Demain signe le début de l’événement Microsoft Ignite The Tour organisé par Microsoft à Paris. Pour ma part, j’animerai une session le mercredi 13 de 16h30 à 17h15 sur les bonnes pratiques pour transformer et cibler une gestion moderne des postes de travail. Nous aborderons de nombreux aspects avec notamment des bonnes pratiques pour aborder chaque étape de cette transition.

Vous pouvez toujours vous inscrire via l’adresse : Microsoft Ignite The Tour

Aujourd’hui signe la fin de support de Windows 10 1703 pour les éditions Home, Pro, and Pro for Workstations. Ainsi, le Patch Tuesday de novembre 2019 était le dernier pour cette version dans ces éditions et Microsoft ne publiera plus de mises à jour de sécurité. Les éditions Enterprise et Education sont supportées jusqu’en Novembre 2020.

Microsoft recommande donc la mise à jour des périphériques Windows 10 1803 Pro vers une version ultérieure.

Vous pouvez pour cela utiliser :

• System Center Configuration Manager si le périphérique est cogéré en le mettant à jour via les plans de maintenance Windows 10 ou les séquences de tâches
• Microsoft Intune en créant des anneaux de mises à jour (Update Rings)

Plus d’informations sur : https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet

Il existe de nombreux avantages à faire passer les machines Windows 10 jointes au domaine Active Directory dans un mode Hybid Azure AD Join ou anciennement Domain Join++ (DJ++). Ce mode permet par exemple d’accéder aux ressources Cloud avec du Single Sign-On (Office 365, etc.). En outre, cela permet de bénéficier de scénarios tels que l’enregistrement automatique dans Microsoft Intune ou l’authentification sur la Cloud Management Gateway de System Center Configuration Manager.
Pour atteindre cet état, les machines doivent donc s’enregistrer dans Azure Active Directory.

Normalement, il est possible de rendre Hybrid Azure AD Join une machine Windows 10 à partir de Windows 10 1511/1607.

Néanmoins, il est préférable de privilégier Windows 10 1803 ou une version ultérieure.

En effet une machine jointe à Active Directory, peut déjà avoir réalisé un enregistrement (hors Hybrid Azure AD Join) en se connectant à un service porté par Azure AD (tel qu’Office 365). Dans ce cas, la machine remonte comme Azure AD Registered.

Avant Windows 10 1803, la jointure Hybrid Azure AD engendre des enregistrements dupliqués avec :

• Un enregistrement Hybrid Azure AD
• Un enregistrement Azure AD Registered

Ceci peut rendre difficile :

• La gestion des machines dans Azure AD du fait des enregistrement dupliqués
• La gestion des machines par Microsoft Intune car le mauvais enregistrement peut être inséré dans un groupe AAD utilisé pour les déploiements
• Eviter des problèmes avec Windows Hello for Business.

A partir de Windows 10 1803 (avec KB4489894) ou ultérieur :

• Tout état Azure AD Registered existant est automatiquement supprimé une fois que le périphérique est joint en mode Hybrid Azure AD.
• Vous pouvez empêcher l'enregistrement dans Azure AD de périphérique joint au domaine en ajoutant cette clé de registre - HKLM\SOFTWARE\Politiques\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001.

Pour plus d’informations sur l’implémentation d’Hybrid Azure AD Join.

Michael Niehaus signale des changements sur le module PowerShell pour Windows Autopilot avec l’arrivée de la version 3.4.

Cette version (à partir de 3.0) introduit de nombreux changements dont un changement dans la logique d’authentification. Auparavant, le module utilisait sa propre logique à partir de cette version, il utilise l’authentification via les classes Graph API Intune. Ceci évite une double authentification lors de la réalisation d’actions sur Microsoft Intune.

La version 3.2 introduit la cmdlet GetèAutopilotProfileAssignedDevices permettant de lister les périphériques avec un profil spécifique.

Vous pouvez l’installer avec la cmdlet : Install-Module -Name WindowsAutoPilotIntune

Télécharger le module WindowsAutopilotIntune

Microsoft a publié une série de vidéos très intéressantes sur les fondamentaux de sécurité et de risque dans le Cloud avec Office 365. On retrouve notamment :

• Microsoft Online Services Incident Management
• Microsoft Online Services Continuity Management
• Office 365 Security Development and Operation
• Office 365 Access Controls
• Office 365 Vulnerability Management
• Office 365 Audit Logging and Monitoring

Microsoft vient de créer un portail Wiki sur GitHub pour Azure Sentinel. Ce portail fournit des bonnes pratiques, de la documentation, des exemples pour bien démarrer sur Azure Sentinel. Ce portail est l’endroit idéal pour retrouver des contributions qui viennent de Microsoft ou de la communauté. Outre le Wiki, vous retrouvez aussi des requêtes, des Notebooks, des Playbooks, etc.

Pour rappel Azure Sentinel est une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel, une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.

Accéder au :

• Wiki GitHub Azure Sentinel
• Ressources Azure Sentinel sur GitHub

Quand on touche aux performances et aux stratégies de groupe (GPO), on s’attaque à un sujet délicat qui fait de longs débats dans les entreprises ! Combien d’entreprises ont initié des études/audits suite à des temps d’ouverture de session utilisateur trop long ? C’est une question que l’on m’a reposé récemment chez un client et je me permets de déterrer un très bon billet de Graeme Bray (PFE Microsoft) qui apporte des éléments de réponse factuels sur une optimisation parfois mis en avant : Est-ce que désactiver les sections Utilisateurs/Ordinateur d’une stratégie spécifique rend le traitement plus rapide ? En gros, est-ce plus intéressant de créer des GPOs spécifiques aux paramètres machines et d’autres spécifiques aux paramètres utilisateurs d’un point de vue performances ! Ceci n’empêche pas que certaines entreprises vont préférer cette organisation d’un point de vue utilisation.

Pour ceux qui ne souhaitent pas passer 5 à 10 minutes à trouver les éléments intéressants de son étude, je peux déjà vous répondre que la séparation des paramétrages Utilisateurs et Ordinateurs n’ont quasiment pas d’impact sur les performances de traitement.

Pour plus d’informations, je vous invite à lire son billet : Does Disabling User/Computer GPO Settings Make Processing Quicker?

Je vous partage aujourd’hui le script de Carter Green (MSFT) qui permet de vous aider à l’activation et la mise en œuvre de la fonction de redirection des dossiers connus apportés par OneDrive. Ce script peut être exécuté manuellement, par System Center Configuration Manager ou Microsoft Intune. Son intérêt est qu’il va réaliser une évaluation avec notamment :

• L’éligibilité à la fonctionnalité de redirection des dossiers connus (Known Folder Move)
• Le détail des éléments à déplacer (Nombre d’objets, taille du contenu dans chaque dossier connu)
• Etat de la fonctionnalité Known Folder Move
• Etat des GPOs Known Folder Move

Note : Vous devez renseigner l’identifiant du tenant.

Obtenir plus d’informations et le script Windows Known Folder Move (KFM) deployment

Microsoft vient de publier la première version des baselines de paramétrages de sécurité pour Microsoft Edge (Chromium) version 78. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

Ces paramètrages sont bien distincts de ceux de Microsoft Edge classique présents dans la baseline de Windows 10. On y retrouve 205 paramétrages de stratégie de configuration ordinateur et 190 paramétrages de stratégie de configuration utilisateur.

Plus d’informations sur l’article suivant : https://techcommunity.microsoft.com/t5/Microsoft-Security-Baselines/Security-baseline-DRAFT-for-Chromium-based-Microsoft-Edge/ba-p/949991

 Télécharger Security baseline (DRAFT) for Chromium-based Microsoft Edge, version 78

Michael Niehaus (MSFT) a publié il y a quelques temps deux billets très intéressants permettant d’étendre les capacités de configuration offertes par Windows Autopilot et Microsoft Intune nativement. Pour rappel, Windows AutoPilot est l’équivalent du programme Apple Device Enrollment Program (DEP). Il permet de pré-provisionner des périphériques sans action particulière de la part de l’utilisateur. On peut donc acheter le périphérique et le faire livrer directement à l’utilisateur. Ce dernier le démarre et il se configure tout seul avec les éléments nécessaires pour l’entreprise.

Parmi les éléments qui peuvent être limités, on retrouve :

• Personnaliser correctement le menu démarrer
• Configurer le fond d’écran
• Configurer le fuseau horaire
• Supprimer les applications modernes/universelles par défaut.
• Installer le client OneDrive en mode machine
• Désactiver l’icône Microsoft Edge.
• Installer des packs de langues
• Installer les fonctionnalités à la demande
• Configurer les langues

Pour répondre à ce besoin, Michael propose d’utiliser un installeur MSI qui effectue ces opérations et qui est déployé par Microsoft Intune aux machines Windows 10 provisionnés avec Windows Autopilot. Il donne des exemples pré-fait avec Wix Toolkit sur son GitHub.

Lire :

• Configuring Windows 10 defaults via Windows Autopilot using an MSI

Configuring more Windows 10 stuff via Windows Autopilot using an MSI

Martin Bengtsson (Microsoft MVP) a publié une solution que je trouve particulièrement intéressante puisqu’elle permet d’afficher une notification (toast) sur des machines Windows 10 pour gérer un des scénarios suivants :

• Inciter l’utilisateur à redémarrer sa machine
• Inciter l’utilisateur à changer son mot de passe qui s’apprête à expirer
• Inciter l’utilisateur à exécuter une mise à niveau pour une nouvelle version de Windows 10

C’est ce dernier scénario que je trouve particulièrement intéressant car il peut être utilisé pour :

• Inciter l’utilisateur à lancer lui-même la mise à niveau
• Préparer et Installer la mise à niveau de manière silencieuse puis bloquer le redémarrage et inciter l’utilisateur à redémarrer pour finaliser les dernières étapes.

Plus d’informations sur : Windows 10 Toast Notification Script

Depuis plusieurs semaines, vous avez pu voir apparaître des stratégies d’accès conditionnel proposées par défaut dans Azure Active Directory. Actuellement en Preview, on retrouve notamment :

• Baseline policy: Require MFA for Admins
• Baseline policy: End user protection
• Baseline policy: Block legacy Authentication
• Baseline policy: Require MFA for Service Management

Je ne détaillerais pas chacune d’entre elle mais la première qui demande l’authentification à facteurs multiples pour les administrateurs, peut être dangereuse. Elle s’applique à tous les comptes qui disposent des rôles :

• Global Administrator
• SharePoint Administrator
• Exchange Administrator
• Conditional Access Administrator
• Security Administrator
• Helpdesk Administration/Password Administrator
• Billing Administrator
• User Administrator

La particularité de ces stratégies est qu’il n’est pas possible d’exclure des utilisateurs. Ainsi, elle s’applique à tous les utilisateurs ayant ces rôles. Ceci inclut : les comptes de service ou les comptes de secours (pour la reprise en main du tenant en cas de problème.

Je vous recommande d’être très précautionneux en activant cette stratégie et peut être créer votre stratégie qui vous permettra d’exclure certains comptes utilisateurs.

Microsoft vient d’annoncer un changement concernant la stratégie de mise à jour du client Microsoft Teams. Microsoft met à jour son client toutes les deux semaines sans pour autant impacter les utilisateurs qui ne réalisent pas correctement la mise à jour.

A partir de maintenant, Microsoft va devenir plus agressif par différents moyens :

• L’affichage d’une bannière incitant les utilisateurs à mettre à jour le client Teams s’il ne l’est pas
• Lorsque la version utilisée a plus de 3 mois, les utilisateurs arriveront sur une page bloquante proposant de mettre à jour le client maintenant, de contacter l’administrateur de l’entreprise, de continuer en utilisant Teams sur le Web.

Microsoft avertira les administrateurs par un message dans le Centre de Messages Office 365 si des utilisateurs rentrent dans un de ces deux scénarios.

Le client peut ne pas se mettre à jour automatiquement dans l’un des cas suivants :

• Logiciel antivirus (et autres applications) bloquant la mise à jour des équipes
• La lenteur ou la petite taille des liens réseau peuvent nécessiter des mises à jour manuelles/contrôlées.
• L’utilisateur lance le client Teams principalement pour les appels et les réunions - les mises à jour n’ont pas lieu pendant les appels et les réunions. Si l'utilisateur ferme Teams après des appels ou des réunions, le client ne peut pas se mettre à jour.
• Utilisation d’un chemin d'installation non standard : Ceci nécessite des mises à jour manuelles

Plus d’informations sur : Teams update process

Azure ATP étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.99 apporte des améliorations et des corrections de bugs sur les capteurs mais aussi l’ajout de notifications depuis l’interface utilisateur sur la chronologie d’alerte pour signaler la disponibilité du portail Cloud App Security.

• La version 2.98 apporte des améliorations et des corrections de bugs sur les capteurs mais aussi l’amélioration de l’alerte sur les attaques brutes forces suspectées avec l'utilisation d'analyses supplémentaires et d'une logique de détection améliorée pour réduire le nombre de résultats d'alertes bégnines True Positives (B-TP) et faux positifs (FP).

Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Microsoft annonce Azure Spring Cloud, un service complétement gérer pour déployer des microservices Spring Boot et Spring Cloud.
• Microsoft propose un livre blanc de l’International Data Corporation (IDC) démontrant les capacités de retour sur investissement (ROI) pour des clients qui doivent remplir des obligations légales, gouvernementales, de santé et financières.
• 113 services Microsoft Azure sont conformes pour leur capacité à traiter les informations officielles et protégées du gouvernement australien (PROTECTED). L’analyse a été réalisée par un programme Security Registered Assessor Program (IRAP).
• Microsoft publie un ebook sur confiance du Cloud afin d’aborder : Sécurité, Confidentialité, Conformité, Fiabilité et Résilience, et Propriété intellectuelle.
• SAP et Microsoft s’associent pour des offres de migration Cloud des solutions SAP sur Microsoft Azure.
• Mise à jour d’Azure Cost Management incluant :
  • Des nouveautés pour les partenaires en Novembre pour permettre de comprendre et analyser le coût directement dans le portail et séparer les coûts par clients, abonnements, etc. Ils pourront configurer un budget et être notifié ou lancer des actions quand le coût est dépassé. Ils pourront revoir les coûts sur les factures et activer la gestion des coûts en utilisant un taux pay-as-you go
  • Mise à jour du connecteur Power BI
  • Amélioration des recommandations utilisées pour bien dimensionner la taille des machines virtuelles.
  • Dans Cost Management Labs, on retrouve la une page d’accueil d’analyse du coût, une priorisation des comptes actifs et une optimisation des performances dans les tuiles de tableaux de bord et l’analyse de coût.

Azure Active Directory

• Les nouveautés d’Azure Active Directory en Octobre 2019.
• Arrivée de 16 nouveaux rôles dans Azure Active Directory permettant de gérer les droits d’accès aux différents services :
  • Authentication administrator : Affichez, définissez et réinitialisez les informations et les mots de passe des méthodes d'authentification pour tout utilisateur non administrateur.
  • Azure DevOps administrator : Gérer la politique et les paramètres d'organisation de DevOps Azure.
  • B2C user flow administrator : Créer et gérer tous les aspects des flux d'utilisateurs.
  • B2C user flow attribute administrator : Créez et gérez le schéma d'attributs disponible pour tous les flux utilisateur.
  • B2C IEF Keyset administrator : Gérer les secrets pour la fédération et le cryptage dans le cadre de l'Identity Experience Framework.
  • B2C IEF Policy administrator : Créer et gérer les politiques du cadre de confiance dans le cadre de l'expérience de l'identité.
  • Compliance data administrator : Créez et gérez des données et des alertes de conformité.
  • External Identity Provider administrator : Configurer les fournisseurs d'identité pour une utilisation en fédération directe.
  • Global reader : Affiche tout ce qu'un administrateur Global peut voir sans pouvoir modifier ou changer.
  • Kaizala administrator : Gérer les paramètres pour Microsoft Kaizala.
  • Message center privacy reader : Lisez les messages du centre de messagerie, les messages de confidentialité des données, les groupes, les domaines et les abonnements.
  • Password administrator : Réinitialiser les mots de passe pour les non-administrateurs et les administrateurs de mots de passe.
  • Privileged authentication administrator : Affichez, définissez et réinitialisez les informations de méthode d'authentification pour tout utilisateur (administrateur ou non administrateur).
  • Security operator : Crée et gère les événements de sécurité.
  • Search administrator : Créez et gérez tous les aspects des paramètres de recherche Microsoft.
  • Search editor : Créez et gérez le contenu éditorial tel que les signets, les questions et réponses, les emplacements, le plan d'étage.
• Disponibilité Générale des librairies d’authentification Microsoft (MSAL) pour Android, iOS et MacOS.

Azure Computer

• Une nouvelle option pour assurer la haute disponibilité de SQL Server avec des clusters failover SQL Server en utilisant les partages de fichiers Premium d’Azure. Les Premium File Shares sont des partages de fichiers à faible latence sur des disques SSD. Ces derniers peuvent être utilisé pour des cluster SQL Server 2012 hébergés sur Windows Server 2012 et plus.
• Disponibilité Générale des machines virtuelles de séries Mv2 avec 12TB de mémoire certifiées pour SAP HANA OLTP et OLAP.

Azure Network

• Vous pouvez utiliser Azure Standard Load Balancer dans Azure Kubernetes Services (AKS).

Azure Storage

• Disponibilité Générale de partages de fichiers standard plus larges et plus puissances pour Azure File Vous pouvez maintenant aller jusqu’à 100 TB, 10K IOPS et 300 MB/s de débit. Pour rappel, Azure Files est un stockage de fichiers Cloud sécurisé et entièrement géré avec une gamme complète d'options de redondance de données et de capacités hybrides utilisant Azure File Sync.
• Preview du chiffrement côté serveur avec des clés gérés par les clients pour les disques gérés Azure (Azure Managed Disks).
• Preview de l’upload direct vers les disques gérés Azure (Azure Managed Disks). Ceci permet la copie d’un disque VHD on-Premises directement comme un disque géré en l’uploadant sur des disques standard HDD, Standard SSD, et Premium SSD.
• Microsoft permet d’utiliser le chiffrement côté client pour chiffrer les données avant de les télécharger vers Azure Storage. Vous pouvez également demander à Azure Storage de gérer les opérations de chiffrement à l'aide du chiffrement côté serveur à l'aide de clés gérées par Microsoft ou de clés gérées par le client dans le coffre-fort Microsoft Azure Key. Aujourd'hui, Microsoft annonce l'amélioration du chiffrement côté serveur pour prendre en charge les paramètres de chiffrement granulaire sur le compte de stockage avec des clés hébergées dans n'importe quel magasin de clés.
• Disponibilité Générale des zones privées par Azure DNS.

Azure SQL

• Preview de l’intégration entre Azure SQL Data Warehouse/Azure SQL Database et Azure Data Share afin d’offrir le support du partage basé sur des snapshots.

Azure Key Vault

• Les références Key Vault peuvent être utilisées avec les applications App Service et Azure Functions sans demander de changement dans le code de l’application. La référence est définie dans les paramétrages de l’application pour faire référence à un secret géré dans Azure Key Vault.

Operations Management Suite (OMS)

• Nouvelle version de l’agent OMS Pour Linux (20119-10 ; 1.12.1-0). Cette version inclut une mise à jour de Ruby en version 2.6, le support de SSL 1.0.1+, l’amélioration de la télémétrie, le support de syslog unix domain socket et des corrections de bugs et de problèmes de performance.
• Azure Backup ajoute le support des disques gérés allant jusqu’à 32 TB et jusqu’à 256 TB pour tous les disques combinés d’une machine virtuelle.
• Les administrateurs ont maintenant une procédure hautement configurable pour les activités opérationnelle d’évaluation du failover. Cette expérience est pour l’instant disponible pour les machines virtuelles Azure protégées et le sera pour les machines physiques et VMware dans quelques temps.

Azure Monitor

• La rétention d’Azure Monitor Log Analytics est configuré par type de données avec un maximum de 730 jours.
• Application Insights d’Azure Monitor et la publication de l’ASP .NET Core 2.8.0 et .NET Core Worker Service 2.8.0 apportent le support de nouveaux types d’applications, de nouvelles métriques d’alertes, et le support d’ASP.NET Core 3.0
• Si vous avez utilisé la Preview d’Azure Monitor pour les machines virtuelles, Microsoft va opérer des changements importants pour préparer la disponibilité générale. Notamment les datasets de performance seront stockés dans la même table InsightsMetrics que les conteneurs. Les tables ServiceMap* seront déplacées vers un type de données dédié avec des tables portant le nom de VMComputer et VMProcess.

Azure Data

• Disponibilité Générale de la fonctionnalité Mapping Data Flows sur Azure Data Factory. Ce service d’intégration hybride permet aux utilisateurs un environnement sans code et sans serveur qui simplifie l'ETL dans le cloud et s'adapte à toutes les tailles de données, sans gestion d'infrastructure.

Azure IoT

• On retrouve l’arrivée de nouvelles fonctionnalités sur Azure IoT Central avec :
  • 11 nouveaux modèles d’applications focalisés sur l’industrie
  • Le support d’API pour le modelage de périphérique, le provisionnement, la gestion du cycle de vie, les opérations et les requêtes de données
  • Le support d’IoT Edge
  • Le support d’IoT Plug and Play.
• Microsoft annonce de nouvelles capacités sur Azure Time Series Insights.
• Annonce de la disponibilité générale d’Azure Sphere pour février 2020.

Azure Blockchain

• Annonce et Preview de Corda Enterprise sur Azure Blockchain Service. Le service Corda fait son apparition sous la forme d’un service PaaS pour créer des nœuds Corda.

Azure Stream Analytics

• Support des instances gérées SQL et des instances SQL Server sur des machines virtuelles par Azure Stream Analytics.
• De nouvelles fonctionnalités Preview vont être déployées début novembre avec notamment
  • La fonctionnalité online scaling permettant de changer l’allocation SU sans avoir à arrêter le travail.
  • Support de la désérialisation personnalisées en C#.
  • Stream Analytics est supporté (en Preview) sur Azure Stack via le runtime IoT Edge.
  • Support de l’authentification basée sur Managed Identity avec Power BI pour l’expérience de tableau de bord dynamique.

Autres services

• Microsoft annonce un partenariat avec AccuWeather pour lancer en Preview Weather Services sur Azure Maps. Ceci permet aux entreprises qui utilisent Azure Maps dans leurs applications de bénéficier d’un service de prévision météo sur les cartes. Vous pouvez avoir accès à un API, aux conditions météos actuelles, aux prévisions par minutes, aux prévisions par heure, aux prévisions de quart de journée, aux prévision journalières etc.
• Preview d’octobre 2019 du SDK Azure unifié pour .NET, Java, JavaScript and TypeScript, et Python.
• Disponibilité Générale de l’API Azure pour Fast Healthcare Interoperability Resource (FHIR).

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en octobre 2019.

Microsoft apporte les nouveautés suivantes :

• Public Preview du déploiement graduel de l’authentification Cloud pour permettre de passer d’un scénario fédéré (Exemple AD FS) vers PassThrough Authenticaton (PTA) ou Password Hash Synchronization. Pour ce faire, vous devez naviguez dans le portail Azure AD puis vous diriger dans la section Azure AD Connect :

               Vous pouvez ensuite activer le déploiement graduel pour vers PassThrough Authenticaton (PTA) (il vous faut au moins un agent pour celui-ci), Password Hash Synchronization, et Seemless Single Sign-On

               Vous pouvez ensuite ajouter les groupes choisis. Ces derniers ne doivent pas être des groupes dynamiques ou imbriqués.

• Public Preview de My Sign-Ins dans Azure Active Directory permettant à l’utilisateur de vérifier son historique de connexion pour voir les activités inhabituelles. Il voit donc toute l’activité récente depuis sa page de profil.

On retrouve les modifications de service suivantes :

• Dépréciation de l’API identityRIskEvent pour la détection des risques d’Azure AD Identity Protection. Cette API est remplacée par l’API risk Detection qui permet de faire des requêtes plus complexes.

Plus d’informations sur : What’s new Azure AD

Après le scanner, le client Office 365 ProPlus, voici qu’Outlook sur le Web (OWA) intègre les labels/étiquettes de confidentialité directement dans son interface pour permettre la classification et la protection via Azure Information Protection.

Une fois que l’entreprise a défini et configuré les labels/étiquettes et stratégies de confidentialité, les mêmes étiquettes sont publiées et mises à disposition dans OWA.

Microsoft prépare l’intégration sur le reste des applications Office sur le Web ainsi que sur l’application Outlook sur iOS.

Plus d’informations sur : https://support.office.com/en-us/article/apply-sensitivity-labels-to-your-documents-and-email-within-office-2f96e7cd-d5a4-403b-8bd7-4cc636bae0f9#ID0EAEAAA=Web

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Windows 10] Un nouveau paramétrage permet de n’afficher la page d’état de l’enregistrement (ESP) qu’aux périphériques provisionnés via l’expérience post installation (OOBE). Ceci permet d’éviter d’afficher cette page lorsqu’un nouvel utilisateur se connecte sur la machine. Ceci avait aussi un effet de bord de faire éventuellement tomber en timeout dans certaines conditions. Le paramétrage est disponible dans : Intune > Device enrollment > Windows enrollment > Enrollment Status Page > Create Profile > Settings > Only show page to devices provisioned by out-of-box experience (OOBE).

• [Windows 10] Microsoft vient d'intégrer les fonctionnalités permettant de mettre en oeuvre Windows Autopilot dans le monde de l'éducation directement depuis le portail Microsoft Intune for Education.
• [Android] Amélioration du design de la liste de vérification du portail d’entreprise. Cette dernière a été allégée et de nouvelles icônes sont présentes. Ceci permet d’aligner le design avec le portail d’entreprise sur iOS.
• [iOS] Le portail d’entreprise sur iOS dispose maintenant du mode sombre (Dark Mode). Ainsi l’application s’adapte au paramétrage défini dans iOS pour savoir si elle doit activer le mode sombre ou lumineux.Ceci est compatible pour les périphériques équipés d'iOS 13 ou plus. Microsoft ajoute aussi le support de ce mode sombre dans le SDK Intune pour OS.
• [iOS] Le portail d’entreprise et l’enregistrement ne supporte qu’iOS 11 ou ultérieur. Les versions plus anciennes ne sont pas supportées.

Configuration du périphérique

• [Windows 10] Un nouveau profile de configuration de périphérique permet de contrôler les paramétrages et les fonctionnalités du firmware UEFI (BIOS). Ce paramétrage s’applique à Windows 10 1809 ou plus sur des firmwares supportant DFCI.

Gestion des applications

• [Général] Vous pouvez créer une stratégie de protection des applications (APP/MAM) qui peut bloquer ou effacer sélectivement les données d'entreprise des utilisateurs en fonction de l’état du périphérique sans nécessiter l’enregistrement de ce dernier. L’état du périphérique est déterminé à l'aide d’une solution Mobile Threat Defense que vous avez choisie. Cette capacité existe aujourd'hui avec les périphériques enregistrés dans Intune en tant que paramètre de conformité des périphériques. Sur Android, cette fonctionnalité nécessite la dernière version du Portail d'entreprise. Sous iOS, cette fonctionnalité sera disponible lorsque les applications intégreront le dernier SDK Intune (v 12.0.15+).

• [Général] Les stratégies de protection des applications (APP/MAM) permettent maintenant de spécifier la version minimale attendue du portail d’entreprise. Ce paramètre de lancement conditionnel permet de bloquer l’accès, effacer les données ou simplement avertir. Le paramétrage ne s’applique que pour les utilisateurs qui ont à minima la version 5.0.4560.0. Il n’a donc pas d’effet sur les versions plus ancienne.
• [Windows 10] Vous pouvez maintenant configurer une date de mise à disposition et une date butoir pour les applications Win32 déployées de manière obligatoire. Lors de la mise à disposition (Start time), Microsoft Intune commencera à récupérer le contenu et à le stocker dans le cache. L’application sera donc disponible pour une installation lors de la date butoir. Pour les applications en libre-service, la date de mise à disposition est utilisée pour savoir quand l’application devient visible dans le portail d’entreprise.

• [Windows 10] Il est maintenant possible d’exiger un redémarrage après l’installation avec succès d’une application Win32.

• [Windows 10] Les stratégies supplémentaires Windows 10 S permettent de gérer le mécanisme Windows Defender Application Control. Ceci permet notamment d’installer et exécuter des applications Win32 sur des périphériques gérés en mode Windows 10 S. Pour ce faire, vous pouvez créer une ou plusieurs stratégies pour le mode S en utilisant les outils PowerShell de Windows Defender Application Control (WDAC). Vous devez ensuite signer les stratégies avec le portail de signature Device Guard, puis téléchargerr et distribuer les stratégies via Intune. Dans Intune, vous trouverez cette fonctionnalité en sélectionnant Client apps > Windows 10 S supplemental policies.

Sécurité du périphérique

• [Windows 10] Microsoft a ajouté en préversion la baseline de sécurité pour Microsoft Edge.

Autre

• [Général] Amélioration de l’administration proposée au travers du portail de gestion des périphériques Microsoft 365 (DMAC). On retrouve notamment :
  • Un premier niveau de navigation mis à jour pour refléter les fonctionnalités par groupe logique
  • Une capacité de filtrer par plateforme individuelle afin de ne voir que les stratégies et les applications de la plateforme choisie.

• • Une nouvelle page d’accueil permettant de visualiser l’état de santé du tenant, du service, l’actualité, etc.

• [Général] Le portail de gestion des périphériques Microsoft 365 (DMAC) voit l’apparition d’un nœud Endpoint Security regroupant les capacités suivantes :
  • Security Baselines : Les groupes de paramétrages préconfigurés selon les bonnes pratiques de Microsoft qui peuvent être déployés par l’entreprise
  • Secuirty Tasks : Regroupe les taches attribuées par le SoC issues de Microsoft Defender ATPs Threat and Vulnerability Management (TVM).
  • Microsoft Defender ATP.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

L’actualité concernant la partie Modern Workplace est très riche ! Il est parfois difficile de tout s’approprié. Cet article résume les différentes annonces :

Général

• Microsoft est nommé Leader par Forrester sur l’Endpoint Security Suite.
• Acquisition de Mover qui fournit des solutions permettant de migrer des données (Fichiers, etc.) à partir de fournisseurs Cloud tierces vers OneDrive et SharePoint.

Microsoft 365

• Disponibilité Générale de Windows Virtual Desktop pour les clients Microsoft 365 Business et publication d‘un estimateur d’expérience.

Desktop Analytics

• Les nouveautés de Desktop Analytics d’octobre 2019

Microsoft Defender ATP

• Disponibilité Générale de la protection contre la manipulation (Tamper Protection) de Windows Antivirus avec Microsoft Defender ATP. Plus d’informations sur mon billet.
• Public Preview du connecteur Microsoft Defender Advanced Threat Protection pour Azure Sentinel permettant d’envoyer les alertes dans la SIEM de Microsoft.
• La fonctionnalité d’experts sécurité à la demande Microsoft Threat Experts est en disponibilité générale. Microsoft intègre la fonction depuis plusieurs emplacements du portail Microsoft Defender ATP dont notamment le menu Help and Support, la page Machine, le menu d’action sur les alertes, le menu d’action sur les fichiers.
• La page des applications connectées permet d’afficher toutes les applications Azure AD qui se connecte à Microsoft Defender ATP (Graph Explorer, etc.). Cela permet par exemple d’identifier les applications qui accèdent aux données, etc.
• API Explorer vous permet de créer des requêtes API qui peuvent être tester sur les points de terminaison de l’API MDATP. Ceci est notamment utile dans des phases de développement pour les intégrations que vous pourriez opérer.

Enterprise Mobility + Security

Azure Active Directory

• Public Preview du déploiement graduel de l’authentification Cloud pour permettre de passer d’un scénario fédéré (Exemple AD FS) vers PassThrough Authenticaton (PTA) ou Password Hash Synchronization.
• Public Preview de My Sign-Ins dans Azure Active Directory permettant à l’utilisateur de vérifier son historique de connexion pour voir les activités inhabituelles. Il voit donc toute l’activité récente depuis sa page de profil.
• Dépréciation de l’API identityRIskEvent pour la détection des risques d’Azure AD Identity Protection. Cette API est remplacée par l’API risk Detection qui permet de faire des requêtes plus complexes.

Microsoft Intune

• Les nouveautés de mi-octobre 2019
• Les nouveautés de fin octobre 2019
• Windows Autopilot devient gérable depuis le portail Microsoft Intune for Education.
• Windows Autopilot et la page d’état de l’enregistrement (ESP) supporte Windows Hello for Business.  Le scénario était bloqué car la page d’état d’enregistrement attendait les certificats à installer avant que Windows Hello for Business soit configuré bloquant ainsi le processus. A partir de maintenant, les certificats utilisés par Windows Hello for Business seront délivrés après pour permettre la page d’état de l’enregistrement de s’exécuter.

Azure Information Protection

• Disponibilité Générale de la classification manuelle dans Outlook Web Access (Outlook on the Web).
• Mise à jour de la documentation avec les éléments suivants :
  • Mise à jour de FAQs: Classification and labeling in Azure Information Protection pour spécifier qu’Outlook on the web supporte nativement la classification.
  • Requirements for Azure Information Protection: Mise à jour de la section Applications avec l'information que la fonction Office Mail Merge n'est prise en charge pour aucune fonction Azure Information Protection.
  • Active Directory Requirements for Azure Information Protection Mise à jour de la section "La valeur UPN des utilisateurs ne correspond pas à leur adresse email" avec l'information que ce scénario ne supporte pas le single-sign on (SSO).
  • Applications that support Azure Rights Management data protectionMise à jour du tableau des applications enlightened RMS, pour inclure les extensions de noms de fichiers Visio pour Visio 2016 et versions ultérieures. Il ne s'agit pas de nouveaux types de fichiers pris en charge et ils ont été répertoriés dans les guides d'administration comme types de fichiers pris en charge, mais n'ont pas été inclus dans ce tableau.
  • Quickstart: Get started with Azure Information Protection in the Azure portal: Mise à jour pour inclure la publication de la stratégie globale avec les étiquettes/label par défaut dans le portail Azure, afin qu'elles soient disponibles pour le client classique.
  • Ajout de Office 2019 for Mac and Office 2016 for Mac: How to force a refresh for templates.
  • Central reporting for Azure Information Protection : Suppression de la limitation connue selon laquelle les types d'informations personnalisées n'étaient pas toujours affichés maintenant que cette fonctionnalité est prise en charge par la version actuelle du client Unified Labeling.

Cloud App Security

• Gartner nomme Microsoft leader dans la catégorie Cloud Access Security Broker (CASB)
• Nouveau parseur de journaux ContentKeeper pour Cloud Discovery. Pour rappel, Cloud App Security Cloud Discovery analyse un large éventail de journaux de trafic pour classer et noter les applications.
• On retrouve de nouvelles détections en Preview avec notamment :
  • Activité suspicieuse de suppression d’emails avertit lorsqu'un utilisateur effectue des activités inhabituelles de suppression d'e-mails. Cette politique peut vous aider à détecter les boîtes aux lettres des utilisateurs qui peuvent être compromises par des vecteurs d'attaque potentiels tels que les communications de commande et de contrôle (C&C/C2) par email.
  • Plusieurs partages inhabituels de rapports Power BI
  • Multiples activités de création de machine virtuelles pour détecter un nombre inhabituel de création de machines virtuelles. S’applique à Azure
  • Multiples activités de de suppression de stockage pour détecter un nombre inhabituel de suppression. S’applique à Azure

Azure ATP

• La version 2.99 apporte des améliorations et des corrections de bugs sur les capteurs mais aussi l’ajout de notifications depuis l’interface utilisateur sur la chronologie d’alerte pour signaler la disponibilité du portail Cloud App Security.
• La version 2.98 apporte des améliorations et des corrections de bugs sur les capteurs mais aussi l’amélioration de l’alerte sur les attaques brutes forces suspectées avec l'utilisation d'analyses supplémentaires et d'une logique de détection améliorée pour réduire le nombre de résultats d'alertes bégnines True Positives (B-TP) et faux positifs (FP)..

Office 365 et Office

• Annonce d’une nouvelle version de Microsoft Project avec un nouvel abonnement (Project Plan 1). Cette version de Project propose des intégrations fortes avec Microsoft Teams. Le nouvel abonnement permet de bénéficier de Project avec des fonctions limitées permettant de commencer à utiliser Project.
• A partir du 8 octobre 2019, si vous utilisez la nouvelle interface utilisateur du portail d'administration (aperçu activé), les messages qui contiennent des heures UTC seront convertis à votre heure locale. Les types de postes qui verront ce changement sont les suivants : Advisory post, postes d’Incident, et postes Message Center.
• A partir du 31 octobre, les mises à jour Office ne seront signées qu’avec l’algorithme SHA-2. Vous devez donc installer les mises à jour nécessaires sur les systèmes Windows hérités.
• Prochainement le tableau de bord de l’état de santé dans le centre d’administration Microsoft 365 supportera les notifications emails pour les incidents. Ces notifications peuvent être ciblées pour des services spécifiques.
• Outlook Mobile va permettre d’afficher la section What’s up next dans votre boite de réception pour afficher votre prochaine réunion dans le calendrier. Ce bandeau sera affiché quand vous avez une réunion planifiée dans les 30 minutes qui suivent.
• Microsoft va déployer une amélioration du calendrier sur Outlook pour iOS et Android avec le support des fuseaux horaires lors de la création d’une réunion et de Meeting Insights
• Déploiement Généralisé du support de S/MIME pour les clients Outlook pour Android et iOS.
• Disponibilité Générale de l’étiquetage/labelisation Mcrosoft Information Protection dans Outlook mobile sur iOS et Android.
• Il devient possible d’annoter des fichiers PDF dans les applications Office sur Android.
• Concernant Outlook on the Web, Microsoft introduit les changements suivants :
  • Amélioration de l’expérience de partage de fichiers dans Outlook Web App.
  • Vous pouvez configurer les labels/étiquettes de confidentialité (Sensitivity) afin de les appliquer automatiquement aux emails en fonction de groupes et de conditions. Ceci requiert Office 365 E5. Le déploiement de cette fonctionnalité est attendu d’ici la fin de l’année
  • Mise à jour d’Outlook sur le Web pour renommer le module et l’onglet Tâches dans My Day en renommant ce dernier To Do. L’expérience est déjà proposée via To Do.
  • Outlook va afficher un bouton RSVP dans la liste des messages permettant de répondre rapidement à une invitation. Le déploiement de cette fonctionnalité est attendu d’ici la fin de l’année

Communications unifiées

• Déploiement généralisé d’ici fin novembre du paramétrage par défaut pour les sous titres en direct dans la stratégie d’événements en direct. Les légendes et les sous-titres seront activés pour l'organisateur de l'événement dans leurs options de programmation. Les organisateurs d'événements peuvent désactiver cette fonction pour leurs participants.
• La partie Administration Voice de Teams comprend les nouveautés suivantes :
  • Rechercher et acquérir des numéros de téléphone en utilisant les plans d'appel de Microsoft et assigner ces numéros de téléphone ainsi que les adresses d'urgence aux utilisateurs finaux
  • Pour les clients qui ont besoin d'un plan de numérotation personnalisé, les administrateurs du tenant pourront créer, tester et gérer des plans de numérotation personnalisés.
  • Configurer des stratégies personnalisées pour le support du Dynamic E-911 et lier ces stratégies à une topologie réseau des régions, des sites et des sous-réseaux qui seront supportés

• De plus, des améliorations à la configuration Auto Attendants et des Call Queues sont en cours de publication, y compris une conception plus simple des Auto Attendants et la prise en charge de la composition des numéros de poste et du transfert aux numéros de téléphone RTC/PSTN.

• D’ici fin octobre, Microsoft va publier un rapport sur le pool des minutes PSTN/RTC vous donnant un aperçu de l'activité des audioconférences et des appels dans l’entreprise en vous indiquant le nombre de minutes consommées pendant le mois en cours. Vous pouvez voir une ventilation de l'activité, y compris la licence utilisée pour les appels, le nombre total de minutes disponibles, les minutes utilisées et l'utilisation de la licence par emplacement

Collaboration

• Concernant SharePoint et OneDrive, on retrouve les éléments suivants :
  • Les utilisateurs OneDrive peuvent maintenant gérer un rapport pour voir comment le contenu est partagé.
  • La synchronisation différentielle est maintenant compatible pour tous les types de fichiers stockés dans OneDrive et SharePoint.
  • Les administrateurs peuvent changer les URLs d’un site d’équipe classique, de communication et pour les sites d’équipes modernes.
  • La page d’accueil de SharePoint a été reconçue et s’appelle la page de démarrage.
  • Support de la sauvegarde dossiers PC par OneDrive pour des dossiers Desktop, Documents, et Pictures qui ne sont pas sur le volume du dossier OneDrive.
  • A partir du 29 Novembre, les mises à jour de OneDrive ne seront signées qu’avec l’algorithme SHA-2. Vous devez donc installer les mises à jour nécessaires sur les systèmes Windows hérités.
  • D’ici la fin de l’année, Microsoft mettre à jour à la logique utilisée pour localiser la langue des emails. La nouvelle logique traduiera les courriels dans la langue préférée des destinataires, telle que définie dans leurs paramètres AAD et Exchange, dans la mesure du possible. Dans le cas des courriels à destinataires multiples, lorsqu'il n'est pas possible de les localiser pour chaque préférence individuelle, la nouvelle logique sera localisée en utilisant la langue du contenu sous-jacent (par exemple, le fichier, le document ou la page SPO).
  • D’ici fin novembre, la personnalisation des formulaires Forms va permettre de ranger et rendre visible les champs dans les listes et librairies.
  • Aujourd'hui, tous les tenants partagent un domaine commun no-reply@sharepointonline.com pour différents scénarios de communication par e-mail. D’ici fin novembre, Microsoft séparera certains courriels des tenants par domaine afin de réduire le risque que les courriels soient triés dans le dossier des courriels indésirables d'un destinataire et de séparer les scores des pourriels des tenants. Microsoft fournira une nouvelle adresse par défaut pour l'adresse e-mail utilisée dans les messages de notification. Ces notifications proviendront désormais d'une boîte aux lettres spécifique au tenant, comme no-reply-sharepointonline@contoso.onmicrosoft.com.
• Concernant Microsoft Teams, on retrouve les annonces suivantes :
  • Microsoft déploie de nouvelles expériences de fichiers dans Microsoft Teams directement issue de SharePoint afin de permettre de synchroniser des fichiers sur le PC, d’avoir un aperçu sur plus de 320 types de fichiers, de créer des vues et travailler avec les métadonnées, de voir le cycle de vie d’un fichier, etc.
  • Microsoft va proposer une nouvelle expérience de partage dans Microsoft Teams qui est alignée sur l’ensemble des autres services et applications Office 365.
  • D’ici décembre 2019, Microsoft va permettre un accès en libre-service plus facile à Microsoft Teams pour les entreprises dans un mode hybride avec un des comptes partiellement synchronisés. Avec ce changement, les utilisateurs des domaines gérés qui n'ont pas encore été synchronisés avec Azure AD peuvent créer un compte dans le tenant Azure AD de leur organisation. Microsoft donnera une licence gratuite à Microsoft Teams
  • Une nouvelle fonctionnalité de publication à travers plusieurs canaux Microsoft Teams (Cross-Posting) a été déployée complètement fin octobre.
  • Microsoft Teams va maintenant connecter automatiquement l’utilisateur si ce dernier s’est déjà connecté avec son compte d’entreprise sur une autre application Office.
  • Microsoft va faire apparaître une bannière sur les clients Teams qui ne sont pas à jour. Après 3 mois, les utilisateurs feront face à une page bloquante afin de les forcer à mettre à jour leur machine, à contacter leurs administrateurs ou utiliser Outlook sur Le Web.
  • D’ici fin novembre, les sous-titres en direct (anglais US pour l’instant) donnent aux participants une autre façon de suivre une conversation. Ils peuvent rendre votre réunion plus inclusive pour les participants sourds ou malentendants, les participants ayant différents niveaux de compétence linguistique et les participants dans des endroits bruyants. Cette fonction sera disponible dans le menu de la réunion en sélectionnant : Turn on live captions(preview)
  • D’ici mi-décembre, Microsoft va retirer la capacité de désactiver Microsoft Teams par catégorie de licence pour l’ensemble des utilisateurs. Les utilisateurs qui étaient auparavant désactivés via cette option seront maintenant activés. Les administrateurs qui souhaitent continuer à désactiver ces utilisateurs devront le faire via l'option " Manage Product Licenses" du portail Microsoft 365.
  • Disponibilité Générale du renouvellement automatique des Teams en fonction d’activités réalisées par les utilisateurs. Auparavant, seul le propriétaire pouvait renouveler manuellement le Teams via la notification qu’il recevait.
• Concernant Yammer :
  • Changement du processus de traitement des demandes des personnes concernées par les données du GDPR à Yammer. Ce dernier est jugé compliqué. Vous n'aurez plus besoin de placer votre réseau en mode Hard Delete pour honorer une demande de la personne concernée par le GDPR. Lors de l'examen de messages individuels, un administrateur aura accès à un lien dans Network Data Export qui appellera l'API de suppression et supprimera définitivement le message, sans passer par les paramètres de conservation au niveau réseau.
  • A partir du 20 Décembre, Microsoft va retirer la notification créée dans All Company pour la création d’un groupe ou la jointure d’un nouvel utilisateur.
• Concernant Stream :
  • Il est possible de couper le début ou la fin d’une vidéo avec une nouvelle fonction intégrée. Ceci peut aussi s’appliquer aux enregistrements Teams et Live Events.
  • Vous pouvez maintenant remplacer un fichier vidéo tout en conservant le lien.

Sécurité

• Intégration entre Microsoft Secure Score et ServiceNow, Microsoft Teams et Microsoft Planner pour permettre le partage d’une information provenant du Secure Score vers ces services. Pour ServiceNow, l’action revient à créer un ticket en préremplissant la majorité des champs. Pour Microsoft Planner, l’action permet de créer une tâche. Pour Microsoft Teams, l’action de partage envoie des messages à une équipe.

Office 365 ATP

• Vous pouvez activer/désactiver la fonctionnalité malware Zero-hour Auto Purge depuis l’interface des stratégies antimalware du portail Security & Compliance Center. Auparavant, la capacité n’était disponible que par PowerShell.

Microsoft a publié il y a quelques semaines un billet à propos d’un problème touchant le provisionnement des profils Wi-Fi avec un package de provisionnement (PPKG) pour des machines Windows 10 1903 jointes à Azure Active Directory.

Le problème touche les packages de provisionnement créés avec l’application Set up School PCs en version 1000.17145.1.0 ou l’application Windows Configuration Designer en version 2019.520.0.0. Avec ces versions, les machines commenceront une boucle de redémarrage infinie lors de la phase Setup on devices.

Le problème a été corrigé pour l’application Set up School PCs en version 1000.17146.0.0.

Plus d’informations sur : Known issue: Provisioning error on Wi-Fi for Azure AD joined Windows 10 version 1903

Microsoft Ignite 2019 a lieu dans quelques jours et cet événement va catalyser un grand nombre d’annonces. On ne retrouve pas moins de 1600 session et je vous propose un aperçu de ma sélection des sessions à suivre sur la partie Modern Workplace et Sécurité. On retrouve notamment les grands thèmes autour du déploiement moderne, de la gestion moderne et de la sécurité

De nombreuses sessions couvrent l’ensemble de la stack de solution :

• Why Windows 10 Enterprise and Office 365 ProPlus? Security, privacy, and a great user experience (DEP10)
• Windows Autopilot: What's new, what’s coming, and tips for a smooth rollout (BRK3077)
• What's new in Microsoft Intune and Configuration Manager, including Desktop Analytics and Windows Autopilot (Part 1 of 2) (BRK2082)
• What's new in Microsoft Intune and Configuration Manager, including Desktop Analytics and Windows Autopilot (Part 2 of 2) (BRK3220)
• Windows security internals: containers for the win! (BRK4010)
• Windows Virtual Desktop overview (BRK2084)

Concernant la partie les sessions sur le déploiement moderne, vous pouvez suivre :

• Windows Autopilot: White glove pre-provisioning (THR3023)
• Modern Windows 10 and Office 365 deployment with Windows Autopilot, Desktop Analytics, Microsoft Intune, and Configuration Manager (DEP20)
• Streamlined deployment of specialized devices (86268)
• Ask the experts: modern deployment and device management (BRK3076)

On retrouve de nombreuses sessions sur le thème de la gestion moderne :

• Ask the experts: modern deployment and device management (BRK3076)
• Enterprise app management with MSIX (BRK2083)
• Stay current while minimizing network traffic: the power of Delivery Optimization In Cache (DOINC) (BRK3078)
• Keep it simple: Microsoft 365 device and app management (THR3026)
• Strategic and tactical considerations for ring-based Windows 10 deployments (BRK3080)
• Transforming update management with cloud controls (BRK3258)
• iOS and iPadOS device management with Microsoft Intune (BRK3219)
• Migrating from Device Admin to Android Enterprise with Microsoft Intune (THR3081)
• Insights-driven device management: Use the power of analytics to optimize the user experience and enhance productivity (BRK3086)
• Deploy and manage apps with MSIX (THR2031)
• Make the Windows update experience smooth and seamless—for your IT team and your end users (BRK3081)
• The benefits of Windows 10 Dynamic Update (THR3073)
• Configure Microsoft 365 devices for the best user experience and privacy with Microsoft Intune (BRK3084)
• The evolution of Windows feature update deployment (THR3117)
• Reducing Windows TCO through data-driven insights for management, servicing, and support (BRK3085)
• Android device management with Microsoft Intune (BRK3082)
• Reaching for the cloud: Group Policy transformation to MDM with Microsoft Intune (THR3027)
• Solving Windows 10 feature updates in a multilingual deployment (THR4002)
• Streamline and stay current with Windows 10 and Office 365 ProPlus (DEP30)
• Supercharge PC and mobile device management: Attach Configuration Manager to Microsoft Intune and the Microsoft 365 cloud (DEP40)
• Why Microsoft 365 is essential to your zero-trust device management strategy (DEP50)
• Protected, productive mobile browsing with Microsoft Edge mobile and Microsoft Intune (BRK3253)
• Provide a great end user update experience by utilizing Windows Update management policies (THR3024)
• MacOS device management with Microsoft Intune (THR3028)
• How to manage Windows 7 Extended Security Updates (ESUs) for on-premises and cloud environments (BRK3079)
• MSIX App Attach: The future of app delivery in virtual environments (THR3074)

Sur Office 365, vous retrouvez :

• Best practices for deploying and managing Microsoft Office 365 ProPlus (BRK3087)
• What's new in the Office Customization Tool (THR3039)
• Get to know the new Office Cloud Policy Service (THR3038)
• The future of Office: The insiders view and how we're making it easier for IT admins and organizations to deploy and use Office 365 ProPlus (BRK3298)
• Best practices for compatibility assessment and Microsoft Office 365 ProPlus upgrades using Office Readiness in Configuration Manager (BRK3090)

Plus globalement, vous retrouvez un résumé des sessions sur les services d'Office 365 sur :

• Ignite 2019 guide to SharePoint, OneDrive, Yammer, Stream and related technology sessions
• The Microsoft Teams Guide to Ignite 2019

Sur les enjeux de sécurité, je vous recommande :

• Extend mobile threat protection to bring-your-own-device (BYOD) users (THR3134)
• Advanced threat and security management: Connecting Microsoft ATP with Microsoft Intune and Configuration Manager (BRK3083)
• Microsoft Security for your entire environment (BRK011)
• Real customers, real challenges, and the real power of Microsoft 365 Threat Protection (BRK1040)
• Built in and cloud powered - elevate your endpoint security with Microsoft Defender ATP (BRK1041)
• Security in overdrive: best practices for configuring Microsoft Defender ATP (BRK3156)
• We've got your back! Team up with Microsoft's security experts to respond to critical threats (BRK2109)
• Bringing IT and security together: How Microsoft is reinventing threat and vulnerability management  (BRK2110)
• Unleash the hunter in you: Advanced hunting in Microsoft Defender ATP (THR3056)
• Securing AWS and Google Cloud Platform (THR3053)
• Integrating CASB into IAM for a comprehensive identity security strategy (BRK3154)
• Top CASB use cases to boost your cloud security strategy (BRK2108)
• Security solutions from Microsoft, but not just for Microsoft services (BRK2107)
• Protecting any app – in the cloud and on-premises (THR3054)
• Discover shadow IT across all your SaaS, IaaS, and PaaS resources (THR2058)
• Detecting cloud native attacks and automating remediation (THR3052)
• Secure your enterprise with a strong identity foundation (SECO10)

Accéder au catalogue des sessions

Microsoft Ignite 2019 a lieu dans quelques jours et cet événement va catalyser un grand nombre d’annonces. On ne retrouve pas moins de 1600 session et je vous propose un aperçu de ma sélection des sessions à suivre sur Windows Server. On retrouve de nombreuses sessions sur Windows Admin Center.

• BRK2129 “What’s New and What’s Next” (Monday, 3:15pm – 4:00pm)
• BRK3182 “Windows Server Deep Dive: Demopalooza” (Monday, 4:30pm – 5:15pm)
• THR2146 “Stop paying someone else to do it – automatically monitor, secure, and update your on-premises servers from Azure with Windows Admin Center” (Tuesday, 9:00am – 9:20am)
• BRK3184 “Automate and manage your Windows Server environment using Azure Management Services” (Tuesday, 10:30am – 11:15am)
• WRK3003 “Power your hybrid environment with Windows Admin Center and Azure” (Tuesday, 10:45am – 12:00pm)
• BRK3244 “Azure Guest Configuration, the evolution of Group Policy” (Tuesday, 11:45am – 12:30pm)
• THR1084 “How to re-use your Windows Server licenses in Azure with Azure Hybrid Benefit” (Tuesday, 1:15pm – 1:35pm)
• BRK2145 “Windows Virtual Desktop Overview” (Tuesday, 3:30pm – 4:15pm)
• THR2135 Be a Windows Admin Center expert: best practices for deployment, configuration, and security (Tuesday, 5:00 – 5:20pm)
• THR2176 “Windows Admin Center: Better together with System Center and Azure” (Wednesday, 9:00am – 9:20am)
• BRK3192 “Seamless connectivity to Azure with Windows Server and Hybrid Networking” (Wednesday, 9:15am – 10:00am)
• BRK3252 “Windows Server on Azure Overview: Lift-and-Shift Migrations for Enterprise Workloads” (Wednesday, 10:30am – 11:15am)
• BRK3165 “Windows Admin Center: Unlock Azure Hybrid Value” (Wednesday, 11:45am – 12:30pm)
• BRK3228 “Files are critical to your business: Modernize your file services with Windows Server 2019 and Azure” (Wednesday, 1:00pm – 1:45pm)
• THR2155 “Clustering in the Age of HCI and Hybrid!” (Wednesday, 1:15-1:35pm)
• BRK3166 “OS Internals (for nerds only)” (Wednesday, 2:15pm – 3:00pm)
• WRK3003 “Power your hybrid environment with Windows Admin Center and Azure” (Wednesday, 2:15pm – 3:30pm)
• BRK3174 “SCOM 2019: Customer Success stories and what’s next” (Wednesday, 3:30pm – 4:15pm)
• BRK3183 “Accelerate your RDS and VDI migration to Windows Virtual Desktop” (Thursday, 9:15am – 10:00am)
• BRK3193 “Maximize security with Windows Server 2019 and Azure” (Thursday, 10:30am – 11:15am)
• BRK2048 “Windows Admin Center: What’s New and What’s Next” (Thursday, 11:45am – 12:30pm)
• BRK3173 “Hyper-V Roadmap” (Thursday, 1:00pm – 1:45pm)
• BRK2147 “Modernize your IT environment and Applications with Windows Containers” (Thursday, 2:15pm – 3:00pm)
• THR2191 Navigate common pitfalls encountered when containerizing Windows Server applications (Friday, 10:10-10:30am)
• BRK3257 “Protect Access to Office 365/Azure with new features in Active Directory Federation Services in Windows Server 2019 ” Samuel P19 (Friday, 10:30am – 11:15am)
• BRK2208 “Hybrid management and operations for Windows Server” (Friday, 10:30 – 11:15am)
• BRK3251 “What’s next for software-defined storage and networking for Windows Server” (Friday, 10:45am – 12:00pm)
• BRK3177 “VMM 2019 and DPM 2019: Customer success stories and what’s next” (Friday, 11:45am – 12:30pm)

Accéder au catalogue des sessions

Samsung vient de rapporter un problème connu concernant la reconnaissance par empreinte digitale sur certains périphériques Samsung Galaxy.  Ce problème survient par la reconnaissance des motifs tridimensionnels apparaissant sur certains écrans en silicone protégeant les périphériques en tant qu'empreintes digitales des utilisateurs. Ceci constitue donc une faille potentielle de sécurité.

Le problème concerne les Samsung Galaxy Note 10/10+ et Samsung Galaxy S10/S10+/S10 5G.

Samsung recommande aux utilisateurs qui utilisent la cover de la retirer, d’effacer toutes les empreintes digitales précédentes et enregistrer leurs empreintes digitales à nouveau. Samsung travaille à un correctif logiciel.

Microsoft recommande de changer la stratégie pour forcer l’utilisateur à utiliser le code PIN et non pas l’empreinte digitale pour déverrouiller le périphérique.

Plus d’informations sur : https://news.samsung.com/global/statement-on-fingerprint-recognition-issue

Source: https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Samsung-known-issue-Use-PIN-for-MDM-and-APP-instead-of/ba-p/918962

Avec la fin de support prochaine (14 janvier 2020) de Windows Server 2008 et Windows Server 2008 R2, Microsoft va bientôt rendre impossible l’utilisation de ces systèmes pour héberger des points de distribution dans System Center Configuration Manager. Ceci inclut les nouveaux points de distribution que vous souhaiteriez installer ou les points de distribution existants qui pourraient à termes vous bloquer dans la mise à niveau de votre infrastructure vers des versions ultérieures.

Je ne saurais que vous recommander de migrer vos points de distribution dans cette situation. Deux options s’offrent à vous :

• Monter un nouveau point de distribution sur une version de système plus récente (Windows Server 2016 ou 2019) puis basculer vos clients via les Boundary Groups sur celui-ci.
• Faire une mise à niveau du serveur en utilisant l’ISO.

Source : Supported operating systems for Configuration Manager site system servers

L’équipe du support Microsoft Intune vient de publier un billet concernant un problème qui touche la sauvegarde des paramétrages Login Items d’un profil Device Features pour macOS. En effet, la sauvegarde ne fonctionne pas et l’erreur suivante est renvoyée :

Unable to save due to invalid data. Update your data then try again. Property autoLaunchItems in payload has a value that does not match schema.

Microsoft a trouvé un correctif au problème et planifie de le corriger pour la version de novembre du service (1911). En attendant, l’équipe vous recommande d’utiliser GraphAPI avec Graph Explorer :

• Avec une méthode POST sur https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations
• Et un contenu de requête : {displayName":"login item ","description":"","roleScopeTagIds":[],"@odata.type":"#microsoft.graph.macOSDeviceFeaturesConfiguration","autoLaunchItems":[{"path":"/Applications/Teams.app"}]}
  Vous devez remplacer les valeurs displayName et path avec vos attentes

Plus d’informations sur : Known issue: Intune macOS profile setting not saving as expected