L’actualité concernant la partie Modern Workplace est très riche ! Il est parfois difficile de tout s’approprié. Cet article résume les différentes annonces :

Microsoft 365

• Disponibilité prochaine à tous les clients des sites Microsoft 365 Security Center et Microsoft 365 Compliance Center. Ces derniers ne seront plus que reservés qu’aux clients Microsoft 365 E3 et E5.
• Microsoft introduit Microsoft Compliance Score pour simplifier et automatiser les évaluations des risques et fournir des actions recommandées pour aider à gérer les risques.
• Les utilisateurs actuels de Compliance Manager ou du centre de conformité Microsoft 365 qui ont des rôles explicites auront accès à la fois à l'expérience actuelle de Compliance Manager et à l'expérience à venir de Microsoft Compliance Score. Les administrateurs devront attribuer un rôle explicite aux utilisateurs qui n'ont actuellement qu'un accès implicite afin d'assurer leur accès ininterrompu aux outils de conformité.

Enterprise Mobility + Security

Azure Active Directory

• Les nouveautés d’Azure Active Directory en Septembre 2019

Microsoft Intune

• Les nouveautés de mi-septembre 2019
• Les nouveautés de fin septembre 2019

Azure Information Protection

• Nouvelle version 2.0.12 de l’application Azure Information Protection sur iOS comprenant des corrections de bugs et la mise à jour du SDK intune avec la version 8.1.1.
• Mise à jour de la documentation avec les éléments suivants :
  • Mise à jour de la section Client devices pour inclure Windows Server 2019 en tant que système d'exploitation pris en charge, avec la clarification que pour les versions de Windows Server prises en charge, Server Core et Nano Server ne sont pris en charge pour aucune fonctionnalité Azure Information Protection.
  • Mise à jour de la version minimale supportée d'iOS avec la version 11.0.
  • Quickstart: Find what sensitive information you have in files stored on-premises : Mise à jour pour inclure la version de prévisualisation du scanner à partir du client d'étiquetage unifié.
  • Central reporting for Azure Information Protection : Mis à jour pour préciser que la case à cocher Enable deeper analytics into your sensitive data s'applique uniquement au client classique.
  • Deploying the Azure Information Protection scanner to automatically classify and protect files : Mise à jour complète pour inclure la Preview du scanneur à partir du client d'étiquetage unifié, ainsi que les nouvelles fonctionnalités et la configuration du scanneur.
  • The client side of Azure Information Protection : Mise à jour pour incorporer de nouvelles fonctions et fonctionnalités pour la nouvelle version Preview du client Unified Labeling.
  • Azure Information Protection unified labeling client - Version release history and support policy : Mis à jour pour la nouvelle Preview, qui inclut tous les détails de ce qui est pris en charge pour la Preview du scanner, et d'autres changements pour le client.
  • Azure Information Protection unified labeling client administrator guide: Mise à jour complète pour le scanneur, y compris les instructions si vous souhaitez mettre à niveau un déploiement existant du scanneur à partir du client classique. En outre, la section Réinitialiser les paramètres est mise à jour pour les fichiers qui sont supprimés lorsque vous sélectionnez cette action dans le client.
  • Admin Guide: Using PowerShell with the Azure Information Protection unified client : Nouvelle procédure pour la Preview du client Unfiied Labeling (et scanner) pour créer une application enregistrée dans Azure

Cloud App Security

• Preview d’une nouvelle détection vous alerte lorsqu'un rapport Power BI potentiellement sensible est partagé de manière suspecte en dehors de l’entreprise.
• Cloud App Security supporte la nouvelle API System Log publiée par Okta.
• Cloud App Security audite toutes les activités d'autorisation d'OAuth afin de vous fournir une surveillance et une investigation complètes des activités réalisées. Vous pouvez désormais exporter les détails des utilisateurs qui ont autorisé une application OAuth spécifique, vous fournissant ainsi des informations supplémentaires sur les utilisateurs, que vous pouvez ensuite utiliser pour une analyse plus approfondie.
• Preview du nouveau connecteur pour Workday afin de superviser les activités et protéger les utilisateurs et les données.
• On retrouve une évaluation granulaire du facteur de risque de la politique de mots de passe.
• Vous avez maintenant la possibilité de personnaliser le nom du rapport (Cloud Discovery executive report) avant de le générer.
• Vous pouvez désormais exporter un rapport d'aperçu des stratégies affichant des indicateurs d'alertes agrégés par stratégie pour vous aider à surveiller, comprendre et personnaliser vos stratégies afin de mieux protéger votre entreprise.

Azure ATP

• Les capteurs Azure ATP sont maintenant capables de lire et d'enrichir automatiquement les activités d'authentification NTLM avec les données du serveur auquel vous accédez lorsque l'audit NTLM est activé et que Windows Event 8004 est activé. Azure ATP analyse l'événement Windows Event 8004 pour les authentifications NTLM afin d'enrichir les données d'authentification NTLM utilisées pour l'analyse des menaces et les alertes ATP Azure. Cette capacité fournit les activités d'accès aux ressources via les données NTLM ainsi que des activités de connexion enrichies en cas d'échec, y compris l'ordinateur de destination auquel l'utilisateur a tenté mais n'a pas réussi à accéder.
• Les versions 2.94, 2.95, 2.96, et 2.97 incluent des améliorations et des corrections de bugs pour l'infrastructure interne des capteurs.

Microsoft Defender ATP

• Microsoft a ajouté en Public Preview le support des IOCs (Indicateurs de compromission) personnalisés pour les URLs, les adresses IP et les domaines par Microsoft Defender ATP. La fonctionnalité utilise Windows Defender Exploit Guard Network Protection pour bloquer les URLs, adresses IP et domaines définis.
• Disponibilité Générale de Live Response permettant de réaliser des actions à distance via un accès en terminal sur la machine. Ceci vous permet de réaliser des opérations d’investigation.
• Microsoft a mis à jour les alertes pour afficher les informations sur les techniques MITRE ATT&CK avec notamment l’identifiant associé.
• Preview de nouveaux rapports permettant de suivre la protection web avec les détections à travers le temps, le résumé de la protection contre les menaces web.
• Public Preview d’API Explorer, un outil qui permet d’explorer les différentes APIs Microsoft Defender ATP de manière interactive.
• Public Preview des applications connectées pour voir les applications Azure Active Directory qui s’intègrent à Microsoft Defender ATP (Power BI, Microsoft Flow, applications personnalisés et tierces, etc.)
• Disponibilité Générale du support de l’agent EDR Microsoft Defender ATP pour Windows Server 2008 R2

Office 365 et Office

• Pour rappel, Microsoft retire les protocoles hérités dans Exchange Online en Octobre 2020. Par la même occasion, ce sont les connexions clientes d’Office 2013 qui ne seront plus supportées. Ceci inclut les connexions aux services Exchange Online, SharePoint Online, et OneDrive for Business.
• Microsoft va intégrer nativement les labels de sensibilité d’Azure Information Protection dans les applications Office 365 ProPlus. Cette fonctionnalité sera disponible dans Office 365 Monthly Channel (1909). Pour les entreprises qui ont défini des labels de sensibilité et des stratégies de protection dans le centre de conformité Microsoft 365 : Un nouveau bouton Sensibilité apparaîtra dans le ruban avec des options de labels de sensibilité. Les stratégies définies par l'administrateur ou les modèles RMS ne seront pas répertoriés sur le bouton Chiffrer existant. Le bouton Chiffrer ne peut inclure que Chiffrer avec S/MIME, Chiffrer uniquement et Ne pas transférer. Pour les clients exécutant le module d'extension client Azure Information Protection, il continuera de fonctionner à la place de la fonctionnalité intégrée. La fonction Sensibilité sera automatiquement désactivée. Les administrateurs peuvent également choisir de bloquer l'add-in client Azure Information Protection par stratégie de groupe ou peuvent fournir des instructions directement à Office pour les utilisateurs Windows afin de désinstaller l'add-in. Cela affecte Excel, Outlook, PowerPoint et Word en même temps.
• Microsoft va retirer l’Upload Center d’Office à partir d’octobre 2019. Les utilisateurs ne pourront plus trouver les fichiers qui n'ont pas été sauvegardés avec succès dans le centre de téléchargement lorsque cette modification sera implémentée. Microsoft recommande plutôt l'utilisation de l'expérience Files Needing Attention dans Fichier > Ouvrir.
• Tout comme cela a été fait pour Windows et macOS, Microsoft va déployer les contrôles des expériences connectés et de confidentialité aux applications Office sur iOS en octobre.
• Office sur Windows va intégrer de nouveaux modèles 3D d’apprentissage à destination du monde de l’éducation.
• Concernant OneNote, on retrouve les nouveautés suivantes :
  • Les notes récentes (Sticky Notes) sont disponibles sur Mac et iPad.
  • L’application OneNote pour mac supporte le mode sombre (Dark mode)
• Concernant PowerPoint on the web, on retrouve :
  • Il est possible de générer un lien vers une diapositive spécifique sur PowerPoint sur le Web.
  • Public Preview de Presenter Coach permettant d’utiliser la puissance de l'intelligence artificielle (IA) pour donner aux utilisateurs des retours en temps réel à l'écran afin d'améliorer leurs aptitudes à parler en public.
• Concernant Outlook on the Web, Microsoft introduit les changements suivants :
  • Déploiement ciblé puis généralisé de Meeting Insights afin de faciliter la préparation des réunions. Lorsque les utilisateurs cliquent sur un événement de réunion dans leur Outlook sur le Web, Outlook leur proposera du contenu pertinent (comme des e-mails et des fichiers). Le contenu est adapté à chaque utilisateur et les utilisateurs ne verront que le contenu qu'ils sont autorisés à voir. Par conséquent, les participants à la réunion peuvent ne pas voir le même contenu suggéré.
  • PowerPoint sur le Web permettra l’utilisation de la fonction dessin.
  • Lorsque les utilisateurs créent des e-mails dans Outlook sur le Web, ils peuvent appliquer manuellement des labels de sensibilité Microsoft Information Protection. Le déploiement graduel est prévu jusqu’à fin octobre.
  • Microsoft a annoncé l’ajout supplémentaire de plusieurs types de fichiers bloqués sur Outlook sur le Web : ".py", ".pyc", ".pyo", ".pyw", ".pyz", ".pyzw", ".ps1", ".ps1xml", ".ps2", ".ps2xml", ".psc1", ".psc2", ".psd1", ".psdm1", ".psd1", ".psdm1", ".cer", ".crt", ".der", ".jar", ".jnlp", ".appcontent-ms", ".settingcontent-ms", ".cnt", ".hpj", ".website", ".webpnp", ".mcf", ".printerexport", ".pl", ".theme", ".vbp", ".xbap", ".xll", ".xnk", ".msu", ".diagcab", ".grp". Si vous souhaitez ne pas être impacté par ce changement, vous pouvez ajouter les extensions adéquates à la liste des types de fichiers autorisés.

Communications unifiées

• Amélioration du mécanisme de réplication des changements réalisés entre Exchange Online et Azure Active Directory. Actuellement, lorsque vous créez ou modifiez les propriétés d'un utilisateur de messagerie via Exchange Admin Center (EAC), Exchange Online PowerShell, ou toute autre API, le changement se réplique vers Azure Active Directory (AAD) via un mécanisme de synchronisation qui peut prendre du temps. Avec cette mise à jour, les modifications apportées par l'administrateur aux propriétés des utilisateurs de messagerie seront immédiatement écrites dans AAD, réduisant ainsi le temps de réplication. Vous pouvez voir des erreurs faisant référence à l'AAD lors de l'exécution de ces opérations de gestion lorsqu'il y a des problèmes de service transitoires. Vous devez traiter cette erreur comme n'importe quelle autre erreur de gestion ou de PowerShell et réessayer simplement l'opération.
• Mise à jour avec succès des services Auto Attendant et Call Queue introduisant :
  • Les tables de congés centralisées peuvent être réutilisées dans toutes les applications.
  • Vous pouvez assigner des numéros de routage direct à Auto Attendant et à Call Queue.
  • Vous pouvez attribuer un numéro hybride à AA/CQ
  • Vous pouvez attribuer plusieurs numéros à Auto Attendant ou à Call Queue.
  • L'option de routage Round Robin est introduite dans les Call Queues
• Les administrateurs globaux des tenant où le PSTN-calling est activé pourront (d’ici mi-octobre) consulter un rapport d'utilisation du PSTN dans le centre d'administration Microsoft Teams. Les administrateurs pourront consulter les activités d'appel détaillées pour les plans d'appel de Microsoft et pour le routage direct si vous utilisez votre propre opérateur téléphonique.
• Lorsqu'un utilisateur interne met un appel téléphonique externe en attente, le système téléphonique joue la musique par défaut définie par le service. Lors de la première version, cette fonctionnalité n'est pas configurable par l'administrateur. Ce changement sera effectif d’ici fin octobre.

• Les utilisateurs peuvent personnaliser d'autres paramètres de messagerie vocale à partir du client Teams, tels que la configuration des règles de réponse aux appels et le choix de la langue d'accueil.
• Généralisation de la fonctionnalité permettant aux managers d’accorder aux délégués la possibilité de modifier les paramètres d'appel et d'ajouter/supprimer d'autres délégués. L'apparence des lignes partagées fait partie de la fonction de délégation qui permet à un utilisateur de choisir un délégué pour répondre ou traiter les appels en son nom. Dans le contexte de l'apparence d'une ligne partagée, un manager est une personne qui autorise un délégué à faire ou à recevoir des appels en son nom, et un délégué peut faire et recevoir des appels au nom d'une autre personne.

• Microsoft retire le paramètre d'accès externe Skype for Business du centre d'administration de Microsoft 365 à partir de fin octobre. Au lieu d'utiliser ce paramètre, Microsoft recommande d'utiliser le paramètre dans : Teams admin center > Org-wide settings > External access.

• Le système Microsoft Phone System d'Office 365 affichera bientôt l'identification de l'appelant pour les appelants entrants PSTN ainsi que pour les numéros de téléphone dans Azure Active Directory (AAD)

• Disponibilité Générale de l’API Office 365 Service Communications.

Collaboration

• Concernant SharePoint et OneDrive, on retrouve les éléments suivants :
  • Button & Call To Action | Impliquez votre lecteur de page en fournissant un texte ciblé sur et au-dessus d'un bouton.
  • World Clock & Weather | ajoutez des villes individuelles ou un groupe de lieux pour mettre en évidence les heures et la météo locales.
  • Divider | placer une ligne entre les sections et les web parts, en choisissant la largeur et l'épaisseur.
  • Highlighted Content adds Custom Query| utiliser des requêtes CAML ou KQL personnalisées pour afficher des ensembles précis de contenu, avec la possibilité de combiner des filtres à l'aide des opérateurs AND, OR et NOT.
  • Microsoft vient de mettre à disposition OneDrive Personal Vault : Un répertoire OneDrive protégé par une authentification forte à facteurs multiples permettant de protéger les fichiers importants. Les expériences utilisateurs ont été mis à jour permettant par exemple de scanner un document et d’envoyer directement dans le dossier personnel, de restreindre le partage aux documents dans ce coffre-fort. En outre, OneDrive copie les éléments synchronisés vers une zone chiffrée par BitLocker. Avec les comptes personnels gratuits, Microsoft permet de stocker jusqu’à 3 documents. Avec Office 365 Personal et Home, il est possible de stocker un nombre infini de documents.
  • Microsoft met à disposition PC folder backup permettant de choisir les fichiers à sauvegarder automatiquement les fichiers à sauvegarder dans OneDrive.
  • L’application OneDrive sur iOS propose le mode sombre pour les périphériques iOS 13.
  • Disponibilité Générale du support de SharePoint Server 2010 par les outils de Migration SharePoint.
  • Microsoft commence le déploiement de SharePoint Online Site Swap pour les organisations de moins de 10 000 licences. Les administrateurs pourront échanger le site racine SharePoint avec un autre site à l'aide d'une nouvelle cmdlet PowerShell Invoke-SPOSiteSwap. Le site racine sera archivé automatiquement. Vous devez utiliser la version 16.0.8812.1200 ou ultérieure de SharePoint Admin PowerShell.
  • Démarrage du déploiement permettant aux propriétaires de sites SharePoint de gérer les paramètres de partage et de demande d'accès à partir du panneau de permissions du site en cliquant sur le lien "Modifier les paramètres de partage".
  • Les propriétaires de sites centraux auront la possibilité de créer des flux de travail d'approbation qui désignent qui peut approuver une demande d'association de sites SharePoint. Ceci permettra d’utiliser Flow pour ces approbations de jointure. Les administrateurs peuvent activer ou désactiver les approbations de jointure de hub pour tous les administrateurs de site SharePoint Online de leur locataire en utilisant les contrôles dans les paramètres du site du hub. Cette fonction est désactivée par défaut.
  • Je l’avais annoncé le mois précédent et le déploiement est terminé, il est maintenant possible de prévisualiser des fichiers AutoCAD (DWG) directement dans OneDrive ou SharePoint.
  • Mise à jour (2.0.1) de l’outil de diagnostic de page pour SharePoint (Page Diagnostics Tool for SharePoint). Cette version permet d’évaluer les pages classiques et modernes dans SharePoint.
  • Les propriétaires de sites SharePoint Online peuvent maintenant générer un CSV qui montre comment leur contenu est partagé, à l'intérieur et à l'extérieur de l'organisation.
  • Les administrateurs peuvent personnaliser la durée d'expiration par site pour les liens anonymes. Grâce à cette fonctionnalité, les administrateurs peuvent outrepasser la stratégie du tenant et définir une stratégie d'expiration plus ou moins restrictive pour des sites spécifiques.
  • Mise à jour des web parts avec :
• Concernant Microsoft Teams, on retrouve les annonces suivantes :
  • Si vous utilisez Microsoft Teams sur le Web avec Google Chrome, on retrouve maintenant le support des appels.
  • Une fonction Meet Now permet de ne pas envoyer d’invitation et d’aller directement dans une réunion depuis l’espace Calendar/Calendrier.
  • Vous pouvez maintenant personnaliser l’aperçu du meeting en attachant certains participant du meeting que vous voulez garder en vue.
  • Ajout d’une notification dans le fil d’activités de Teams si vous avez reçu une demande d’ajout à une réunion que vous avez manqué.
  • Microsoft publie un modèle d’application FAQ Plus pour créer un chat bot sans code et déployable en quelques minutes.
  • Sur la page Team Device, vous pouvez choisir une sonnerie secondairev. Cela vous permettra d'entendre la sonnerie de l'appel entrant Teams à partir de plus d'un périphérique (par exemple les hauts parleurs), même lorsqu'un casque d'écoute est branché.
  • Microsoft va déployer une fonctionnalité permettant aux utilisateurs d’attacher les canaux importants en haut de leur barre verticale. Ces derniers seront placés dans la catégorie ‘Pinned’
  • Décalage du déploiement de la fonctionnalité Canal privé (Private Channels) à fin Octobre. Cette fonctionnalité permet à un propriétaire de Teams de rendre privé un Teams.
  • L'application Lucidchart supporte les extensions de messagerie, le déploiement des liens avec prévisualisation et la gestion des autorisations des collaborateurs dans Microsoft Teams.
  • Les nouveaux filtres ajoutés dans Chat et Teams vous aident à filtrer votre activité.
  • Maintenant, tout comme dans le chat, vous pouvez couper le son d'une conversation dans un canal.
  • Plusieurs améliorations sur l’expérience Cloud VoiceMail avec le transfert direct d’appel vers Cloud Voicemail, l’ajout de paramétrages dans Teams incluant les règles de réponse d’appel, les langues d’accueil, etc.
  • Grâce aux nouvelles fonctionnalités allégée de jointure de réunions, les utilisateurs peuvent accéder directement à une réunion Teams dans les navigateurs Internet Explorer 11, Safari et Firefox et participer à la réunion.  L'audio de la réunion est diffusée via l'audioconférence.
• Concernant Yammer :
  • Amélioration de l’expérience Conversation sur Yammer Mobile.
• Microsoft Stream intègre une section pour les réunions Teams dans l’onglet Mon Contenu/My Content.
• Concernant Whiteboard :
  • Pour Whiteboard sur Surface Hub, vous devez vérifier que votre tenant est configurév comme attendu en activant éventuellement Easy Share permettant de partager depuis un Surface Hub sans se connecter.
  • Preview de nouveaux modèles/templates dans Whiteboard PC et iOS pour mieux collaborer et échanger : Brainstorming, Effective meeting, KANBAN sprint planning, SWOT analysis, Problem solving, Project planning, Retrospective, Project milestones, KWL (Know, Wonder, Learn) for education 
• Nouvelle version de Microsoft To Do proposant :
  • Un nouveau design proposant plusieurs options de personnalisation en changeant par exemple le fond de chaque liste.
  • Une vue My Day (Ma journée) vous suggère toutes les tâches que vous devez réaliser dans votre journée.
  • Une disponibilité sur MacOS, iOS, Android, Windows et sur le Web.
  • De voir les tâches qui vous ont été assignées par le biais de Microsoft Planner.
  • Des intégrations avec Cortana, Amazon Echo, Microsoft Launcher, etc.

Sécurité

• Disponibilité Générale de Security Policy Advisor pour Office 365 ProPlus. Ce service Cloud permet d’améliorer la sécurité des clients Office 365 ProPlus de l’entreprise en fournissant des recommandations de sécurité (stratégies, etc.), des données riches sur l’impact d’une stratégie de sécurité, etc.

Office 365 ATP

• Disponibilité Générale de la réponse automatisée aux incidents (Automated Incident Response) dans Office 365 ATP. Cette fonctionnalité permet d’initier automatiquement des playbooks ou des actions basées sur la levée d’alertes ou d’incidents. Ceci permet de réduire drastiquement le temps d’investigation et de réagir rapidement à des menaces. Les investigations automatiques initiées par des alertes surviennent lorsqu’un utilisateur a renvoyée un email de phishing, lorsqu’un utilisateur clic sur un lien malicieux déterminé par détonation, ou lorsqu’un malware est détecté après la délivrance du message ou enfin lorsqu’une attaque de phishing est détectée après coup. La fonctionnalité est disponible avec Office 365 ATP Plan 2, Office 365 E5, Microsoft 365 E5 Security.
• Il est maintenant possible de voir les en-têtes des emails et téléchargez le corps du courriel depuis le portail Security & Compliance Center.
• Microsoft met à jour ZAP (Zero-hour auto purge) pour mettre en quarantaine les messages de phishing et de spam identifiés après la livraison afin de mieux aligner l'action ZAP sur l'action de flux de messagerie définie dans la politique anti-spam.
• À partir de la mi-octobre, les fichiers qu'un administrateur télécharge et sauvegarde à partir d'Office 365 Quarantine seront nommés en fonction de l'Identifiant du message. Auparavant, le nom du fichier reflétait le contenu de la ligne objet, qui pouvait contenir des caractères non autorisés. En outre, les administrateurs qui ont activé les notifications de spam pour leurs utilisateurs, ces utilisateurs devront désormais naviguer vers le portail de quarantaine du Centre de sécurité et de conformité pour prendre des mesures en cas de courrier suspect, par exemple en envoyant un message dans leur boîte de réception.

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Septembre 2019.

Microsoft apporte les nouveautés suivantes :

• Public Preview de l’intégration entre Azure Active Directory avec SAP Cloud Platform Identity Authentication Service pour permettre une expérience de provisionnement utilisateur et du SSO à travers les applications SAP et non SAP.

• Nouvelle version 1.4.18.0 d’Azure AD Connect.
• 5 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Amazon Business, Civic Platform Accela, DarwinBox, Blink, Harness
• De nouvelles applications permettent le provisionnement par la création, la mise à jour et la suppression d’utilisateurs : 15Ffive, Druva, Elium, Flock, Oracle Fusion ERP

• Voilà qui va ravir de nombreuses personnes, l’application Microsoft Authenticator sur Android supporte la sauvegarde et la restauration Cloud.
• Microsoft a créé le rôle Global Reader pour aider à réduire le nombre d'administrateurs globaux dans l’entreprise. Ce rôle peut être affecté pour la planification, les audits ou les enquêtes. Global Reader fonctionne avec le nouveau centre d'administration Microsoft 365, le centre d'administration Exchange, le centre d'administration Teams, le centre de sécurité, le centre de conformité, le centre d'administration Azure AD et le centre d'administration Device Management.
• Intégration forte entre F5 et Azure AD permettant la protection des applications basées sur des authentifications héritées en appliquant des stratégies d’accès conditionnelles qui peuvent utiliser le moteur de protection d’identité. Cette intégration permet aussi de donner accès aux fonctions de Single Sign-On et d’authentification sans mot de passe. Ceci est possible par la publication dans la galerie d’applications Azure AD de F5-BIG IP Application Manager.
• Public Preview de la gestion en masse des groupes et des membres en utilisant des fichiers CSV dans le portail Azure AD. Ceci vous permettra d’ajouter/supprimer des membres d’un groupe, de télécharger la liste des groupes depuis l’annuaire, de télécharger la liste des membres pour un groupe spécifique.
• Microsoft a introduit le consentement administrateur pour prendre en charge le consentement dynamique pour les applications qui souhaitent utiliser le modèle de consentement dynamique sur la plate-forme Microsoft Identity.
• La nouvelle intégration entre l'application mobile Power BI et Azure AD Application Proxy vous permet de vous connecter en toute sécurité à l'application mobile Power BI et de visualiser les rapports de votre organisation hébergés sur le serveur de rapports Power BI On-Premises.

On retrouve les modifications de service suivantes :

• Vous devez réévaluer vos stratégies d’accès conditionnel Azure Active Directory avec l’arrivée d’iPadOS notamment si vous utilisez des conditions sur le type de système ou le type d’applications.

• Nouvelle version 8.0.2 d’Azure Multi-Factor Authentication (MFA) apportant les éléments suivants :
  • Correction d'un problème lorsque la synchronisation Azure AD change un utilisateur de Désactivé à Activé, un email est envoyé à l'utilisateur.
  • Correction d'un problème qui empêchait les clients de mettre à niveau tout en continuant à utiliser la fonctionnalité des balises.
  • Ajout de l'indicatif de pays du Kosovo (+383).
  • Ajout d'un journal d'audit de contournement unique dans le fichier MultiFactorAuthSvc.log.
  • Performances améliorées pour le Web Service SDK.
  • Correction d'autres bugs mineurs.
• L’expérience Mon Profil/MyProfil deviendra Mon compte/my Account. En plus du changement de nom et de quelques améliorations de conception, l'expérience mise à jour offrira une intégration supplémentaire avec la page du compte Microsoft Office. Plus précisément, vous pourrez accéder aux installations et abonnements Office à partir de la page Vue d'ensemble du compte.
• Nouvelle version Preview du module AzureADPreview incluant les cmdlets suivantes :
  • Add-AzureADMSFeatureRolloutPolicyDirectoryObject
  • Get-AzureADMSFeatureRolloutPolicy
  • New-AzureADMSFeatureRolloutPolicy
  • Remove-AzureADMSFeatureRolloutPolicy
  • Remove-AzureADMSFeatureRolloutPolicyDirectoryObject
  • Set-AzureADMSFeatureRolloutPolicy.

Plus d’informations sur : What’s new Azure AD

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Pour l’arrivée d’iPadOS, vous devez revoir vos éventuelles stratégies d’accès conditionnelle.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [iOS] Preview du mode User Enrollment, un nouveau type d'inscription pour les périphériques Apple. Microsoft intègre une interface permettant de déployer des types d'enregistrement aux utilisateurs ou périphériques.

Gestion du périphérique

• [iOS] Support d’iPadOS et iOS13.1.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Scott Duffey (Intune PM) a publié un très bon article pour expliquer les investissements futurs et le fonctionnement de l’affinité périphérique utilisateur dans Microsoft Intune. Cette notion d’affinité périphérique utilisateur est importante dans Microsoft Intune car c’est elle qui définit la liste des périphériques que l’utilisateur peut voir dans le portail d’entreprise et sur lesquels il peut lancer une opération d’effacement. Elle permet aussi à l’administrateur depuis la console de lister tous les périphériques d’un utilisateur en cliquant sur le lien associé.

Voici un tableau qui donne l’utilisateur principal assigné et le moment de l’assignation pour chaque méthode d’enregistrement et chaque plateforme :

Une des limitations passées était qu’il n’était pas possible sur un périphérique Windows 10 dans un mode partagé (Shared Device), d’utiliser le portail d’entreprise pour installer des applications ciblées sur l’utilisateur connecté. Ce n’est plus le cas depuis la version 10.3.4651.0.

Scott annonce aussi des possibilités futures permettant d’ajouter ou changer un utilisateur principal à partir du portail d‘administration ou même d’hérité de cette valeur depuis des sources externes telles que System Center configuration Manager.

Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-How-User-Device-Affinity-works-in-Intune/ba-p/708196

Je vous en avais déjà parlé au travers d’un article il y a quelques mois, l’équipe Azure Information Protection vient confirmer et donner plus de détails sur comment se préparer à l’éventualité de la sortie du service Azure Information Protection. L’article revient sur :

• La sortie d’une entreprise qui utilise des clés gérées par Microsoft
• La sortie d’une entreprise qui utilise ses propres clés (BYOK)
• Le déchiffrement en masse comme solution de sortie

Si ce sujet vous intéresse, je vous invite à lire attentivement l’article : How to prepare an Azure Information Protection “Cloud Exit” plan

Windows 10 1703 arrive en fin de support ce jour. Ainsi, le portail d’entreprise de Microsoft Intune ne sera plus supporté dans 90 jours ; c’est-à-dire le 26 décembre 2019. Microsoft recommande donc la mise à jour des périphériques Windows 10 1703 vers une version ultérieure pour continuer à être supporté par Microsoft Intune.

Vous pouvez pour cela utiliser :

• System Center Configuration Manager si le périphérique est cogéré en le mettant à jour via les plans de maintenance Windows 10 ou les séquences de tâches
• Microsoft Intune en créant des anneaux de mises à jour (Update Rings)

Source : https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet

Aujourd’hui signe la fin de support de Windows 10 1703. Ainsi, le Patch Tuesday d’Octobre 2019 était le dernier pour cette version et Microsoft ne publiera plus de mises à jour de sécurité. L’entreprise ne fournira plus d’assistance technique excepté en mode best efforts.

Microsoft recommande donc la mise à jour des périphériques Windows 10 1703 vers une version ultérieure pour continuer à être supporté par Microsoft Intune.

Vous pouvez pour cela utiliser :

• System Center Configuration Manager si le périphérique est cogéré en le mettant à jour via les plans de maintenance Windows 10 ou les séquences de tâches
• Microsoft Intune en créant des anneaux de mises à jour (Update Rings)

Plus d’informations sur : https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet

Microsoft vient de mettre à disposition la Technical Preview 1909 (5.0.8884.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1909 comprend les nouveautés suivantes :

Administration

• Un outil (ExtendMigrateToAzure.exe) vous permet d’étendre et migrer vos serveurs System Center Configuration Manager vers Microsoft Azure. L’outil vous permet de :
  • Vérifier les prérequis permettant de mettre en place la haute disponibilité du serveur de site afin de créer une instance passive dans Azure.
  • Lister les éléments nécessaires pour basculer le serveur de base de données dans Azure
  • Provisionner les rôles de système de site de l’infrastructure dans Azure
  • D’obtenir un script PowerShell de déploiement dans Azure.

• Amélioration de la gestion de BitLocker avec :
  • L’ajout de rapports intégré
  • Du portail à destination du HelpDesk/Support pour l’administration et la supervision des clés
  • Du portail en libre-service à destination des utilisateurs finaux pour récupérer les clés.

Les portails doivent être installés via un script d’installation dédié vous permettant de choisir les serveurs cibles.

 Inventaires

• Amélioration de CMPivot pour inclure les entités suivantes : Les journaux d’évenements Windows, Le contenu de fichier, les DLLs chargés par des processus, les informations Azure Active Directory, l’état Endpoint Protection.
• Amélioration de CMPivot avec la mis à jour des entités CcmLog() et EventLog() pour ne regarder que les messages des dernières 24 heures par défaut. Ce comportement peut être changé en passant dans un intervalle de temps optionnel. Par exemple, CcmLog('Scripts',1h) examinera les événements de la dernière heure.
• Amélioration de CMPivot et de l'entité File() pour collecter des informations sur les fichiers cachés et les fichiers système, et inclure le hachage MD5.
• Amélioration de CMPivot pour permettre l’ajout de commentaires dans les requêtes avec //
• CMPivot se connecte automatiquement au dernier site. Après avoir démarré CMPivot, vous pouvez vous connecter à un nouveau site si nécessaire.
• Amélioration de CMPivot et du menu Exporter avec la nouvelle option Query link to clipboard. Cette action copie un lien vers le presse-papiers que vous pouvez partager avec d'autres personnes.
• Amélioration de CMPivot pour permettre le lancement du portail en ligne Microsoft Defender Security Center dans les résultats de la requête si l'appareil est enregistré dans Microsoft Defender Advanced Threat Protection (ATP).

Gestion des mises à jour logicielles

• Microsoft a complétement revu la fonction Server Group qui permettait d’orchestrer l’installation des mises à jour logicielles. Cette dernière est renommée Orchestration Groups et permet d’offrir un meilleur contrôle sur le déploiement des mises à jour logicielles. Vous pouvez donc créer des collections qui définissent la façon dont les mises à jour logicielles doivent s’installer en fonction d’un pourcentage de disponibilité, d’un nombre de machines ou d’un ordre spécifique. La fonction vous permet d’exécuter des scripts de pré déploiement et de post installation. La création du groupe d’orchestration se fait depuis Assets and Compliance – Orchestration Group.
• J’en parlais il y a quelques jours, Vous pouvez maintenant maintenir et mettre à jour les périphériques exécutant des Builds Windows Insider avec Configuration Manager.
• La TP1908.2 a permis de gérer la disposition par défaut du clavier pendant le déploiement de l'OS. Cette version ajoute un contrôle supplémentaire sur la configuration de la langue au cours de ce processus avec notamment :
  • Localisation du système
  • Langue de l'interface utilisateur
  • Remplacement de la langue de l'interface utilisateur
  • Localisation de l'utilisateur

Office 365

• Microsoft publie un tableau de bord sur l’état de santé Office 365 ProPlus fournissant des éléments comme les problèmes de composants additionnels, les problèmes de macros, les problèmes généraux du périphérique.

Déploiement de système d’exploitation

• Le moteur de séquence de tâches peut télécharger des packages à la demande à partir d'une CMG ou d'un Cloud Distribution Point. Ce changement offre une flexibilité supplémentaire avec les déploiements de mise à niveau de Windows 10 vers des périphériques sur Internet.
• Amélioration du Task Sequence Debugger :
  • Une nouvelle variable de séquence de tâches TSDebugOnError permet de démarrer automatiquement le Debugger lorsque la séquence de tâches renvoie une erreur.
  • Si vous créez un point d'arrêt dans le Debugger, puis que la séquence de tâches redémarre l'ordinateur, le Debugger conserve les points d'arrêt après redémarrage.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1909

Depuis Windows 10 1903, on retrouve la capacité de protéger Microsoft Defender Antivirus dans une sandbox/un conteneur (tamper protection) rendant plus beaucoup plus difficile pour un attaquant de manipuler et d'exploiter la solution antivirus comme moyen de compromettre le périphérique lui-même.  Cette capacité empêche une application malicieuse d’effectuer les actions suivantes :

• Désactiver la protection contre les virus et les menaces
• Désactiver la protection en temps réel
• Désactiver la surveillance du comportement
• Désactiver la détection des fichiers suspicieux depuis internet (tel que IOfficeAntivirus (IOAV))
• Désactivation de la protection fournie par le cloud
• Supprimer des mises à jour du renseignement de sécurité (comprendre mises à jour de définition)

Le mécanisme intervient en empêchant le changement de paramétrages de sécurité via une des méthodes suivantes :

• Configuration des paramètres dans l'éditeur de registre sur la machine Windows
• Modification des paramètres à l'aide des cmdlets PowerShell
• Modification ou suppression des paramètres de sécurité par le biais de stratégies de groupe
• Etc.

Ce paramétage requiert les prérequis suivants :

• Licence Microsoft Defender ATP E5
• Windows 10 1903+
• Des mises à jour de définition (Mise à jour intelligente de sécurté) supérieur à 1.287.60.0
• Une version de la platefrome antimalware supérieure à 4.18.1906.3
• Une version du moteur antimalware supérieure à 1.1.15500.x.

Avant de procéder à la configuration dans Microsoft Intune, vous devez avoir procéder à l’interconnexion de Microsoft Intune avec Microsoft Defender ATP en naviguant dans Settings > Advanced features.

Pour configurer la protection contre la manipulation (Tamper Protection), vous devez créer une stratégie Endpoint Protection. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Configuration de l’appareil – Profils.

Procédez à la création du profil et sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil. Sélectionnez ensuite la catégorie Microsoft Defender Security Center.

Identifiez le paramétrage : Protection contre les manipulations (Tamper Protection).

Procédez à la création de la stratégie puis déployez là sur un groupe de machines ou d’utilisateurs.

Notez que ce paramétrage n'est pas disponible par stratégie de groupes (GPO) ou tout autre paramètre pouvant être utilisé pour modifier la protection contre les manipulations par l'administrateur ou les applications ou les logiciels malveillants ayant le privilège d'administrateur.

Microsoft et Marsh ont mené un sondage sur la perception des risques Cyber par les entreprises. Les résultats qui en ressortent est que la confiance dans la cyber résistance diminue bien que la conscience d’un cyber risque augmente.

Voici certains chiffres intéressants :

• 79% des sondés ont classé le risque cybernétique parmi les cinq principales préoccupations de leur entreprise, en hausse par rapport au 62% de 2017.
• La confiance a diminué dans chacun des trois domaines critiques de la cyberrésistance. Ceux qui disaient qu'ils n'avaient "aucune confiance" ont augmenté de :
  • 9 à 18% pour la compréhension et l'évaluation des cyber-risques.
  • 12 à 19% pour la prévention des cybermenaces.
  • 15 à 22% pour avoir réagi à des cyberévénements et s'en être remis.
• 77 % des sondés ont cité au moins une technologie opérationnelle innovatrice qu'ils ont adoptée ou envisagent d'adopter.
• 50% ont déclaré que le risque cybernétique ne constitue presque jamais un obstacle à l'adoption de nouvelles technologies, mais 23%- y compris de nombreuses petites entreprises - ont déclaré que pour la plupart des nouvelles technologies, le risque l'emporte sur les avantages commerciaux potentiels.
• 74 % évaluent les risques technologiques avant l'adoption, mais seulement 5 % disent évaluer les risques tout au long du cycle de vie de la technologie et 11 % n'effectuent aucune évaluation.
• 39% ont déclaré que le cyber-risque posé par leurs partenaires de la chaîne d'approvisionnement et leurs fournisseurs à leur entreprise était élevé ou assez élevé.
• Seulement 16% ont déclaré que le risque cybernétique qu'ils représentent eux-mêmes pour leur chaîne d'approvisionnement était élevé ou assez élevé.
• Les sondés étaient plus susceptibles d'établir des normes plus élevées pour les mesures de gestion des cyber-risques de leur propre entreprise que pour celles de leurs fournisseurs.
• 28% des entreprises considèrent que les réglementations ou lois gouvernementales sont très efficaces pour améliorer la cybersécurité.
• 37% des entreprises considèrent que les normes souples de l'industrie sont très efficaces pour améliorer la cybersécurité.
• 88% ont déclaré que le service informatique et la sécurité informatique est l'un des trois principaux propriétaires de la gestion du cyber risque, suivi du conseil d’administration (65%) et de la gestion du risque (49%).
• Seulement 17% des cadres disent avoir passé plus de quelques jours sur le cyber-risque au cours de la dernière année.
• 64% ont déclaré qu'une cyberattaque contre leur entreprise serait le principal facteur d'augmentation des dépenses liées aux cyber-risques.
• 30% des entreprises ont déclaré utiliser des méthodes quantitatives pour exprimer leur exposition aux cyber-risques, en hausse par rapport aux 17% en 2017.
• 83 % ont renforcé la sécurité des ordinateurs et des systèmes au cours des deux dernières années, mais moins de 30 % ont donné une formation en gestion ou modélisé des scénarios de cyberperte.

Pour plus de détails et d’informations, je vous invite à lire le rapport.

SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 18.3 a été mise à disposition et permet de se connecter de SQL Server 2008 à SQL Server 2019.

Cette nouvelle version apporte :

• Ajout des informations de classification des données aux propriétés de colonne de l'interface utilisateur (Information Type, Information Type ID, Sensitivity Label, et Sensitivity Label ID ne sont pas exposés dans l’interface SSMS).
• Support des fonctionnalités récemment ajoutées à SQL Server 2019.
• Ajout du support des scripts de support de la contrainte unique Azure SQL DW.
• Classification de données :
  • Ajout du support pour SQL version 10 (SQL 2008) et supérieure.
  • Ajout d'un nouvel attribut de sensibilité 'rank' pour SQL version 15 (SQL 2019) et plus et Azure SQL DB
• API SQL Assessment :
  • Ajout du versioning au format ruleset
  • Ajout de nouvelles vérifications
  • Ajout du support d’Azure SQL Database Managed Instance
  • Mise à jour des vues par défaut des cmdlets pour afficher les résultats comme une table
• Correction de bugs

Plus d’informations sur la Release Notes

Télécharger SQL Server Management Studio (SSMS) 18.3

Microsoft publie une nouvelle version (Septembre 2019) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

Cette version intègre les changements suivants :

• L'éditeur de requêtes prend désormais en charge le basculement du mode SQLCMD pour écrire et modifier des requêtes en tant que scripts SQLCMD.
• Query Editor Boost est une extension open source destinée à améliorer l'éditeur de requêtes Azure Data Studio pour les utilisateurs qui écrivent fréquemment des requêtes.
  • Enregistrer la requête courante sous forme d'extrait
  • Changer de base de données à l'aide de Ctrl+U
  • Nouvelle requête à partir du modèle
  • Améliorations des Notebooks SQL sur notamment les performances pour la prise en charge des fichiers plus volumineux des ordinateurs portables
• Mise à jour avec Visual Studio Code 1.38
• Corrections de bugs

Quand utiliser Azure Data Studio ?

• Vous devez utiliser macOS ou Linux
• Vous devez vous connecter sur un cluster big data SQL Server 2019
• Vous passez plus de temps à éditer ou exécuter des requêtes
• Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
• Vous avez un besoin minimal d’assistants
• Vous n'avez pas besoin de faire de configuration administrative profonde

Quand utiliser SQL Server Management Studio ?

• Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
• Vous avez besoin de faire une configuration administrative importante
• Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
• Vous utilisez les rapports pour SQL Server Query Store
• Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
• Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2019/09/10/the-september-release-of-azure-data-studio-is-now-available/  

Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

Télécharger Azure Data Studio

Microsoft a annoncé l’extension de fin de support étendu d’Exchange Server 2010 du 14 Janvier 2020 au 13 Octobre 2020. Notez que la nouvelle date correspond à la fin de support des protocoles hérités par Exchange Online. Cette extension s’aligne aussi sur la fin de support d’Office 2010 et SharePoint 2010.

Après le 13 octobre 2020, Microsoft ne fournira plus de support technique pour les problèmes qui peuvent survenir, y compris : les corrections de bugs pour les problèmes qui sont découverts et qui peuvent affecter la stabilité du serveur, les corrections de sécurité pour les vulnérabilités qui sont découvertes et qui peuvent rendre le serveur vulnérable aux violations de sécurité, et les mises à jour des fuseaux horaires.

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Microsoft-Extending-End-of-Support-for-Exchange-Server-2010-to/ba-p/753591

Aujourd’hui, je souhaitais vous partager un retour d’expérience lors du déploiement du connecteur de certificats PKCS ou SCEP de Microsoft Intune. Lors de la configuration du connecteur et après le processus de connexion, l’interface du connecteur (NDESConnectorUI) vous renvoie le message suivant :

An unexpected error has occurred

Si vous regardez le fichier de journalisation NDESConnector_YYYY-MM-DD_xxxxxx.svclogdans %programfiles%\Microsoft Intune\NDESConnectorSvc\Logs\Logs\, vous observez les erreurs suivantes :

NDES Connector certificate could not be found

<Source Name="NDESConnectorService" /><Correlation ActivityID="{<Correlation ActivityID>}" /><Execution ProcessName="NDESConnector" ProcessID="7364" ThreadID="50" /><Channel/><Computer>Computer_Name</Computer></System><ApplicationData>Writing registry SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus - IssueDetails with the value 0x80004003.

Ce problème survient si l’utilisateur/administrateur du service Intune qui se connecte, n’a de licence Microsoft Intune attribuée. Vous devez donc attribuer une licence.

Plus d’informations sur : "Unexpected error" and error 80004003 when you sign in to Intune NDES Connector UI

Microsoft vient de mettre à jour le pack d’administration (Management Pack) pour la brique Skype for Business Server 2015 en version 9319.562. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack apporte les fonctionnalités suivantes :

• Scénario de disponibilité de bout en bout à partir de plusieurs emplacements.
• Fiabilité et qualité des appels perçue par les utilisateurs
• Etat de santé et performance des composants

Ce Management Pack fonctionne avec System Center Operations Manager 2007 R2 ou System Center 2012 Operations Manager. Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger Skype for Business Server 2015, Management Pack

Michael Niehaus (MSFT) a publié un très bon billet informatif sur des problématiques entre Windows Autopilot pour les périphériques existants et Windows 10 1903. Ce scénario implique l’utilisation de System Center Configuration Manager pour descendre une image de Windows 10 et ensuite lancer le processus Windows Autopilot via un fichier JSON présent localement sur la machine.

La problématique est que dans Windows 10 1903, Microsoft a introduit la suppression du dossier C:\Windows\Provisioning\Autopilot lors de l’exécution de la commande sysprep /generalize.

Dans le même temps, la séquence de tâches proposée par Configuration Manager pour le scénario Windows Autopilot for existing devices comprend l’étape ‘Prepare Windows for Capture” qui exécute la commande sysprep /generalize. Le dossier est donc nettoyé. Or le fichier JSON pour ce scénario et utilisé pour démarrer Windows Autopilot est présent dans ce dossier.

Par conséquent, il recommande :

• La désactivation de la tâche Prepare Windows for Capture
• L’ajout d’une étape Run Command line avec la commande : c:\windows\system32\sysprep\sysprep.exe /oobe /reboot

Plus d’informations sur : A challenge with Windows Autopilot for existing devices and Windows 10 1903

Microsoft a revu l’iFrame permettant l’ajout d’une application/lien web/application métier provenant du Managed Google Play pour Microsoft Intune. Si vous utilisez Internet Explorer pour accéder au portail Intune soit via portal.azure.com ou devicemanagement.microsoft.com, vous pouvez observer le non chargement de l’iFrame et une fenêtre blanche :

Le problème n’est pas constaté pour Microsoft Edge, Microsoft Edge (Chromium), Google Chrome ou Mozilla Firefox.

Microsoft est au courant du problème et travaille à corriger ce dernier.

Microsoft vient de publier la version finale de la baseline de paramétrages de sécurité (v1908) pour Office 365 ProPlus. Ces dernières s’utilisent avec Security Compliance Manager (SCM), par GPO, ou via le nouveau service Office Cloud Policy. Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft. Les paramètres recommandés correspondent aux modèles d’administration publiés (Version 4909) en septembre 2019. Microsoft a fait une revue de tous les paramétrages proposés pour ne se concentrer que sur ce qui a une valeur pour ces nouvelles versions d’Office.

Parmi les changements mis en avant, on retrouve :

• La catégorisation des GPOs par composants pour que les réglages "difficiles" puissent être ajoutés ou supprimés unitairement.
• Blocage complet des formats de fichiers hérités
• Blocage de l'utilisation de Dynamic Data Exchange (DDE) par Excel
• L'option "Block macros from running in Office files from the Internet" est désormais prise en charge pour Access.
• Implémentation de nouveaux paramètres pour bloquer l'ouverture de certains fichiers non fiables et en ouvrir d'autres en mode Protégé.
• Activation du nouveau réglage "Macro Runtime Scan Scope".

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Microsoft-Security-Baselines/Security-baseline-for-Office-365-ProPlus-v1908-Sept-2019-FINAL/ba-p/873084

Téléchargez Security Compliance Toolkit

Microsoft vient de publier une mise à jour (4909.1000) des modèles d’administrations (ADMX, ADML) Active Directory et des outils de personnalisation (OCT) pour Office 2016, Office 2019 et Office 365 ProPlus. Les modèles d’administrations pour Active Directory permettent d’ajouter les paramètres permettant de personnaliser les options d’Office 2019. Cette mise à jour permet par exemple d’utiliser le paramètre pour forcer Office 365 ProPlus à utiliser une licence périphérique (Use a device-based license for Office 365 ProPlus)

Télécharger Administrative Template files (ADMX/ADML) and Office Customization Tool for Office 365 ProPlus, Office 2019, and Office 2016

Zscaler a nommé Microsoft partenaire technologique de l’année 2019 pour tous les investissements et intégrations qui ont été réalisés entre les solutions. Ceci inclut :

• Azure Active Directory avec l’intégration des stratégies d’accès conditionnel avec les applications Zscaler mais aussi le support du provisionnement d’utilisateurs dans les applications Zscaler.
• Microsoft Intune avec l’intégration permettant de déployer des profils de configuration VPN.
• Microsoft Cloud App Security pour permettre la découverte et la gestion des accès via les informations renvoyées par Zscaler pour identifier du ShadowIT, etc.

Source : https://www.microsoft.com/security/blog/2019/09/23/microsoft-awarded-zscaler-technology-partner-of-the-year-2019/

Je vous propose un billet pour parler d’une erreur 1625 renvoyée lors l’installation d’une application avec System Center Configuration Manager. Cette erreur concerne les machines Windows 10. Vous observez les messages suivants en ouvrant le fichier de journalisation appenforce.log :

+++ MSI application not discovered [MSI Product Code: {XXXXXXXx}, MSI Product version:
App enforcement environment:

               Context: Machine

               Command line: msiexec /i "XXXXXXXXX.msi" /q

               Allow user interaction: No

               UI mode: 0

               User token: null

               Session Id: 1

               Content path: C:\WINDOWS\ccmcache\5

               Working directory:

    Prepared working directory: C:\WINDOWS\ccmcache\5

Found executable file msiexec with complete path C:\WINDOWS\system32\msiexec.exe

    Prepared command line: "C:\WINDOWS\system32\msiexec.exe" /i " XXXXXXXXX.msi" /q /qn

Valid MSI Package path = C:\WINDOWS\ccmcache\5\ XXXXXXXXX.msi

    Advertising MSI package [C:\WINDOWS\ccmcache\5\ XXXXXXXXX.msi] to the system

AdvertisePackage - MsiAdvertiseProduct Failed : 0x80070659

AdvertisePackage failed (0x80070659).

Lowright users might fail to install this application if it requires higher privileges

    Executing Command line: "C:\WINDOWS\system32\msiexec.exe" /i " XXXXXXXXX.msi" /q /qn with user context

    Working directory C:\WINDOWS\ccmcache\5

    Post install behavior is BasedOnExitCode

    Waiting for process 6044 to finish.  Timeout = 120 minutes.

    Process 6044 terminated with exitcode: 1625

    Looking for exit code 1625 in exit codes table...

    Unmatched exit code (1625) is considered an execution failure.

L’erreur 1625 correspond au message : “This installation is forbidden by system policy. Contact your system administrator”.
Ceci est dû à l’activation de Windows Defender Application Control / Device Guard. Une stratégie est appliquée sur la machine Windows 10 et bloque les installations même si elles sont réalisées avec le compte système.

En l’occurrence ici, la stratégie est appliquée avec une stratégie de restriction du périphérique (Device Restriction) dans Microsoft Intune. Le périphérique est dans un mode Co-Management et l’installation de l’application a lieu avec System Center Configuration Manager.

Windows Defender Application Control permet normalement à l’outil d’administration de spécifier une exception appelée Managed Installers pour des outils de déploiement. Les solutions d’administration définies comme Managed Installers peuvent exécuter des installations d’applications et les applications installées sont automatiquement ajoutées à la liste des exceptions pour l’exécution.

En l’occurrence, Microsoft Intune (à date d’écriture – Août 2019) ne définit ni ses propres processus (Intune Management Extension) ni le client ConfigMgr comme Managed Installers. C’est pourquoi cette situation survient dans un mode de Co-Management.

A date, la seule option est de déployer la stratégie Windows Defender Application Control avec System Center Configuration Manager. En effet, ce dernier s’ajoute tout seul comme Managed Installer et peut ainsi exécuter l’installation des applications qu’il déploie. Notez qu’à date, la stratégie Windows Defender Application Control avec System Center Configuration Manager, ne définit par contre pas Microsoft Intune (Intune Management Extensions) comme Managed Installer et ce malgré la mise en place du Co-Management.

Microsoft travaille pour améliorer ces scénarios (notamment côté Intune)

Voici un excellent billet de l’équipe du support Microsoft Intune qui résume les options disponibles pour mettre des périphériques Android et iOS dans un mode Kiosk. On retrouve donc :

• Le mode Kiosk via Android Device Administrator couplé à Samsung KNOX (non recommandé dans le temps)
• Le mode Kiosk d’Android Enterprise Dedicated Device
• Le mode Kiosk d’iOS et son mode supervisé
• L’utilisation d’une restriction de périphérique détournée sur iOS

Pour plus de détails, je vous invite à lire : Enabling kiosk mode on Android and iOS devices

Microsoft a publié la Public Preview (v2.4.38.0) du nouveau client et scanner Unified Labeling d’Azure Information Protection.  Cette version couvre les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. C’est aussi la première version du scanner basée sur l’Unified Labeling. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Pour les fonctionnalités proposées par le Scanner, on retrouve :

• Plusieurs scanners peuvent partager la même base de données SQL Server lorsque vous configurez les scanners pour utiliser le même profil d’analyse.
• Vous devez spécifier un profil lorsque vous installez le scanner et que la base de données du scanner s'appelle AIPScannerUL_<profile_name>. Le paramètre Profil est également obligatoire pour Set-AIPScanner.
• Vous pouvez définir un label par défaut sur tous les documents, même si les documents sont déjà labelisés.
• Vous pouvez supprimer les labels existants de tous les documents et cette règle inclut la suppression de la protection si elle a déjà été appliquée par un label. La protection appliquée indépendamment d'un label est préservée.
• Comme avec le scanner du client classique, le scanner protège les fichiers Office et les fichiers PDF. Actuellement, vous ne pouvez pas configurer d'autres types de fichiers à protéger par cette version du scanner.

Concernant le client Unified Labeling, on retrouve les changements suivants :

• La cmdlet PowerShell Set-AIPAuthentication a de nouveaux paramètres lorsque vous voulez labeliser des fichiers de manière non interactive, et une nouvelle procédure pour enregistrer une application dans Azure AD.
• Les types d'informations sensibles personnalisés correspondants sont envoyés à Azure Information Protection Analytics.
• Le label appliqué affiche la couleur configurée pour le label, si une couleur a été configurée.
• Lorsque vous ajoutez ou modifiez des paramètres de protection à un label, le client applique à nouveau le label avec ces derniers paramètres de protection lors du prochain enregistrement du document. De même, le scanner réapplique le label avec ces derniers paramètres de protection lors de l’analyse suivante du document en mode Appliqué.
• Nouvelle cmdlet, Export-AIPLogs, pour rassembler tous les fichiers journaux de %localappdata%\Microsoft\MSIP\Logs et les enregistrer dans un seul fichier compressé au format.zip. Ce fichier peut ensuite être envoyé au support Microsoft si l'on vous demande d'envoyer des fichiers journaux pour vous aider à investiguer sur un problème.
• Vous pouvez modifier avec succès un fichier protégé à l'aide de l'Explorateur de fichiers et cliquez avec le bouton droit de la souris après avoir supprimé un mot de passe pour le fichier.
• Amélioration des performances et de la stabilité

Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

Plus d’informations sur la version du client AIP Unified Labeling

Télécharger Azure Information Protection unified labeling client

Microsoft est revenu sur le support d’iOS 13 par Microsoft Intune et Microsoft va vite.

Microsoft a revu notamment Microsoft Intune pour les éléments suivants :

• Device features, device restrictions, et extension profiles pour les paramètres iOS et macOS sont affichés par type d’enregistrement. On retrouve la séparation suivante :

• • iOS
    • User enrollment
    • Device enrollment
    • Automated device enrollment (supervised)
    • All enrollment types
  • macOS
    • User approved
    • Device enrollment
    • Automated device enrollment
    • All enrollment types
• iOS 13 a engendre le passage de certains paramètres pour les rendre disponibles uniquement dans un mode supervisé. Microsoft a reflété ce changement dans la console
  • App Store, Doc Viewing, Gaming
    • App store (supervised only)
    • Explicit iTunes, music, podcast, or news content (supervised only)
    • Adding Game Center friends (supervised only)
    • Multiplayer gaming (supervised only)
  • Built-in Apps
    • Camera (supervised only)
    • FaceTime (supervised only)
    • Safari (supervised only)
    • Autofill (supervised only)
  • Cloud and Storage
    • Backup to iCloud (supervised only)
    • Block iCloud Document sync (supervised only)
    • Block iCloud Keychain sync (supervised only)

Parmi les nouveautés introduites par iOS 13, on retrouve déjà :

• La Preview du nouveau mode d’enregistrement BYOD (User Enrollment) avec notamment les types d'enregistrement qui peuvent être associés aux utilisateurs ou périphériques

• Le support de l’expérience Single Sign-On avec les profils de configuration pour que les utilisateurs puissent accéder à une suite complète d'applications et de sites Web après avoir entré leur nom d'utilisateur et mot de passe une seule fois. Il est possible de configurer une extension d'application SSO générique ou la nouvelle extension d'application Kerberos intégrée d'Apple, qui permet la gestion des mots de passe et la synchronisation locale avec Active Directory. Microsoft travaille sur le support d'une extension d’application pour Azure AD qui permettra aux utilisateurs d'accéder à toutes les applications Microsoft avec une seule ouverture de session.
• De nouveaux paramètres de commande vocale pour les périphériques iOS 13.x ou ultérieurs supervisés fonctionnant en mode kiosque.
• Microsoft permet la personnalisations des nouveaux écrans introduit dans iOS 13 concernant la phase de configuration du téléphone pour les périphériques issus d’Apple DEP.

Outre ces fonctionnalités déjà proposées, Microsoft travaille sur :

• L’ajout du Dark Mode (mode sombre) au portail d’entreprise (courant octobre).
• Le support natif de 3 nouvelles restrictions applicables à iOS/iPadOS 13 (courant octobre)
  • L’accès aux partages réseaux dans l’application Fichiers
  • L’accès aux lecteurs USB dans l’application Fichiers
  • Wi-Fi toujours activé
• Le support d’ici la fin d’année de l’authentification moderne dans l’assistant de configuration (Setup Assistant) pour les périphériques DEP.

Source : Microsoft Intune Support for iOS 13.1 and iPadOS

Cela fait déjà quelques mois que je vous partage des articles sur les avancées du client Azure Information Protection Unified Labeling ou sur les nouveautés du service. Aujourd’hui, Microsoft accélère la cadence dans le but de faire adopter ce nouveau mode.

On retrouve en premier lieu un article qui explique comment adopter le client Azure Information Protection Unified Labeling en lieu et place du client classique. Le but est de mettre en avant les avantages et de démontrer qu’il n’existe que peu d’inconvénients à l’adopter.

Le second point est la publication en préversion du scanner Unified Labeling utilisé pour étiqueter/labeliser les fichiers en masse. L’avantage de celui-ci contrairement au scanner classique est de proposer un véritable mécanisme de montée en charge. Vous pouvez donc en installer plusieurs qui reçoivent la même stratégie et travaillent en équipe pour mieux adresser vos besoins. Plus d’informations sur : Unified labeling AIP scanner preview brings scaling out and more!

En outre, il est possible de définir les options de permissions définies par l’utilisateur est disponible dans le portail Security and Compliance Center.

Enfin, les applications d’Office ProPlus intègrent nativement les étiquettes de sensibilité (Sensitivity Label) sans demander l’installation d’un client Azure Information Protection. Je vous expliquais d’ailleurs il y a quelques semaines comment privilégier le client Azure Information Protection sur la fonction de sensibilité d’Office.