• [Intune] Problème connu entre Windows 10 1809 et Windows Autopilot pour nommer les périphériques

    Microsoft a publié un billet concernant un problème connu avec Windows 10 1809 lors de l’utilisation de Windows Autopilot et de l’option pour nommer les machines selon une convention de nommage.

    Ce paramétrage se situe au niveau du profil de déploiement Windows Autopilot et permet de spécifier un nom allant jusqu’à 15 caractères.

    Si vous utilisez la variable %RAND:x% permettant de créer une valeur aléatoire, vous devez vous assurer que le nom ne fasse pas plus de 14 caractères sinon le nommage ne fonctionnera pas.

    Microsoft travaille sur un correctif.

    Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Known-issue-for-Windows-10-1809-when-using-Account-CSP-for/ba-p/737137

  • [SCCM CB] Fin prochaine du support de Configuration Manager 1802

    System Center Configuration Manager 1802 est sorti il y a 18 mois et cette version atteint sa fin de support pour le Dimanche 22 septembre 2019. Passé cette date, Microsoft ne fournira plus de correctifs de sécurité. Vous devez donc passer vers la dernière version en date.

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates#bkmk_Baselines

  • [WVD] Publication d’un outil graphique de diagnostic de Windows Virtual Desktop

    Microsoft vient de publier un outil graphique de diagnostic pour Windows Virtual Desktop. Ce dernier vient compléter les cmdlets PowerShell qui étaient disponibles mais parfois difficiles à appréhender.

    Cet outil a les capacités suivantes :

    • Consulter les activités de diagnostic (gestion, connexion ou feed) pour un seul utilisateur sur une période d'une semaine.
    • Rassembler des informations sur l'hôte de session pour les activités de connexion à partir de votre workspace Log Analytics.
    • Passer en revue les détails de performance de la machine virtuelle (VM) pour un hôte particulier.
    • Voir quels utilisateurs sont connectés à l'hôte de session.
    • Envoyer un message aux utilisateurs actifs d'un hôte de session spécifique.
    • Déconnectez les utilisateurs d'un hôte de session.

    L’outil requiert les prérequis suivants :

    • Les permissions suivantes :
      • Propriétaire de l’abonnement Azure
      • Permission de créer des ressources dans l’abonnement Azure
      • Permission de créer des applications Azure aD
      • Les droits de Contributeur ou Propriétaire RDS
    • Les modules PowerShell suivants :

    Plus d’information sur le déploiement de l’outil de diagnostic

  • [Intune] Fin de support pour l’application Adobe Acrobat Reader for Intune

    Microsoft a étendu la date de fin de support

    A partir du 1er décembre, l’application mobile Adobe Acrobat Reader for Intune atteindra la fin du support et ne sera plus supportée par les stratégies de protection des applications (APP) de Microsoft Intune. En lieu et place, Microsoft recommande l’utilisation de l’application Acrobat Reader dans les stratégies puisque cette application s’est pleinement intégrée avec le SDK Intune.

    Si vous aviez déjà des stratégies ciblant Adobe Acrobat Reader for Intune, vous remarquerez qu'elles sont maintenant ciblées sur 'Acrobat Reader'. Microsoft a fait ce changement au niveau du backend pour vous. D'ici le 1er décembre 2019, vous ne pourrez plus cibler Adobe Acrobat Reader for Intune, et les utilisateurs finaux ne recevront plus la stratégie de protection des applications pour cette application particulière sur les périphériques.

    Si vous êtes dans ce cas, vous devez vous assurer de ne plus déployer Adobe Acrobat Reader for Intune mais de privilégier Acrobat Reader en lieu et place.

    Plus d’informations sur : https://helpx.adobe.com/acrobat/kb/intune-app-end-of-life.html  

  • [Intune] Adobe Acrobat intègre la protection applicative (MAM/APP) de Microsoft dans ses applications par défaut

    Après le SDK Microsoft Information Protection, Adobe intègre les capacités de protection applicative (MAM/APP) portée par Microsoft Intune directement dans ses applications par défaut. C’est une belle victoire pour Microsoft puisqu’Adobe Reader n’est maintenant gérable qu’avec les stratégies de protection applicative (APP/MAM) de Microsoft Intune.

    L’utilisateur reçoit des stratégies de protection lorsqu’il se connecte avec ses identifiants d’entreprise à Adobe Reader. Pour ce faire, vous devez utiliser les versions :

    Ainsi Adobe va retirer l’application dédiée : Adobe Acrobat Reader for Intune et l’application courante est intégrée nativement à Microsoft Intune.

    Plus d’informations sur : Adobe Acrobat chooses Microsoft 365 for built-in app protection

  • [Intune] Problème connu avec la fonction de renommage de périphérique Windows 10

    Mise à jour Janvier 2020 : Microsoft confirme que les équipes Active Directory et Windows continuent de travailler à la correction du problème.

    Microsoft Intune propose une fonction permettant de renommer les périphériques Windows 10 directement depuis la console d’administration de Microsoft Intune. L’équipe Microsoft Intune travaille sur le problème depuis plusieurs mois pour corriger le problème.

    La fonction peut ne pas être opérationnelle dans l’un des scénarios suivants :

    • Machines jointes à Active Directory
    • Machines en mode Hybrid Azure AD Join
    • Machines jointes à Azure Active Directory avec du Co-Management System Center Configuration Manager

    Lors du renommage, le nom peut ne pas être reflété dans Active Directory rengendrant des problématiques d’ouverture de session ou des erreurs de Single Sign-On.

    La fonction de renommage a été désactivée pour ces scénarios de jointure.

    Note : la fonction est toujours disponible pour des machines jointes à Azure AD et géré par Microsoft Intune uniquement.

    Source : Known issue with “Rename device” setting for Windows 10 devices in the Intune console

  • [Office 365] Reconfigurer le client Office 365 sans changer de versions (Ajout/Suppression de produits, etc.)

    Si vous avez été confronté au déploiement du client Office 365, vous avez peut-être fait face à une limitation qui vient d’être levé. Par exemple, si vous souhaitiez déployer le client Office 365 avec des scénarios comme suit :

    • Ne pas installer certains composants (Skype for Business, Teams, Access) pour éventuellement les installer par la suite sur demande ou parce que vous souhaitez ouvrir ces services
    • Désinstaller certains composants (Skype for Business au profit de Teams)

    Dans ces cas de figure, la configuration du fichier xml (Config.xml) avec les actions adéquates et l’exécution (Setup.exe /configure) avait pour impact de relancer l’installation d’Office 365 ProPlus et de potentiellement mettre à jour la version en cours d’utilisation (par exemple 1803) avec la dernière version disponible (Par exemple 1808).

    Avec la dernière version (16.0.11615.33602) des outils de déploiement Office (ODT), Microsoft a introduit une propriété (MatchInstalled) à utiliser dans les configurations XML pour conserver la version d’origine. Elle doit être utilisée en lieu et place du numéro de version qui pouvait être spécifié.

    Vous devez donc :

    • Utiliser l’Office Deployment Tool 16.0.11615.33602 ou ultérieure
    • Utiliser MatchInstalled avec la propriété Version pour une installation existante. Si une nouvelle installation d’Office est déroulée alors la propriété est ignorée et la détection normale intervient.
    • Si vous n’utilisez pas l’Office CDN comme source d’installation, vous devez avoir les fichiers d’installation correspondant dans le chemin spécifié.

    Par exemple pour installer Project :

    <Configuration>

      <Add Version="MatchInstalled">

       <Product ID="ProjectProRetail">

       <Language ID="MatchInstalled" TargetProduct="All" />

       </Product>

      </Add>

     </Configuration>

     

    Pour installer un pack de langues :

    <Configuration>

      <Add Version="MatchInstalled">

       <Product ID="LanguagePack">

        <Language ID="fr-fr"/>

       </Product>

      </Add>

     </Configuration>

    Voici un article qui explique comment créer des packages le plus dynamiques possibles dans ce scénario : Building dynamic, lean & universal packages for Office 365 ProPlus

    Source : https://techcommunity.microsoft.com/t5/Office-365-Blog/New-feature-Make-changes-to-Office-deployments-without-changing/ba-p/816482

  • [Windows 10] Correctement configurer ses périodes d’ajournement (deferral) pour être supporté sur Windows 10 Pro

    Si vous utilisez Windows Update for Business pour mettre à jour vos machines Windows 10 Pro, il existe une petite subtilité pour ne pas que les machines se retrouvent bloquer sur une version non supportée de Windows 10. En effet, vous devez déterminer le nombre de jours entre la date de publication de la prochaine version et la date de fin de service de la version que vous utilisez actuellement.

    Par exemple pour Windows 10 1709, il y avait 273 jours entre la date de publication de Windows 10 1803 (10 juillet 2018) et la date de fin de support de Windows 10 1709 (9 Avril 2019). Si vous configurez vos stratégies Windows Update for Business au-delà de 274 jours, les machines resteront sur Windows 10 1709 après la date du 9 avril 2019. Microsoft ne supportant plus cette version, les machines ne se verront plus proposer de mises à jour cumulatives de sécurité après cette date.

    Normalement cet écart de jour devrait s’approcher des 365 jours disponibles via les stratégies Windows Update for Business. Néanmoins, comme Microsoft ne s’engage pas sur une date de publication précise pour une version de Windows 10. Il se peut que le scénario se retrouve dans le temps.

    Microsoft recommande de ne pas dépasser 180 jours de période d’ajournement si vous utilisez Windows 10 Pro afin de ne pas se retrouver sans support.

      

  • [Office] Installer un composant exclu initialement lors de l’installation d’Office 365 ProPlus

    Voici un billet très intéressant de Nandan Sheth (MSFT) qui explique comment installer un composant exclu initialement lors de l’installation d’Office 365 ProPlus que vous souhaiteriez proposer à l’utilisateur après coup. On retrouve différents cas :

    • Mettre à disposition Access ; les entreprises ont tendance à l’exclure mais il se peut qu’une petite population souhaite l’utiliser
    • Mettre à disposition Teams ; certaines entreprises ont pu choisir de l’exclure du déploiement car elles n’étaient pas prêtes à son intégration dans le système d’information.
    • Plus rare, mettre à disposition OneDrive sur Windows 7 ; ce dernier ayant été exclu du déploiement initial.

    Normalement, vous auriez reconstruit votre fichier XML et relancez l’installation d’Office 365 ProPlus avec le paramètre /configure. Néanmoins, l’installeur continue d’utiliser une clé de registre qui a été déposé à l’installation. Ceci permet au processus de garder un état équivalent lors des mises à niveau du client Office 365 ProPlus.

    Dans le cas de cette procédure, il suffit de réécrire cette clé de registre avec les applications que vous souhaitez exclure :
    Par exemple pour exclure l’ancien client OneDrive (Groove), Lync et OneDrive (New Generation) :
    reg.exe add HKLM\SOFTWARE\Microsoft\Office\ClickToRun\Configuration /v O365ProPlusRetail.ExcludedApps /d REG_SZ /v groove,lync,onedrive /f

    Notez que si vous utilisez Office 365 Business, vous devez mettre à jour le nom de la valeur en conséquence.

    Je "pense" même (je n’ai pas personnellement testé ce cas) que vous pouvez modifier la clé et à la prochaine mise à jour d’Office 365, le produit apparaîtra sur la machine de l’utilisateur.

    Plus d’informations sur : Office 365 ProPlus - How To: Add previously excluded components

  • [Windows 10 1903+] Mais où sont passées les versions Semi Annual Channel et Semi Annual Channel Targeted ? Planifiez ce changement !

    Certains clients reviennent vers moi concernant les canaux de déploiement de Windows 10. Or depuis Windows 10 1903, Microsoft a supprimé la notion de Semi-Annual Channel Targeted (SAC-T ou anciennement Current Branch) ainsi que Semi-Annual Channel (SAC ou anciennement Current Branch for Business). Cette suppression fait suite à plusieurs erreurs de communication qui ont mené à une incompréhension du concept par les entreprises. En réalité, ces deux éléments ne représentaient que « l’état de maturité » d’une version de Windows 10. Ce n’était en aucun cas deux versions distincts.

    Ainsi cette suppression a un impact sur vos outils de déploiement et vos habitudes.

    Si vous gérez vos mises à niveau de Windows 10 avec System Center Configuration Manager ou Windows Server Update Services (WSUS), alors vous ne verrez plus qu’une seule mise à jour de fonctionnalités publiée. Cette mise à jour de fonctionnalité sera republiée au fur et à mesure de la maturité de la version. Les plans de maintenance doivent être mis à jour en conséquence.

    Si vous utilisez Windows Update for Business (WUfB) pour mettre à niveau vos machines Windows 10, vous aviez auparavant deux paramétrages pour gérer vos déploiements :

    • La branche de déploiement (Semi Annual Channel Targeted ou Semi Annual Channel)
    • La période d’ajournement (Deferral period) spécifiant le nombre de jours à attendre après que la date de publication correspondante à la branche

    Avec Windows 10 1903, la notion de branches ayant été supprimée, l’administrateur n’a qu’à configurer toutes les machines avec la branche Semi- Annual Channel et le nombre de jours correspondant à la période d’ajournement souhaité. La période d’ajournement sera toujours basée sur la date de publication de la version de Windows 10 concernée. Ainsi, si vous avez plusieurs vagues de déploiement, vous n’avez qu’à gérer ceci en fonction de la période d’ajournement.

    Ces changements vous demandent donc d’adapter vos paramètres Windows Update for Business et notamment la période d’ajournement (dans Microsoft Intune par exemple)

  • [Intune] Créer un rôle spécifique pour la gestion de Windows Autopilot

    Michael NIehaus a publié un billet pour décrire les permissions nécessaires à la création d’un rôle RBAC dans Microsoft Intune pour la gestion de Windows Autopilot.

    Voici les permissions :

    • Enrollment programs : Create device, delete device, read device, sync device, assign profile, create profile, delete profile, read profile, update profile.
    • Audit Data : Read
    • Organization : Read
  • Qu’est ce qui va changer avec le processus de mise à niveau vers Windows 10 1909 ?

    Microsoft va introduire de nouveaux changements apportés notamment par l’Unified Update Platform (UUP). En effet, la mise à niveau de Windows 10 1903 (les versions précédentes n’utiliseront pas seront pas concernées par cette capacité) vers Windows 1909 utilisera l’Unified Update Platform pour se mettre à niveau. Ainsi, la mise à niveau sera plus rapide et plus légère à télécharger.

    Microsoft a aussi annoncé qu’un seul redémarrage ne sera nécessaire quelque soit la version de départ pour mettre à jour la machine version Windows 10 1909.

    Outre ce changement, les versions XXH2 ou XX09, jouissent d’un support de 30 mois pour les organisations ayant déployées Windows 10 Enterprise ou Education. Cette version introduira aussi un ensemble limité de fonctionnalité pour améliorer les performances, la qualité générale et les fonctionnalités d’entreprise.

    Enfin, Microsoft va mettre en place un nouveau mécanisme de déploiement graduel. Les tests ont déjà commencé pour un sous-ensemble d'Insiders (environ 10%) dans la catégorie Release Preview. S'ils vont dans Paramètres > Mise à jour & Sécurité > Mise à jour Windows, ils verront qu'une mise à jour Windows 10, version 1909 est disponible. Ils pourront choisir de télécharger et d'installer cette mise à jour sur leur PC. Une fois la mise à jour terminée, ils seront sur 19H2 Build 18363.327.
    Microsoft teste donc le déploiement de Windows 10 19H2 en utilisant le même numéro de build de base que la mise à jour de mai 2019, mais avec un numéro de révision augmenté comme celui que Microsoft utilise normalement pour une mise à jour cumulative. Cependant, pour désigner 19H2 comme une mise à jour de fonctionnalité, Microsoft est en train de réviser le numéro de version de base d'une version complète.

  • [Intune] Problème connu sur les profils de configuration Firevault pour macOS

    L’équipe du support Microsoft Intune a publié un billet pour parler d’un problème avec le paramétrage qui configure Firevault sur macOS avec Microsoft Intune. Ainsi lorsque le paramètre Disable pompt at sign out est à Not Configured, le paramètre Number of times allowed to bypass est à Not Configured aussi

    Quand vous Disable pompt at sign out est à Enable, le paramètre Number of times allowed to bypass doit être configuré avec une valeur (et non pas Not Configured).

    Ainsi, si vous avez configuré Disable pompt at sign out est à Enable et le paramètre Number of times allowed to bypass à Not Configured, alors le profil ne sera pas déployé et renvoie une erreur.

    Plus d’informations sur : Known issue for FileVault configuration profiles on macOS devices

  • [WSUS] Echec de synchronisation avec l’erreur SoapException

    Depuis début juillet, vous avez peut-être victime de problèmes de synchronisation de Windows Server Update Services (WSUS) ; ce qui a pu aussi impacter votre infrastructure System Center Configuration Manager.

    Vous recevez le message suivant :

    SoapException: Fault occurred
    at System.Web.Services.Protocols.SoapHttpClientProtocol.ReadResponse(SoapClientMessage message, WebResponse response, Stream responseStream, Boolean asyncCall)
       at System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
       at Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetUpdateData(Cookie cookie, UpdateIdentity[] updateIds)
       at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.WebserviceGetUpdateData(UpdateIdentity[] updateIds, List`1 allMetadata, List`1 allFileUrls, Boolean isForConfig)
       at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.GetUpdateDataInChunksAndImport(List`1 neededUpdates, List`1 allMetadata, List`1 allFileUrls, Boolean isConfigData)
       at Microsoft.UpdateServices.ServerSync.Cat

    Sur le serveur WSUS, vous obtenez les erreurs suivantes dans le fichier de journalisation %ProgramFiles%\Update Services\LogFiles\SoftwareDistribution.log

    <Date> <Time> Error WsusService.25 SoapUtilities.LogException USS ThrowException: Actor = https://fe2.update.microsoft.com/v6/ServerSyncWebService/ServerSyncWebService.asmx, Method = "http://www.microsoft.com/SoftwareDistribution/GetUpdateData", ID=<ID>, ErrorCode=InternalServerError, Message=
       at Microsoft.UpdateServices.Internal.SoapUtilities.LogException(SoapException e)
       at

     

    C’est parce que depuis le 8 juillet 2019, Microsoft a retiré le point de terminaison de synchronisation https://fe2.update.microsoft.com/v6.

    Votre serveur aurait dû se reconfigurer seul mais si vous n’aviez pas initier de synchronisation depuis un temps conséquent, le point de terminaison n’étant plus en ligne, la configuration ne peut pas avoir lieu.

    Pour corriger le problème, vous devez changer et utiliser le nouveau point de terminaison : https://sws.update.microsoft.com.

    Pour ce faire, vous devez :

    1. Fermer toutes les consoles WSUS
    2. Exécuter le script suivant avec une invite PowerShell élevée avec les droits d’administrateur sur le serveur WSUS le plus haut de la hiérarchie :

    $server = Get-WsusServer
    $config = $server.GetConfiguration()
    # Check current settings before you change them 
    $config.MUUrl
    $config.RedirectorChangeNumber
    # Update the settings if MUUrl is https://fe2.update.microsoft.com/v6
    $config.MUUrl = "https://sws.update.microsoft.com"
    $config.RedirectorChangeNumber = 4002
    $config.Save()
    iisreset
    Restart-Service *Wsus* -v

    Note :  Un script diffèrent est nécessaire si vous utilisez Windows Server 2008 SP2 ou R2 (voir l’article KB).

    1. Vérifiez la synchronisation WSUS.

    Plus d’informations sur la KB4482416 WSUS synchronization fails with SoapException

  • [SCCM CB] La liste complète des actions clientes pouvant être initiées

    Vous êtes beaucoup à avoir créé des scripts qui permettent d’exécuter des actions sur les clients System Center Configuration Manager. Ce peut être pour forcer l’inventaire, la récupération de stratégies ou l’évaluation de la conformité. Les outils Configuration Manager inclut d’ailleurs Send Schedule Tool qui permet d’initier ces actions à distance.

    Microsoft a republié la liste complète des actions :

    Identifiant

    Description

    {00000000-0000-0000-0000-000000000001}

    Hardware Inventory

    {00000000-0000-0000-0000-000000000002}

    Software Inventory

    {00000000-0000-0000-0000-000000000003}

    Discovery Inventory

    {00000000-0000-0000-0000-000000000010}

    File Collection

    {00000000-0000-0000-0000-000000000011}

    IDMIF Collection

    {00000000-0000-0000-0000-000000000021}

    Request Machine Assignments

    {00000000-0000-0000-0000-000000000022}

    Evaluate Machine Policies

    {00000000-0000-0000-0000-000000000023}

    Refresh Default MP Task

    {00000000-0000-0000-0000-000000000024}

    LS (Location Service) Refresh Locations Task

    {00000000-0000-0000-0000-000000000025}

    LS Timeout Refresh Task

    {00000000-0000-0000-0000-000000000026}

    Policy Agent Request Assignment (User)

    {00000000-0000-0000-0000-000000000027}

    Policy Agent Evaluate Assignment (User)

    {00000000-0000-0000-0000-000000000031}

    Software Metering Generating Usage Report

    {00000000-0000-0000-0000-000000000032}

    Source Update Message

    {00000000-0000-0000-0000-000000000037}

    Clearing proxy settings cache

    {00000000-0000-0000-0000-000000000040}

    Machine Policy Agent Cleanup

    {00000000-0000-0000-0000-000000000041}

    User Policy Agent Cleanup

    {00000000-0000-0000-0000-000000000042}

    Policy Agent Validate Machine Policy / Assignment

    {00000000-0000-0000-0000-000000000043}

    Policy Agent Validate User Policy / Assignment

    {00000000-0000-0000-0000-000000000051}

    Retrying/Refreshing certificates in AD on MP

    {00000000-0000-0000-0000-000000000061}

    Peer DP Status reporting

    {00000000-0000-0000-0000-000000000062}

    Peer DP Pending package check schedule

    {00000000-0000-0000-0000-000000000063}

    SUM Updates install schedule

    {00000000-0000-0000-0000-000000000071}

    NAP Action

    {00000000-0000-0000-0000-000000000101}

    Hardware Inventory Collection Cycle

    {00000000-0000-0000-0000-000000000102}

    Software Inventory Collection Cycle

    {00000000-0000-0000-0000-000000000103}

    Discovery Data Collection Cycle

    {00000000-0000-0000-0000-000000000104}

    File Collection Cycle

    {00000000-0000-0000-0000-000000000105}

    IDMIF Collection Cycle

    {00000000-0000-0000-0000-000000000106}

    Software Metering Usage Report Cycle

    {00000000-0000-0000-0000-000000000107}

    Windows Installer Source List Update Cycle

    {00000000-0000-0000-0000-000000000108}

    Software Updates Policy Action Software Updates Assignments Evaluation Cycle

    {00000000-0000-0000-0000-000000000109}

    PDP Maintenance Policy Branch Distribution Point Maintenance Task

    {00000000-0000-0000-0000-000000000110}

    DCM policy

    {00000000-0000-0000-0000-000000000111}

    Send Unsent State Message

    {00000000-0000-0000-0000-000000000112}

    State System policy cache cleanout

    {00000000-0000-0000-0000-000000000113}

    Update source policy

    {00000000-0000-0000-0000-000000000114}

    Update Store Policy

    {00000000-0000-0000-0000-000000000115}

    State system policy bulk send high

    {00000000-0000-0000-0000-000000000116}

    State system policy bulk send low

    {00000000-0000-0000-0000-000000000120}

    AMT Status Check Policy

    {00000000-0000-0000-0000-000000000121}

    Application manager policy action

    {00000000-0000-0000-0000-000000000122}

    Application manager user policy action

    {00000000-0000-0000-0000-000000000123}

    Application manager global evaluation action

    {00000000-0000-0000-0000-000000000131}

    Power management start summarizer

    {00000000-0000-0000-0000-000000000221}

    Endpoint deployment reevaluate

    {00000000-0000-0000-0000-000000000222}

    Endpoint AM policy reevaluate

    {00000000-0000-0000-0000-000000000223}

    External event detection

     

    Cette liste est présente sur l’article : Send Schedule Tool

  • [Intune] Nouveau prérequis pour la distribution d’applications métiers sur macOS 10.15

    Apple a changé sa politique concernant les applications métiers sur en demandant que tous les logiciels soient certifiés conformes (notarized) pour s’exécuter sur macOS 10.15. Ceci permet d'identifier et de bloquer les logiciels malveillants avant leur distribution. La certification donne aux utilisateurs la garantie que le logiciel que vous distribuez a été vérifié par Apple à la recherche de composants malveillants. Ce service de certification Apple utilise des contrôles de sécurité automatisés pour rechercher les contenus malveillants dans les logiciels signés par le développeur et renvoie le résultat de la certification dans les 15 minutes.

    Par conséquent, si vous distribuez et gérer des applications macOS avec Microsoft Intune, vous allez devoir les faire certifier pour qu’elles s’exécutent correctement. Si vous déployez des applications métiers sans les avoir certifiées, elles risquent de ne pas se lancer et de ne pas fonctionner correctement et renvoyer un message comme

    « Application1 » can’t be opened because Apple cannot check it for malicious software. The software needs to be updated. Contact the developer for more information”

    Vous devez donc faire une revue de vos applications métiers et s’assurer qu’elles sont certifiées avant de pouvoir les distribuer sur macOS 10.15 quand il sera disponible mi-septembre :

    • Les applications macOS non certifiées distribuées au périphérique avant la mise à jour vers macOS 10.15 continueront à être lancées comme auparavant.
    • Si vous avez des applications macOS qui ont été signées ou distribuées avant le 1er juin 2019, elles peuvent être soumises pour certification sans modification.
    • Les applications macOS qui ont été signées après le 1er juin 2019 auront des exigences supplémentaires pour la certification.

    Pour vérifier si l’application a été certifiée, vous pouvez lancer la commande spctl -a -v exampleapp.app.
    Pour suivre la procédure de certification, rendez-vous sur le site d’Apple.

    Plus d’informations sur : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-Notarizing-your-macOS-apps-to-prepare-for-macOS/ba-p/808579

  • [Intune] Les profils Apple DEP refonctionne comme attendus

    L’équipe du support Microsoft Intune a publié un billet pour signaler la correction d’un bug dans le déploiement Apple DEP avec Microsoft Intune. La correction du bug est faite mais n’est pas rétroactive si vous rentrez dans le scénario suivant :

    • Vous avez créé un profil DEP à partir du 22 juillet 2019 jusqu’au 28 août
    • Tous les champs obligatoires n'ont pas été remplis. Cependant, à cause d'un bug dans l’interface utilisateur, vous n'avez pas reçu de message d'erreur vous informant que les champs obligatoires n'étaient pas remplis.
    • Le service s'est synchronisé avec Apple, et DEP est tombé en erreur sans donner spécifiquement la raison.
    • Si un nouveau déploiement DEP ne fonctionne pas comme prévu et que vous avez créé le profil après 7/22, il se peut que les champs requis soit manquant et que votre profil ne puisse se synchroniser avec Apple.

    Microsoft recommande dans ce cas de figure de recréer un profil DEP afin que vous remplissiez tous les champs nécessaires.

    Source : Support Tip: Resolved – New Apple DEP profiles now working as expected

  • [SCCM] Mise à jour de la baseline permettant de vérifier les failles d’exécutions spéculatives pour ajouter les vulnérabilités CVE 2018-12126, 2018-12130, 2018-12127, 2019-11091

    Microsoft a mis à jour une nouvelle fois la baseline permettant de vérifier l’état de conformité des machines vis-à-vis des vulnérabilités sur les exécutions spéculatives telles que Spectre et Meltdown (Speculation Execution Side-Channel) avec System Center Configuration Manager. Cette version ajoute la vérification de la vulnérabilité : CVEs 2018-12126, 2018-12130, 2018-12127, 2019-11091.

    La baseline vérifie si la protection est activée pour les quatre vulnérabilités suivantes :

    La baseline requiert PowerShell 3.0 pour fonctionner.

    Télécharger Speculation Execution Side-Channel Vulnerabilities Configuration Baseline

    Source : https://techcommunity.microsoft.com/t5/Configuration-Manager-Blog/Speculative-Execution-Configuration-Baseline-updated-for/ba-p/672933

  • [Intune] Fin de support du mode d’administration historique Android (Device Administrator) et changement Android 10

    Comme vous le savez, Google a mis en place de nouvelles capacités d’administration au travers d’Android Enterprise. Par conséquent, Google a annoncé la fin de support du mode d’administration historique Legacy aussi appelé Device Administrator pour les périphériques Android 10 et plus (Android Q).

    Pour Microsoft Intune, Cela signifie les changements suivants :

    • Intune ne supportera qu’Android Legacy (Device Administrator) pour gérer les périphériques Android 10 et versions ultérieures jusqu'à l'été 2020.
    • Les périphériques gérés par Android Legacy (Device Administrator) qui fonctionnent sous Android 10 ou plus après l'été 2020 ne pourront plus être gérés.
    • Les périphériques gérés par Android Legacy (Device Administrator) qui restent sur des versions Android inférieures à Android 10 ne seront pas affectés et peuvent continuer à être gérés en mode Device Administrator.
    • Pour tous les périphériques Android 10 et plus, Google a limité la capacité des agents MDM comme le portail d’entreprise (Company Portal) à accéder aux informations d'identification des périphériques. Ceci a un impact sur les fonctionnalités suivantes d'Intune après une mise à jour de l'appareil vers Android 10 ou ultérieur :
      • Le contrôle d'accès réseau (Network Access Control) pour VPN ne fonctionnera plus.
      • L'identification des dispositifs comme appartenant à l'entreprise avec IMEI ou numéro de série ne marquera pas automatiquement les périphériques comme appartenant à l'entreprise.
      • L'IMEI et le numéro de série ne seront plus visibles pour les administrateurs informatiques dans Intune.

    D’une manière générale, les recommandations suivantes peuvent être appliquées :

    • Ne pas enregistrer de périphériques dans le mode de gestion Android Legacy (Device Administrator)
    • Si un périphérique doit recevoir une mise à jour vers Android 10, Microsoft recommande la migration vers la gestion par Android Enterprise.

    Concernant le support d'Android 10, Microsoft donne les détails suivants :

    • Microsoft recommande la mise à jour des dernières versions du portail d'entreprise, Microsoft Edge, Managed Browser ou n'importe quelles autres applications supportant les stratégies de protection applicatives (APP)
    • L'intégration entre Citrix Netscalar et le Managed Browser ne fonctionne plus sur Android 10. Microsoft travaille avec Citrix pour mettre à jour le SDK Netscalar.
    • L'équipe produit Intune publiera une mise à jour de l'outil d'encapuslation (Wrapping Tool) au 3ème trimestre 2019 que toutes les applications métiers pourront utiliser pour fonctionner avec Android Q.  

    Plus d'informations sur : Intune Support for Android Q | Android 10

  • [MD ATP] Nouveautés sur la fonctionnalité Advanced Hunting (Evènements USB, actions au niveau de la machine, etc.)

    L’équipe Microsoft Defender Advanced Threat Protection vient d’annoncer des nouveautés concernant la fonctionnalité Advanced Hunting permettant de faire de l’analyse avancée pour d’éventuelles attaques :

    • Ajout de nouveaux types d’actions dans la table MiscEvent permettant de trouver le montage/démontage de périphériques USB et l’attribution de lettres de lecteur (UsbDriveMount, UsbDriveUnmount, UsbDriveDriveLetterChanged)
    • Ajout de nouvelles réponses automatisées au niveau de la machine basées sur des détections personnalisées. Ceci inclut : Isoler la machine, collecter un package d’investigation, exécuter une analyse antivirale, Initier une investigation.

    En outre au cours des prochaines semaines, Microsoft prévoit de renommer certaines tables et colonnes, ce qui permettra d'élargir la convention de dénomination et d'accueillir des événements provenant d'autres sources.

    Ancien nom de la table

    Nouveau nom de la table

    MachineInfo

    DeviceInfo

    MachineNetworkInfo

    DeviceNetworkInfo

    ProcessCreationEvents

    DeviceProcessEvents

    NetworkCommunicationEvents

    DeviceNetworkEvents

    FileCreationEvents

    DeviceFileEvents

    RegistryEvents

    DeviceRegistryEvents

    LogonEvents

    DeviceLogonEvents

    ImageLoadEvents

    DeviceImageLoadEvents

    MiscEvents

    DeviceEvents

     

    Le billet de l’équipe montre un exemple d’intégration : Advanced hunting updates: USB events, machine-level actions, and schema changes

  • [Office 365] Convertissez dynamiquement les versions MSI de Visio et Projet vers la version Click-to-Run (C2R)

    Microsoft vient d’annoncer avec la dernière version des outils de déploiement d’Office, la capacité de convertir dynamiquement les versions MSI de Visio et Projet vers la version Click-to-Run (C2R).  Il y a plusieurs mois, Microsoft avait déjà implémenté la capacité de supprimer toutes les anciennes versions MSI d’Office lors de l’installation d’Office 365 ProPlus ou une version Click-to-Run. Le problème est que cette option nettoyait totalement la machine en retirant aussi Visio et Projet.

    Dans la majorité des cas, l’entreprise abordait deux stratégies :

    • Elle gérait les utilisateurs Visio et Projet séparément lors du rollout du client Office 365 ProPlus et créait plusieurs versions XML de déploiement en fonction des configurations. Ceci est fortement chronophage.
    • Elle supprimait Visio et Projet de toutes les machines et attendait que les utilisateurs appel le support pour effectuer une réinstallation.

    La méthode proposée par Microsoft permet de définir des règles de conversion pour des produits MSI que vous transformez vers les versions Click-to-Run/Online (par exemple Visio Pro Online ou Project Pro Online).

    Pour cela, vous devez :

    • Utiliser la version 16.0.11901.20022 ou ultérieure d’Office Deployment Tool/Office Customization Tool
    • Utiliser des produits MSI issus d’Office 2010, 2013 et 2016.
    • Disposer des licences Visio Online et Project Online pour les utilisateurs concernés

    Voici par exemple un fichier de configuration qui permet de :

    • Désinstaller toute la suite Office incluant Visio Pro (2010, 2013, ou 2016) et Projet Pro (2010, 2013 ou 2016)
    • Installer Office 365 ProPlus (en excluant Groove et OneNote)
    • Installer Visio Pro Online et Projet Pro Online

    <Configuration>

                   <Add Channel="Monthly" OfficeClientEdition="64">

     

                                  <Product ID="O365ProPlusRetail">

                                                 <Language ID="en-us"/>

                            <Language ID="MatchPreviousMSI"/>

                                                 <ExcludeApp ID="Groove"/>

                                                 <ExcludeApp ID="OneNote"/>

                   </Product>

     

                                  <Product ID="VisioProRetail" MSICondition="VisPro,VisProR">

                                                 <Language ID="en-us"/>

                            <Language ID="MatchPreviousMSI"/>

                                                 <ExcludeApp ID="Groove"/>

                                  </Product>

     

                                  <Product ID="ProjectProRetail" MSICondition="PrjPro,PrjProR">

                                                 <Language ID="en-us"/>

                            <Language ID="MatchPreviousMSI"/>

                                                 <ExcludeApp ID="Groove"/>

                                  </Product>

     

                   </Add>

                   <RemoveMSI/>

    </Configuration>

    Note : Les sections en gras correspondent aux propriétés et capacités ajoutées

     

    Plus d’informations sur l’article :  Dynamically convert MSI versions of Project and Visio to Click-to-Run

    Télécharger Office Deployment Tool

  • [Azure AD] Un livre blanc pour implémenter une approche Zero Trust

    Microsoft a publié un très bon livre blanc qui permet de résumer l’utilisation d’Azure Active Directory avec une approche Zero Trust. Le document aborde la définition de l’approche Zero Trust et de ses principes. Il décrit comment ces principes doivent être appliqués aux ordinateurs de l’environnement. Il permet d’expliquer comment transformer ces principes en actions concrètes avec Azure AD et les produits Microsoft.

    Le document aborde de nombreuses technologies : L’accès conditionnel, le blocage des protocoles hérités, l’authentification à facteurs multiples, des solutions de sécurité par apprentissage (Azure ATP, Microsoft Defender ATP, etc.), Windows Hello for Business, etc.

    Lire Implementing a Zero Trust approach with Azure Active Directory

  • Clap de fin pour Microsoft Professional Program

    Il y a 3 ans, Microsoft lançait Microsoft Professional Program avec différents éléments dont du contenu technique de formation, des diplômes et bien entendu les certifications que nous connaissons bien. Avec la refonte du programme de certification, Microsoft arrête ce programme pour lancer Microsoft Learn. Celui-ci inclut les nouvelles certifications basées su des rôles mais aussi des chemins d’apprentissage interactifs.

    Plus d’informations sur : Microsoft Professional Program is retiring. Explore our new role-based training and certifications.

  • [SQL Server] Publication du package autonome pour SQL Server 2017 Reporting Services

    Microsoft a publié le composant Reporting Services (version 14.0.600.1274) de SQL Server 2017 sous la forme d’un package autonome. Pour rappel, Reporting Services est un serveur de rendu de rapports offrant :

    • Des rapports paginés optimisés pour la génération et l'impression de documents.
    • Des rapports mobiles optimisés pour les appareils mobiles, avec une mise en page réactive qui s'adapte aux différents appareils et aux différentes façons dont vous les tenez.
    • Un portail Web moderne que vous pouvez consulter dans n'importe quel navigateur Web moderne.

    Télécharger Microsoft SQL Server 2017 Reporting Services

  • [Intune] Vérifiez les stratégies si vous utilisez Microsoft Intune for Education

    Microsoft a publié un avis dans le centre de messages du portail Office concernant Microsoft Intune for Education. Si vous utilisez Microsoft Intune for Education, Microsoft recommande de revoir les stratégies créées depuis Mars 2019 car Microsoft a modifié le workflow de création des stratégies et il se peut que les administrateurs aient par inadvertance déployé des stratégies de configuration ou de protection des applications sur tous les utilisateurs.

    Pour en apprendre plus : Review your Endpoint Protection, Device Policies, and Application Policies for Intune for EDU