vous utilisez la vérification à deux facteurs.
      • Intune Company Portal - Utilisé pour les politiques de protection des applications (APP) et les scénarios Android Enterprise Work Profile.
      • Managed Home Screen- Utilisé pour les scénarios Android Enterprise dédiés/kiosk.

    Pour les entreprises qui ont déjà connecté leur tenant ou qui utilisent déjà Android Enterprise, il n'y a rien à réaliser. Ces quatre applications apparaîtront automatiquement dans les 7 jours suivant la fin du déploiement du service en mai 2019.

     

    Supervision et Dépannage

    • [Windows 10] Le rapport de chiffrement des périphériques et BitLocker est en disponibilité générale.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 26/5/2019

    Des cours gratuits pour les certifications Azure (AZ-100, AZ-101, AZ-200, AZ-201, AZ-300, AZ-301, AZ-500, et AZ-900)

    Microsoft a publié des cours gratuits sur la plateforme EDX permettant de se préparer aux dernières certifications Microsoft Azure. Notez que les cours pour les certifications AZ-100/AZ-101 et AZ-200/AZ-201 qui ont été fusionnées respectivement en AZ-103 et AZ-203 n’ont pas été revus.

    Voici la liste des cours :

    AZ-100: Microsoft Azure Infrastructure and Deployment

    AZ-101: Microsoft Azure Integration and Security

    AZ-200: Microsoft Azure Developer Core Solutions

    AZ-201: Microsoft Azure Developer Advanced Solutions

    AZ-300: Microsoft Azure Architect Technologies

    AZ-301: Microsoft Azure Architect Design

    AZ-500: Microsoft Azure Security Technologies

    AZ-900: Microsoft Azure Fundamentals

    • 26/5/2019

    Des cours gratuits pour les certifications Windows 10 et Microsoft 365 (MD-100, MD-101, MS-100, MS-101, MS-200, MS-201, MS-300, MS-301, MS-500, et MS-900)

    Microsoft a publié des cours gratuits sur la plateforme EDX permettant de se préparer aux dernières certifications Windows 10 et Microsoft 365.

    Voici la liste des cours :

    MD-100: Windows 10

    MD-101: Managing Modern Desktops

    MS-100: Microsoft 365 Identity and Services

    MS-101: Microsoft 365 Mobility and Security

    MS-200: Planning and Configuring a Messaging Platform

    MS-201: Implementing a Hybrid and Secure Messaging Platform

    MS-300: Deploying Microsoft Teamwork

    MS-301: Deploying SharePoint Server Hybrid

    MS-500: Microsoft 365 Security Administration

    MS-900: Microsoft 365 Fundamentals

    • 25/5/2019

    [Windows 10 1903] Un Webcast sur les nouveautés de Windows 10 1903 pour les IT Pros

    Alan Meeus (Product Marketing Manager, Windows Commercial) et Joe Lurie (Senior Product Marketing Manager, Windows Commercial) vont proposer un webcast suivi d’une session de questions/réponses. Cet évènement aura lieu le mardi 28 mai 2019 de 19h à 20h (heure française).

    • Les derniers apports de Microsoft Defender ATP et les technologies antivirus de nouvelle génération.
    • Les nouveautés pour prendre en charge la protection contre les menaces et la protection de l'identité.
    • De nouveaux outils et stratégies pour vous aider à faire face plus rapidement aux tâches communes de configuration et de gestion.

    Pour s’inscrire : https://info.microsoft.com/US-NOGEP-WBNR-FY19-05June-17-ON24VirtualEvent-1996_01Registration-ForminBody.html

    • 9/5/2019

    [SCCM CB] Les MDMs concurrents ne font pas de Co-Management !

    Il y a plusieurs mois maintenant, Microsoft annonçait l’arrivée du Co-Management de machine Windows 10 avec à la fois System Center Configuration Manager et Microsoft Intune. Ceci permet aux entreprises qui ont déjà System Center Configuration Manager de bénéficier des avancées de gestion moderne proposées par le Cloud via Microsoft Intune. Ceci donne accès à l’effacement à distance, l’accès conditionnel, Windows Autopilot, l’état de santé du client dans la console Intune, etc. Cela permet aussi aux entreprises de conserver les investissements qu’ils ont pu faire sur System Center Configuration Manager tout en se laissant le temps de passer des charges de travail initialement gérées par SCCM vers Microsoft Intune :

    • Stratégies de conformité
    • Stratégie de mises à jour logicielles
    • Stratégies d’accès aux ressources de l’entreprise
    • Gestion de l’antivirus (Endpoint Protection)
    • Configuration du périphérique
    • Gestion des applications Office Click-to-Run
    • Déploiements d’applications clientes.

    Depuis quelques temps dans des phases d’Avant-Vente pour défendre le modèle proposé par Microsoft, on se retrouve face à des solutions de gestion de périphériques mobiles (MDM) concurrentes (MobileIron, AirWatch, etc.) qui se targuent de pouvoir faire du Co-Management avec System Center Configuration Manager.

    C’est le signe que c’est Microsoft qui donne la direction à l’ensemble de l’écosystème EMM/MDM. Ces acteurs qui se retrouvent chahutés n’ont que d’autres solutions que de s’aligner sur les choix de Microsoft et le vocabulaire utilisé.

    Mais qu'en est-il vraiment ?

    Ne confondez pas Co-Management et Co-Existence ! Bien entendu, ce serait mentir que de dire que le client Configuration Manager ne peut pas coexister sur des postes Windows 10 gérés par d’autres solutions de MDM si ce périphérique est soit joint à Azure Active Directory ou Hybrid Azure AD Join. Ce n’est bien entendu pas le cas dans un mode BYOD ou la machine n’est joint à aucun domaine.

    Avoir deux autorités (un MDM et SCCM ou tout autre outil) sur un seul périphérique n’est pas si trivial car les outils (tout comme c’est le cas pour des antivirus) peuvent générer des conflits. Des valeurs de paramètres différentes peuvent s’appliquer continuellement.

    System Center Configuration Manager et Microsoft Intune est le seul couple qui propose une véritable solution travaillant ensemble : Du Co-Management ! System Center Configuration Manager et Microsoft Intune communiquent ensembles pour permettre de basculer les charges de travail citées plus haut sans impacter l’un ou l’autre des outils en fonction de l’autorité qui endosse la prise en charge de la fonctionnalité.

    Cette interaction n’existe pas avec d’autres solutions de MDM ! Dans ce cas, Microsoft a tout de même créé un système. Si le client ConfigMgr détecte une solution de gestion (MDM) tierce, alors certaines fonctionnalités sont automatiquement désactivées dans System Center Configuration Manager. Cela touche de manière similaire les fonctionnalités suivantes :

    • Stratégies de conformité
    • Analyse de mises à jour logicielles et installation
    • Stratégies d’accès aux ressources de l’entreprise
    • Gestion de l’antivirus (Endpoint Protection)
    • Configuration du périphérique
    • Gestion des applications Office Click-to-Run
    • Déploiements d’applications clientes incluant les packages.

    La grande différence se situe donc sur le fait qu’il n’est pas possible de choisir quelle charge de travail on souhaite gérer avec SCCM ou avec le MDM tiers. Par défaut le client SCCM désactive tout et ne garde que des fonctionnalités sommaires telles que : l’inventaire matériel et logicielles, Asset Intelligence, le contrôle d’usage logiciels et la gestion de l’alimentation. C’est pourquoi cette solution s’apparente plutôt à de la Co-Existence.

    Source : https://docs.microsoft.com/en-us/sccm/comanage/coexistence

    • 8/5/2019

    [Intune] Correction de deux problèmes de provisionnement de l’Intune Management Extension pour le déploiement d’applications

    Avec la version 1904 de Microsoft Intune, Microsoft corrige deux problèmes de scénario concernant le déploiement initial de l’Intune Management Extension utilisé pour le déploiement d’applications Win32 et de scripts PowerShell.

    Scénario 1 : Hybrid Azure AD Join

    Auparavant, si vous procédiez au scénario de gestion suivant :

    1. Réalisation de la jointure hybride à Azure AD (Hybrid Azure AD Join) d’une machine jointe initialement à Active Directory
    2. Enregistrement automatique dans Microsoft Intune via la GPO : Auto MDM Enrollment with AAD Token.

    Alors la machine était bien Hybrid Azure AD Join et enregistrée automatiquement (sans action de l’utilisateur) dans Microsoft Intune. Néanmoins, l’installation d’Intune Management Extension n’était pas réalisée. Il n’était ainsi pas possible de déployer des applications Win32 ou des scripts PowerShell.

    Scénario 2 : Jointure manuelle dans Azure AD puis enregistrement manuelle dans Microsoft Intune

    Dans ce cas, si vous procédiez au scénario de gestion suivant :

    1. Jointure manuelle dans Azure AD d’une machine sans que l’option d’enregistrement automatique à Microsoft Intune soit activée sur le tenant.
    2. Enregistrement manuelle par l’utilisateur dans Microsoft Intune

    Dans ce cas de figure, l’installation d’Intune Management Extension n’était pas réalisée. Il n’était ainsi pas possible de déployer des applications Win32 ou des scripts PowerShell. Il fallait alors déjoindre la machine à Azure AD et refaire une jointure manuelle.

    A partir d’avril 2019 :

    Dans les deux cas, avec la version 1904 du service, l’extension est automatiquement installée après l’enregistrement dans Microsoft Intune. Pour les périphériques qui auraient déjà été dans cet état, il suffit de déployer une application ou un script PowerShell pour que l’installation de l’extension soit réalisée.

    • 7/5/2019

    [SCCM CB/Intune] Co-Management des mises à jour logicielles et Dual Scan

    Jusqu’à maintenant, nous implémentions les solutions permettant d’empêcher le Dual Scan des mises à jour logicielles lorsqu’une machine est gérée avec System Center Configuration Manager. Avec les changements de stratégie, vous pouvez faire parti de ces entreprises qui gèrent les machines Windows 10 en Co-Management à la fois avec Microsoft Intune et System Center Configuration Manager.

    Vous pouvez donc décider un jour de gérer les mises à jour logicielles Microsoft avec Windows Update for Business et Microsoft Intune. Néanmoins, vous voulez potentiellement continuer de déployer des mises à jour tierces avec System Center Configuration Manager (et anciennement SCUP).

    Dans ce cas de figure, vous devez suivre le processus suivant :

    • Configurer le Co-Management (Ceci est un prérequis bien entendu) avec Microsoft Intune
    • Déplacer la charge de travail Windows Update Policies vers Microsoft Intune
    • Dans les paramétrages du client ConfigMgr, vous devez (garder) activer la gestion des mises à jour logicielles.
    • Ciblez ensuite des stratégies de gestion de mises à jour logicielles (Windows Update for Business) avec Microsoft Intune sur les périphériques

    En finalité, le client Configuration Manager configurera automatiquement le comportement Dual Scan sur les machines pour prendre en compte ce scénario.

    • 6/5/2019

    [Azure AD] Nouvelle documentation pour l’implémentation de l’authentification à facteurs multiples

    Microsoft a publié une nouvelle documentation basée sur les multiples guides PDF déjà publiés pour vous guider dans l’implémentation de l’authentification à facteurs multiples (MFA) proposée par Azure Active Directory.

    Cette documentation est donc à suivre avec attention :

    1. Prerequisites
    2. Plan user rollout
    3. Deployment Considerations
    4. Define network locations
    5. Plan authentication methods
    6. Plan registration policy
    7. Plan conditional access policies
    8. Plan integration with on-premises systems
    9. Implement your Plan
    10. Manage your solution
    11. Troubleshoot MFA Issues

    https://aka.ms/deploymentplans/mfa

    • 5/5/2019

    Microsoft publie le framework SECCON pour sécuriser son environnement

    Microsoft a créé un guide simplifié qui permet de sécuriser des machines Windows 10 en fonction des 5 niveaux de sécurité DEFCON :

    • Niveau 5 - Sécurité d'entreprise : Microsoft recommande cette configuration comme configuration de sécurité minimale pour un périphérique d'entreprise. Les recommandations pour ce niveau de configuration de sécurité sont généralement simples et sont conçues pour être déployées dans les 30 jours.
    • Niveau 4 - Entreprise haute sécurité : Microsoft recommande cette configuration pour les périphériques où les utilisateurs accèdent à des informations sensibles ou confidentielles. Certains contrôles peuvent avoir un impact sur la compatibilité des applications et, par conséquent, passeront souvent par une période audit-configure-applique. Les recommandations pour ce niveau sont généralement accessibles à la plupart des organisations et sont conçues pour être déployées dans les 90 jours.
    • Niveau 3 - Sécurité VIP d'entreprise : Microsoft recommande cette configuration pour les périphériques gérés par une entreprise dotée d'une équipe de sécurité plus importante ou plus sophistiquée, ou pour des utilisateurs ou des groupes spécifiques qui sont exposés à un risque particulièrement élevé. Une entreprise susceptible d'être ciblée par des adversaires bien financés et sophistiqués devrait aspirer à cette configuration. Les recommandations pour ce niveau de configuration de sécurité peuvent être complexes (par exemple, la suppression des droits d'administrateur local pour certaines organisations peut être un long projet en soi) et peuvent souvent aller au-delà de 90 jours.
    • Niveau 2 - Poste de travail DevOps [En cours de rédaction] : Microsoft recommande cette configuration aux développeurs et aux testeurs, qui sont une cible attrayante tant pour les attaques de la chaîne d'approvisionnement que pour les attaques de vol de justificatifs qui tentent d'accéder à des serveurs et systèmes contenant des données de grande valeur ou où les fonctions critiques de l'entreprise pourraient être perturbées.
    • Niveau 1 - Poste de travail de l'administrateur [En cours de rédaction] : Les administrateurs (en particulier ceux des systèmes d'identité ou de sécurité) courent le plus grand risque de vol de données, d'altération de données ou d'interruption de service.

     

    • 4/5/2019

    [Azure AD] Des vidéos sur l’accès conditionnel

    Vous souhaitez mettre en place de l’accès conditionnel sur vos ressources d’entreprise ? Microsoft a créé une série de vidéo qui aborde le sujet. Pour rappel, l’accès conditionnel permet de restreindre l’accès à des ressources de l’entreprise (Office 365, VPN, Services Azure, Applications métiers, etc.) en fonction de conditions définies et de règles de conformité.

    Plus d’informations sur :

    • 3/5/2019

    [SCCM] La Technical Preview 1904 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1904 (5.0.8813.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

    System Center Configuration Manager TP 1904 comprend les nouveautés suivantes :

    Administration

    • Le hub communautaire déjà introduit dans des versions précédentes, se voit enrichi. Il permet maintenant la récupération de rapports. Vous devez pour cela activer l’option Use Configuration Manager-generated certificates for HTTP site systems au niveau du site qui récupère les rapports. Pour plus de détails sur comment contribuer vous pouvez vous référer à la documentation.
    • Amélioration des processus sous-jacent au Centre Logiciels/Software Center :
      • Pour les applications en libre-service destinées aux utilisateurs, le Software Center les récupère maintenant à partir du Management Point. Il a ce comportement même si le site a les rôles catalogue d'applications. Cette modification vous permet de supprimer plus facilement ces rôles de site.
      • Auparavant, le Software Center choisissait le premier Management Point dans la liste des serveurs disponibles. À partir de cette version, il utilise le même Management Point que celui utilisé par le client. Ce changement permet au Software Center de s'aligner avec le client et d'avoir le même comportement de repli.
    • CMPivot peut être utilisé de manière autonome sans nécessiter la console d’administration. L’outil peut donc être partagé avec d’autres personnes (helpdesk, équipe sécurité, etc.) afin de leur permettre de récupérer des données intéressantes. L’application CMPivot est stockée dans <répertoire d’installation du site>\tools\CMPivot\CMPivot.exe. L’outil doit être copié avec l’ensemble des fichiers (dll, etc.). Il doit être exécuté avec les paramètres suivants :
      • -sms:Connection="<namespace>" où le namespace correspond au chemin vers le SMSProvider : \\<Nom du provider>\root\sms\site_<siteCode>
      • -sms:CollectionID="<CollectionID>" où l’identifiant de la collection correspond à la collection que vous ciblez pour exécuter les requêtes

    Exemple : CMPivot.exe -SMS:Connection="\\WT-CM-TP1\root\sms\site_TP1" -SMS:CollectionID="SMS00001"

                   Les utilisateurs doivent bien entendu avoir les permissions adéquates.

     

    Gestion des mises à jour logicielles

    • La gestion des mises à niveau de Windows 10 supporte maintenant les mises à jour dynamiques. Ceci permet d’automatiquement installer les packs de langues, les fonctionnalités à la demande, les drivers et les correctifs cumulatifs lors de l’exécution de la mise à niveau du système d’exploitation. Ceci adresse un des principaux points de faiblesse de la fonctionnalité Windows 10 Servicing pour passer d’une version de Windows 10 à l’autre. Vous pouvez activer l’option Enable Dynamic Update for Feature Updates dans les paramétrages du client afin de modifier le fichier setupconfig utilisé lors de l’installation de la mise à niveau pour spécifier l’usage des Dynamic Update.

    Cet ajout est automatique si vous cochez la case Add non-clustered indexes to the WSUS database au niveau des propriétés du Software Update Point pour chaque site. Ceci est fait automatiquement excepté si le serveur SQL est distant et n’utilise pas de port par défaut.

    Gestion d’Office 365

    • Le nouveau tableau de bord d’évaluation à la mise à niveau du client Office 365 ProPlus introduit dans la 1902 est étoffé. Vous pouvez le consulter en naviguant dans Software Library – Office 365 Client Management – Office 365 ProPlus Upgrade Readiness et permet d’obtenir des éléments sur :
      • L’évaluation des composants additionnels
      • Les déclarations de support des composants additionnels
      • Le TOP Des composants additionnels par version
      • Le nombre de périphériques qui ont des macros
      • L’évaluation des macros

    Déploiement de système d’exploitation

    • Il est maintenant possible de précharger dans le cache les packages de drivers ainsi que les images de système d’exploitation. Ceci s’ajoute aux packages de mise à jour de système d’exploitation afin de mieux contrôler l’usage de la bande passante. Vous devez donc spécifier l’architecture et la langue sur l’onglet Data Source de l’image de système d’exploitation. Pour les packages de drivers, vous devez spécifier le modèle dans l’onglet General. Cette valeur doit être celle spécifiée dans la valeur Name de la classe Win32_ComputerSystemProduct.
      Ensuite dans la séquence de tâches, vous pouvez spécifier les conditions sur les étapes Apply OS Image et Apply Drivers Package. Avec des requêtes WMI avec respectivement Select* from Win32_OperatingSystem where locale = ‘04c0’ and OSArchitecture = ’64-bit’ ou select * from Win32_ComputerSystemProduct where Name = "HP EliteBook 820 G4" par exemple. Il ne vous reste plus que de déployer la séquence de tâches avec l’option Pre-download content for this task sequence.
    • On retrouve deux nouvelles cmdlets PowerShell permettant d’éditer ou de créer l’étape Run Task Sequence : New-CMTSStepRunTaskSequence et Set-CMTSStepRunTaskSequence
    • Microsoft ajoute une nouvelle variable de séquence de tâches SMSTSRebootDelayNext qui doit être utilisée en conjonction avec SMSTSRebootDelay. Elle permet de spécifier un timeout différent pour les redémarrages qui suivent le premier redémarrage dont le timeout est défini par SMSTSRebootDelay.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1904

    • 3/5/2019

    [AIP] Nouvelle version (2.0.779.0) du client Unified Labeling d’Azure Information Protection

    Microsoft a publié une nouvelle version (v2.0.779.0) du client Unified Labeling d’Azure Information Protection. Ce correctif corrige un problème pour résoudre une condition rare où parfois les etiquettes/labels ne sont pas affichés dans Office ou l’explorateur de fichiers.

    Cette première version couvre les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

    Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

    Plus d’informations sur la version du client AIP Unified Labeling

    Télécharger Azure Information Protection unified labeling client