Certains tenants ont reçu un message IT206230, les mises à jour automatiques des applications métiers Android ne se mettaient pas à jour sur les périphériques Samsung fonctionnant sous Android 10 et plus lorsque le périphérique est inscrit en mode Device Administrator. Microsoft a publié la version 5.0.4722.0 du portail de l'entreprise qui traite de ce problème.

Avec ce problème, certains périphériques affichent la mention "Pending" pour les mises à jour d'applications métiers. Si c'est le cas, vous avez peut-être rencontré ce problème.

Une fois que l’utilisateur aura reçu la mise à jour du portail d'entreprise, son expérience des applications sera légèrement différente. À l'avenir, toutes les applications fournies par Intune, telles que les applications métiers, vous inviteront à mettre à jour les applications lorsqu'une mise à jour sera disponible.

C’est une demande commune quand on traite des sujets autour de Microsoft Information Protection (MIP) ou Azure Information Protection. Microsoft propose un livre blanc sur la mise en place de la taxonomie des labels de classification et de confidentialité. Il donne les bonnes pratiques pour établir un framework de classification de donnée avec 5 labels parents et 5 sous-labels par label parent pour un total de 25 labels au total. On retrouve aussi des indications sur les noms à utiliser.

Télécharger le livre blanc : https://aka.ms/DataClassificationWhitepaper

Avec la disponibilité générale du client unifié Azure Information Protection couvrant l’ensemble des fonctionnalités du client classique, Microsoft vient d’annoncer la dépréciation du client classique et du portail de gestion Azure pour le 31 Mars 2021. Ceci va laisser un an aux clients pour migrer les étiquettes/labels, stratégies et clients.  Il n'y a qu'une seule exception ici : Les tenant d’Azure Government GCC dont le support du client Unifié est prévu au cours du troisième trimestre.

Pour ce faire, vous devez :

1. Migrer vos labels/étiquettes et stratégies vers le centre de conformité Microsoft 365 en activant le portail Unified Labeling in Azure. Cette opération prend de 5 à 10 minutes et est exécutée comme une transaction, ce qui signifie que tant que vous n'aurez pas déplacé toutes les étiquettes, le portail Azure continuera à utiliser l'ancien magasin d'étiquettes. Il n'y a donc aucun impact sur le déploiement des produits.
   Une petite exception à ce processus automatique concerne les informations régionales et de localisation qui doivent être migrées manuellement. Microsoft fournit pour cela un script sans support.
   Plus d'informations sur le billet :
2. Mettre à niveau les clients vers le client Unifié ou commencez à utiliser l'étiquetage intégré dans le client Office ProPlus et supprimez le client classique. Deux raisons qui pourraient vous empêcher de mettre à jour les clients :
   1. La Public Preview pour le remplacement de HYOK est actuellement prévue pour le second trimestre
   2. Track and Revoke. Localization migration from AIP classic client to Security and Compliance Center
      Les clients qui utilisent activement ces fonctionnalités peuvent déposer une demande d'assistance étendue. Ces demandes doivent être déposées jusqu'au 30 juin 2020.

Voici une vidéo qui montre le processus de migration

Une fois ces deux étapes terminées, vous pouvez arrêter d'utiliser les tuiles "Labels" et "Policies" dans le portail Azure. Toutes les autres tuiles disponibles pour le portail Azure Information Protection devraient continuer d'exister et ne seront pas obsolètes le 31 mars 2021.

Plus d’information sur : https://aka.ms/aipclassicsunset

Microsoft continue d’adapter sa stratégie afin d’offrir de la flexibilité dû à la crise exceptionnelle du COVID-19. Ainsi une série de produits et services qui devaient arriver en fin de support pendant cette période, se voient offrir une extension du support. Parmi les annonces, on retrouve

• Windows 10 1709 (Enterprise, Education, IoT Enterprise) : 13 Octobre 2020 (en lieu et place du 14 Avril 2020).
• Windows 10 1809 (Home, Pro, Pro Education, Pro for Workstation, IoT Core) : 10 Novembre 2020 (en lieu et place du 12 Mai 2020). En outre, Microsoft interrompt temporairement les mises à jour des fonctionnalités pour les éditions Home et Pro. Le redémarrage du processus de déploiement des mises à jour de fonctionnalités initiées par Microsoft pour les appareils fonctionnant sous Windows 10, version 1809, sera considérablement ralenti et étroitement surveillé avant la date de fin de service reportée au 10 novembre 2020 afin de laisser suffisamment de temps pour un processus de mise à jour sans problèmes.
• Windows Server 1809 (Standard, Datacenter) : 10 Novembre 2020 (en lieu et place du 12 Mai 2020).
• System Center Configuration Manager 1810 : 1^er Décembre 2020 (en lieu et place du 27 Mai 2020)
• SharePoint Server 2020, SharePoint Foundation 2010, Project Server 2010 : 13 Avril 2021 (en lieu et place du 13 Octobre 2020)
• Dynamics 365 Cloud Services : La date de dépréciation du client web Microsoft Dynamics 365 Customer Engagement a été reportée de deux mois, à décembre 2020. En outre, Microsoft a mis en place un processus simplifié permettant aux clients de Dynamics 365 Finance, Supply Chain Management et Commerce de suspendre les mises à jour pendant une période prolongée.

Il est à noter que la date de fin de support pour Exchange Server 2010, Office 2010, Project 2010, Office 2016 pour Mac et Office 2013 pour la connectivité aux services Office 365 reste inchangée.

Source : https://support.microsoft.com/en-us/help/4557164/lifecycle-changes-to-end-of-support-and-servicing-dates

Début Mars, Microsoft annonçait la publication de la nouvelle application Office sur iOS et Android. Cette dernière regroupe Word, Excel et PowerPoint ainsi que d’autres outils de productivité dans une seule et unique application. Si vous utilisez les stratégies de protection d’applications mobiles (APP/MAM) pour protéger les données de l’entreprise dans des scénarios Bring Your Own Device par exemple, vous devez inclure cette nouvelle application dans vos stratégies existantes.

Pour ce faire :

1. Ouvrez le portail Microsoft Endpoint Manager
2. Naviguez dans Apps – App Protection Policies.
3. Identifiez votre stratégie et éditez-là.
4. Editez les applications :

1. Cliquez sur Select public Apps et ajoutez :
   • Office Hub pour iOS
   • Office Hub, Office Hub [HL] et Office Hub [ROW] pour Android

1. Cliquez sur Select puis sauvegardez la stratégie

Il est à noter que depuis le début 2019, une application similaire appelée Office Mobile est préinstallée sur les appareils Samsung ; elle sera automatiquement mise à jour vers la nouvelle application Office. Toute stratégie configurée pour Office Mobile sera reportée sur la nouvelle application Office.

L’information est un peu ancienne mais elle mérite d’être repartagée, Microsoft a corrigé fin février dernier, la méthode détection avancée de Microsoft Intune du Jailbreak sur iOS. Cette dernière ne fonctionnait pas correctement et avait été désactivée temporairement.

Les entreprises ont été avertis lorsqu’ils avaient déjà configuré la détection améliorée du Jailbreak. Microsoft a évalué que le rétablissement de la vérification requise dans les 72 heures serait plus perturbateur que prévu pour l’entreprise et les utilisateurs. Microsoft supprime donc la règle qui exigeait que les périphériques signalent leur statut de jailbreak toutes les 72 heures pour rester conformes. Tous les autres éléments de la fonctionnalité restent tels qu'ils étaient avant cet incident. L'ouverture manuelle de l'application du portail de l'entreprise ou le déplacement d'une distance importante dans un lieu donné déclenchera une vérification de détection du jailbreak lorsque la fonction sera de nouveau activée.

Afin de résoudre le problème, vous devez vous assurer que les utilisateurs ont bien mis à jour l’application du portail d’entreprise vers la version 4.3.1 ou plus.
Si un utilisateur a désactivé les services de localisation, il devra régler le service de localisation du portail d'entreprise sur "Always". Une fois qu'ils ont effectué ce changement et fourni les références nécessaires dans le portail d'entreprise, Intune peut alors enregistrer la conformité.

Microsoft a annoncé la fin du support principal de Windows 10 Mobile en décembre 2019. Comme mentionné, les utilisateurs de Windows 10 Mobile ne pourront plus recevoir de nouvelles mises à jour de sécurité, des correctifs non liés à la sécurité. Microsoft Intune mettra fin au support du portail d'entreprise pour l'application Windows 10 Mobile et le système d'exploitation Windows 10 Mobile le 11 mai 2020.

Si les entreprises ont des périphériques Windows 10 Mobile déployés dans leur entreprise, ils pourront, d'ici au 11 mai 2020, enregistrer de nouveaux périphériques, ajouter ou supprimer des stratégies et des applications, ou mettre à jour les paramètres de gestion. Après le 11 mai, Microsoft ne permettra plus les nouveaux enregistrements et supprimerons éventuellement la gestion de Windows 10 Mobile du portail Microsoft Intune. Dans ce cas, les périphériques ne pourront plus récupérer des stratégies Intune et Microsoft supprimera les données relatives aux périphériques et aux stratégies.  

Vous pouvez consulter la liste des périphériques concernés en allant dans Devices > All Devices et en filtrant sur le système d’exploitation.

Suite à la conférence RSA 2020 mais aussi dû aux impacts de la crise du COVID-19, Microsoft a mis à jour ses conditions d’accès aux licences pour les add-ons Microsoft 365 E5 Compliance et Information Protection & Governance.

Depuis le 1^er Avril, le bundle Microsoft 365 E5 Compliance comprend les fonctionnalités suivantes :

• Audit avancé
• Insider Risk Management
• Endpoint data loss prevention (DLP)
• Cloud DLP
• Les prochaines capacités comme la classification basée sur le Machine Learning (AI)

Microsoft a publié :

• Un tableau comparatif des licences relatives à la conformité. Ce tableau permet de savoir quelles sont les fonctionnalités disponibles dans chaque Bundle proposé par Microsoft.
• Une page résumant pour chaque produit/service, les abonnements et licences qui y donnent accès.

Enfin, une augmentation de prix avait été annoncé pour ce bundle. Avec la crise du COVID-19, Microsoft est revenu sur cette augmentation en laissant le prix initial.

Microsoft a encore su montrer une grande créativité dans le renommage de ces produits existants pouvant apporter confusions aux acteurs du secteur. Cette opération touche :

• Les abonnements personnels et familles
• Les abonnements pour les petites et moyennes entreprises

Ainsi les abonnements Office 365 Personal et Family deviendront Microsoft 365 afin d’offrir une expérience riche en intelligence artificielle, en contenu et modèles et expériences proposées via le Cloud. En outre, Microsoft proposera une application Microsoft Family Safety afin de garder sa famille en sécurité à travers le monde numérique.

Côté petites et moyennes entreprises, les renommages suivants sont opérés :

• Office 365 Business Essentials devient Microsoft 365 Business Basic.
• Office 365 Business Premium devient Microsoft 365 Business Standard.
• Microsoft 365 Business devient Microsoft 365 Business Premium.

Plus globalement la suite Office 365 Business et Office 365 ProPlus deviendront Microsoft 365 Apps. Microsoft utilisera les mentions “for business” et “for enterprise” pour distinguer ces deux versions.

Vous commencez à voir l’ambiguité du changement :

• Microsoft 365 Business XXX ne comprend que les services Office 365 et éventuellement Azure AD Premium P1
• Microsoft 365 Enterprise comprend Windows 10 Enterprise, Office 365 Enterprise, et Enterprise Mobility + Security (EMS)

Il est donc à noter que les bundles :

• Office 365 Enterprise/Education/Government ne changent pas de noms et on retrouve toujours les Bundles E1, E3, E5, F1, A1, A3, A5, G1, G3, G5.

Une des annonces les plus importantes est l’intégration d’Azure Active Directory Premium P1 dans Microsoft 365 Business. Ceci est déjà présent pour les nouveaux clients et les clients existants se verront intégrer les fonctionnalités d’ici quelques semaines. Ils pourront alors bénéficier de l’accès conditionnel, de la réinitialisation du mot de passe en libre-service, de l’authentification à facteurs multiples (MFA), de Cloud App Discovery, d’Azure AD Application Proxy ou des groupes dynamiques, etc.

Enfin, Microsoft annonce Microsoft 365 Business Voice, un service Cloud de téléphonie, conçu pour les petites et moyennes entreprises (PME) utilisant Microsoft 365 et comptant jusqu'à 300 utilisateurs, y compris un système téléphonique et une audioconférence. À partir d'aujourd'hui, les produits Microsoft 365 Business Voice avec plan d’appels et Microsoft 365 Business Voice Direct Routing sont également disponibles aux États-Unis. Microsoft 365 Business Voice sans Calling Plan (Direct Routing) sera également disponible dans plus de 70 pays. Microsoft 365 Business Voice est également disponible en tant que complément aux plans Microsoft 365.

Plus d’informations sur :

• Introducing the new Microsoft 365 Personal and Family subscriptions
• New Microsoft 365 offerings for small and medium-sized businesses
• Introducing Microsoft 365 Business Voice

Microsoft a publié un problème connu (MC203629) dans le centre de messages où 1% de périphériques iOS 13+ enregistrés dans Microsoft Intune, ne renvoi pas le token nécessaire à la réinitialisation du code PIN. Apple a maintenant corrigé le bug avec la version 13.3.1 et des versions ultérieures, mais une simple mise à jour vers la version 13.3.1 ne peut pas corriger les périphériques déjà enregistrés. Les périphériques sans jeton de réinitialisation de mot de passe devront être mis à jour vers la version 13.3.1, puis être désinscrits et réinscrits dans le service.

Les utilisateurs ne se heurteront à ce problème que s'ils se sont enregistrés à Intune avec iOS 13+, s’ils ont oublié leur code d'accès et doivent le réinitialiser.

• Si le propriétaire du périphérique n'a jamais besoin de supprimer ou de réinitialiser le code de passe en utilisant Intune, il n'y a pas de problème.
• Si le code d'un périphérique est perdu et que vous n'avez aucune méthode en dehors d'Intune pour le récupérer, le périphérique devra être réinitialisé et réinscrit à nouveau.

Les périphériques qui se retrouvent dans cet état sont généralement ceux qui ont un alias d'utilisateur changé ou un compte d'utilisateur désactivé puis réactivé. Lors de leur enregistrement, ils n'ont pas reçu le jeton nécessaire pour permettre une réinitialisation du code d'accès. Par conséquent, Intune ne peut pas réinitialiser le code d'accès sur ces appareils, soit par l'intermédiaire du portail Microsoft Endpoint Manager Intune sous le paramètre "Remove passcode setting", soit par le paramètre "Reset Passcode setting" de l'utilisateur final sur https://portal.manage.microsoft.com.

Microsoft a fourni un script PowerShell permettant d’identifier la liste des périphériques affectés.

Vous devez ensuite :

1. Vérifiez que l’utilisateur dispose d'une sauvegarde de ses données à partir du périphérique (généralement via iCloud ou une autre offre de sauvegarde).
2. Mettez à jour les appareils concernés en 13.3.1
3. Désinscrivez et réinscrivez l'appareil.
4. Exécutez à nouveau le script PowerShell. Si l'appareil s'affiche toujours, vous devrez alors effacer complètement l'appareil puis le réinscrire.
5. Si l'appareil est toujours présent dans le rapport lorsque vous le relancez, c'est qu'il n'est pas en bon état. Apple recommande de l'effacer sans restaurer une sauvegarde, puis de le réinscrire à nouveau.
6. Tout appareil qui figure toujours dans le rapport après avoir été essayé dans cet état après plusieurs inscriptions devra faire l'objet d'un ticket avec Apple afin de poursuivre l’investigation.

Plus d’informations sur : Support Tip: PowerShell Script now Available for iOS Passcode Reset Token Known Issue

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Général

Pour aligner sur l'annonce de Microsoft Endpoint Manager à l’Ignite, Microsoft a changé l'URL du portail Microsoft Endpoint Manager (anciennement Microsoft 365 Device Management) en https://endpoint.microsoft.com. L'ancienne URL (https://devicemanagement.microsoft.com) continuera à fonctionner, mais Microsoft recommande de commencer à accéder au portail Microsoft Endpoint Manager en utilisant la nouvelle URL.

Enregistrement des périphériques

• [iOS/Android] Vous pouvez configurer si l’enregistrement des périphériques au portail d'entreprise sur les périphériques Android et iOS est disponible avec des invites, disponible sans invites, ou non disponible pour les utilisateurs. Pour trouver ces paramètres, naviguez dans le portail Microsoft Endpoint Manager et sélectionnez Tenant administration > Customization > Edit > Device enrollment. La prise en charge du paramètre d'inscription des périphériques nécessite que les utilisateurs finaux disposent de ces versions du portail de l'entreprise :
  • Portail d'entreprise sur iOS : version 4.4 ou supérieure
  • Portail d'entreprise sur Android : version 5.0.4715.0 ou supérieure.

• [Android] Microsoft a publié un workflow permettant de passer du mode Device Administrator vers Android Enterprise Work Profile. Ce nouveau paramètre de conformité est à destination des périphériques enregistrés en mode Device Administrator. Ce paramètre vous permet de rendre un périphérique non conforme s'il est géré en mode Device Administrator. Sur ces périphériques non conformes, sur la page Mettre à jour les paramètres de l'appareil, les utilisateurs verront le message "Move to new device management setup". S'ils appuient sur le bouton Résoudre, ils seront guidés avec les étapes suivantes :
  • Désinscription du mode Device Administrator
  • S'inscrire à la gestion Android Enterprise Work Profile
  • Résoudre les problèmes de conformité

Google réduit le support du mode Device Administrator dans les nouvelles versions d'Android afin de passer à une gestion moderne avec Android Enterprise. Intune ne fournira un support complet au mode Device Administrator sous Android 10 et plus jusqu'au deuxième trimestre 2020. Les périphériques Android 10 ou + en mode Device Administrator (sauf Samsung) ne pourront pas être entièrement gérés après cette période.

• [iOS] Les utilisateurs peuvent désormais enregistrer leurs périphériques, trouver des applications et obtenir une assistance informatique en utilisant l'orientation d'écran de leur choix. L'application détectera et ajustera automatiquement les écrans pour qu'ils correspondent au mode portrait ou paysage, à moins que les utilisateurs ne verrouillent l'écran en mode portrait.

Gestion du périphérique

• [Windows 10] Preview : Vous pouvez changer l'utilisateur principal (Primary User) pour les périphériques hybrides Windows et Azure AD Joined. Pour ce faire, allez dans Intune > Devices > All devices > choisir un périphérique > Properties > Primary User. Une nouvelle autorisation RBAC (Managed Devices / Set primary user) a également été créée pour cette tâche. Cette autorisation a été ajoutée aux rôles intégrés, notamment Helpdesk Operator, School Administrator, et Endpoint Security Manager.

• [Android] Microsoft a ajouté un rapport au portail Microsoft Endpoint Manager dans la page d'aperçu des périphériques Android qui affiche le nombre de périphériques Android inscrits dans chaque solution de gestion des périphériques. Ce tableau (comme le même tableau déjà présent dans la console Azure) indique le nombre de périphériques Full Devices > Android > Overview.

Configuration du périphérique

• [General] Microsoft a mis à jour l'interface utilisateur pour la création de stratégies de conformité (Devices > Compliance policies > Policies > Create Policy) avec une nouvelle expérience suivant un processus de type assistant pour créer la politique de conformité.  
• [General] Microsoft a mis à jour l'interface utilisateur pour la création des profils de configuration (Devices > Configuration profiles > Create profile) avec une nouvelle expérience suivant un processus de type assistant.  Ceci s’applique aux profils suivants : Derived credential, Email, PKCS certificate, PKCS imported certificate, SCEP certificate, Trusted certificate, VPN, et Wi-Fi.
• [Général] Microsoft a une nouvelle action pour les périphériques non conformes que vous pouvez ajouter à n'importe quelle stratégie, pour retirer le périphérique non conforme. La nouvelle action, Retirer le périphérique non conforme, entraîne la suppression de toutes les données de l'entreprise sur le périphérique, et empêche également le périphérique d'être géré par Intune. Cette action s'exécute lorsque la valeur configurée en jours est atteinte et à ce moment-là, le périphérique devient éligible pour être retiré. La valeur minimale est de 30 jours. L'approbation explicite de l'administrateur sera nécessaire pour retirer les périphériques en utilisant la section Retire Non-compliant devices, où les administrateurs peuvent retirer tous les périphériques éligibles.

• [Windows 10] Sur la base des retours, Microsoft a reconstruit l'expérience du profil des modèles administratifs (Administrative Template) avec une vue par dossier. Cette vue se rapproche de l’expérience existante de la console GPMC. Microsoft n’a apporté aucune modification aux paramètres ou aux profils existants. Ainsi, les profils existants resteront les mêmes et seront utilisables dans la nouvelle vue. Il est toujours possible de naviguer dans toutes les options de paramétrage en sélectionnant All Settings et en utilisant la fonction de recherche. L'arborescence est divisée en deux parties : Configuration de l'ordinateur et Configuration de l'utilisateur. Vous trouverez les paramètres de Windows, Office et Edge dans leurs dossiers associés.

• [Android] Lorsque vous créez un profil pour les périphériques Android ou Android Enterprise, l'expérience le portail Endpoint Management est mise à jour. Ce changement a un impact sur les profils de configuration des périphériques suivants (Devices > Configuration Profiles > Create profile > Android device administrator ou Android Enterprise pour plateforme) :
  • Device Restrictions: Android device administrator
  • Device Restrictions: Android Enterprise device owner
  • Device Restrictions : Android Enterprise work profile
• [Android Enterprise] Microsoft optimise l'inscription pour les périphériques Android Enterprise dédiés (Dedicated Devices) et facilite l'application des certificats SCEP associés au Wi-Fi pour les périphériques dédiés inscrits avant le 22 novembre 2019. Pour les nouveaux enregistrements, l'application Intune continuera à s'installer, mais les utilisateurs finaux n'auront plus besoin d'exécuter l'étape "Enable Intune Agent" lors de l'inscription. L'installation se fera automatiquement en arrière-plan et les certificats SCEP associés au Wi-Fi peuvent être déployés et définis sans interaction de l'utilisateur final.
• [Android Enterprise] Sur les appareils Android Enterprise, il est possible désormais de supprimer des bundles et des bundle arrays à l'aide du Configuration designer dans Intune.
• [iOS/iPadOS/macOS] Amélioration de l'expérience de l'interface utilisateur lors de la création de profils de configuration sur les périphérique iOS/iPadOS et macOS. Ce changement a un impact sur les profils de configuration des périphériques suivants (Devices > Configuration Profiles > Create profile > iOS/iPadOS or macOS pour plateforme) :
  • Custom: iOS/iPadOS, macOS
  • Device features: iOS/iPadOS, macOS
  • Device restrictions: iOS/iPadOS, macOS
  • Endpoint protection: macOS
  • Extensions: macOS
  • Preference file: macOS
• [iOS/iPadOS] Il est possible de créer un profil VPN qui utilise une connexion IKEv2 (Devices > Configuration profiles > Create profile > iOS/iPadOS comme plateforme > VPN pour type de profil). Maintenant, il est possible de configurer une connexion IKEv2 permanente. Une fois configurés, les profils VPN IKEv2 se connectent automatiquement et restent connectés (ou se reconnectent rapidement) au VPN. Il reste connecté même lorsqu'il passe d'un réseau à l'autre ou les périphériques sont redémarrés. Sous iOS/iPadOS, le VPN Always ON est limité aux profils IKEv2.

• [iOS/iPadOS] L'équipe AD a créé une extension de redirection de l'application à connexion unique (SSO) pour permettre aux utilisateurs d'iOS/iPadOS 13.0+ d'accéder aux applications et sites web de Microsoft avec une seule connexion. Toutes les applications qui avaient auparavant négocié l'authentification avec l'application Microsoft Authenticator continueront à obtenir le SSO avec la nouvelle extension SSO. Avec la version de l'extension SSO d'Azure AD, vous pouvez configurer l'extension SSO avec le type d'extension SSO de redirection (Devices > Configuration profiles > Create profile > iOS/iPadOS pour plateforme > Device features comme type de profil > Single sign-on app extension).
• [iOS/iPadOS] Il est possible de créer un profil de restrictions de périphériques (Devices > Configuration profiles > Create profile > iOS/iPadOS pour plateforme > Device restrictions comme type de profile). Le paramètre de modification des paramètres de confiance de l'application Enterprise est supprimé par Apple, et est retiré d'Intune. Si vous utilisez actuellement ce paramètre dans un profil, il n'a aucune incidence et est supprimé des profils existants. Ce paramètre est également supprimé de tout rapport dans Intune.
• [iOS] Les profils Wi-Fi d'entreprise pour iOS prennent désormais en charge le champ de type de sécurité. Pour le type de sécurité, vous pouvez sélectionner soit WPA Enterprise, soit WPA/WPA2 Enterprise, puis spécifier une sélection pour le type EAP. (Devices > Configuration profiles > Create profile et séléctionnez iOS/iPadOS pour plateforme et Wi-Fi comme profil).

• [macOS] Vous pouvez ajouter et déployer des scripts sur les périphériques macOS. Ce support étend la capacité à configurer les périphériques macOS au-delà de ce qui est possible en utilisant les capacités natives MDM (sans Jamf Pro).

• [macOS] Lorsque vous créez un profil de configuration device features sur les périphériques macOS, il y a un nouveau paramètre de configuration Hide from user configuration (Devices > Configuration profiles > Create profile > macOS pour plateforme > Device features comme profil > Login items). Cette fonction permet de cocher la case "Masquer l'application" dans la liste des applications des éléments de connexion des utilisateurs et des groupes sur les périphériques macOS. Les profils existants montrent ce paramètre dans la liste comme étant non configuré. Pour configurer ce paramètre, les administrateurs peuvent mettre à jour les profils existants. Lorsque ce paramètre est défini sur Cacher, la case à cocher de l'application est cochée et les utilisateurs ne peuvent pas la modifier. L'application est également cachée aux utilisateurs après que ceux-ci se soient connectés à leur périphérique.

Gestion des applications

• [Général] L'icône de notification pour une stratégie MAM en attente sur la tuile de dépannage a été remplacée par une icône d'information.

• [Général] Microsoft a mis à jour le volet d'Intune qui s'appelait "Branding and customization" en y apportant des améliorations, notamment :
  • Renommage du volet "Personnalisation".
  • Amélioration de l'organisation et de la conception des paramètres.
  • Amélioration du texte des paramètres et des infobulles.
• [Windows 10] Vous pouvez configurer l'agent Delivery Optimization pour télécharger le contenu des applications Win32 en arrière-plan ou en avant-plan selon l'affectation. Pour les applications Win32 existantes, le contenu continuera à être téléchargé en mode arrière-plan. Dans le portail Microsoft Endpoint Manager, sélectionnez Apps > All apps > sélectionnez l'application Win32 > Properties. Sélectionnez Edit à côté d’Assignments. Modifiez l'affectation en sélectionnant Include sous Mode dans la section Required. Vous trouverez le nouveau paramètre dans la section App settings.

• [iOS/macOS] Le volet Profil du portail d'entreprise macOS et iOS a été mis à jour pour inclure un bouton de déconnexion. En outre, des améliorations ont été apportées à l'interface utilisateur du volet "Profil" du portail d'entreprise macOS.
• [iOS] Les clips web nouvellement déployés (applications web épinglées) sur les appareils iOS qui doivent s'ouvrir dans un navigateur protégé, s'ouvriront dans Microsoft Edge plutôt que dans le navigateur Intune Managed Brownser. Vous devez recibler les clips web préexistants pour vous assurer qu'ils s'ouvrent dans Microsoft Edge plutôt que dans le Managed Browser.
• [macOS] Une nouvelle fonctionnalité permet aux utilisateurs de récupérer leur clé de récupération personnelle FileVault pour les périphériques mac chiffrés via l'application du portail d’entreprise Android ou via l'application Android Intune. L'application du portail d'entreprise et l'application Intune comportent toutes deux, un lien qui ouvre un navigateur Chrome vers le portail d'entreprise Web où l'utilisateur peut voir la clé de récupération FileVault nécessaire pour accéder à ses périphériques Mac.
• [Android] Microsoft Edge pour Android est désormais intégré à l'outil de diagnostic Intune. Comme pour Microsoft Edge pour iOS, il suffit d'entrer "about:intunehelp" dans la barre d'URL (la boîte d'adresse) de Microsoft Edge sur l'appareil pour lancer l'outil de diagnostic Intune. Cet outil fournira des journaux détaillés. Les utilisateurs peuvent être guidés pour collecter et envoyer ces journaux à l’administrateur, ou consulter les journaux MAM pour des applications spécifiques.

Supervision et Dépannage

• [Général] Le Data Warehouse fournit l'adresse MAC en tant que nouvelle propriété (EthernetMacAddress) dans l'entité du périphérique pour permettre aux administrateurs d'établir une corrélation entre l'adresse de l'utilisateur et celle du mac hôte. Cette propriété permet d'atteindre des utilisateurs spécifiques et de dépanner les incidents survenant sur le réseau. Les administrateurs peuvent également utiliser cette propriété dans les rapports Power BI afin de créer des rapports plus riches.

• [Général] Des propriétés supplémentaires d'inventaire des périphériques sont disponibles en utilisant le Data Warehouse. Les propriétés suivantes sont maintenant exposées via la collection périphérique :
  • Modèle" - Le modèle de l'appareil.
  • Office365Version" - La version d'Office 365 qui est installée sur l'appareil.
  • PhysicalMemoryInBytes' - La mémoire physique en octets.
  • TotalStorageSpaceInBytes - Capacité totale de stockage en octets.
• [Général] Microsoft a mis à jour la page d'aide et de support dans le portail Microsoft Endpoint Manager où vous pouvez maintenant choisir le type de gestion que vous utilisez parmi : Configuration Manager (inclut Desktop Analytics), Intune, CoManagement

Sécurité

• [Général] Preview d’un nouveau nœud Endpoint Security dans le portail Microsoft Endpoint Manager regroupant des stratégies. En tant qu'administrateur de la sécurité, vous pouvez utiliser ces nouvelles stratégies pour vous concentrer sur des aspects spécifiques de la sécurité des périphériques. À l'exception de la nouvelle politique antivirus pour Microsoft Defender Antivirus, les paramètres de chaque nouvelle politique et de chaque nouveau profil de prévisualisation sont les mêmes que ceux que vous pouvez déjà configurer par le biais des profils de configuration. Voici les nouveaux types de stratégies, ainsi que les types de profils disponibles : Antivirus (macOS, Windows 10), Windows Security experience (Windows 10), Disk Encryption (macOS : FileVault, Windows 10 : BitLocker), Firewall (macOS, Windows 10 : Microsoft Defender Firewall), Endpoint detection and response (Windows 10), Attack Surface Reduction (Windows 10), Account Protection (Windows 10)

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Moins d’une semaine après la version 1.5.18.0, Microsoft vient de publier une mise à jour (1.5.20.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

Elle corrige un problème avec la version 1.5.18.0 si vous avez activé la fonction de filtrage de groupe et utilisez mS-DS-ConsistencyGuid comme ancre source.

Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#15200

Télécharger Microsoft Azure Active Directory Connect

Dernièrement, Microsoft a publié une interface permettant de modifier l’utilisateur principal (Primary User) d’une machine Windows 10 dans Microsoft Endpoint Manager Microsoft Intune. Cette interface comporte des bugs parmi les suivants :

• La page de détails du périphérique, la propriété "Primary User" (Utilisateur principal) reflète correctement l'utilisateur principal que vous avez changé, ou "None" (aucun) si vous avez supprimé l'utilisateur principal, mais après 24-48 heures, cette propriété revient à la même valeur que l'utilisateur "Enrolled by" (inscrit par).
• En outre, les colonnes "Enrolledby" (Enrolled by user UPN, Enrolled by user display name, Enrolled by user Email address) de l’espace "All devices" sont mal étiquetées. Ces colonnes représentent toutes des informations sur l'utilisateur principal.
• Enfin, certains périphériques (tels que iOS et Android) qui ne prennent pas en charge la modification des informations relatives à l'utilisateur principal affichent de manière incorrecte les boutons "Change Primary User” et “Remove Primary User ".

Microsoft planifie de déployer un correctif prévu pour la version d’Avril (2004).

Il y a maintenant plusieurs mois, je vous avais partagé mon expérience de dépannage chez un client qui n’arrivait pas à enregistrer des machines Windows 10 dans Microsoft Intune via la stratégie de groupe (GPO). Les machines étaient bien Hybrid Azure AD Join, l’Azure AD PRT nécessaire à l’opération d’enregistrement était bien récupéré mais l’erreur suivante était générée :
EventID : 71 Inscription GPM : échec (Unknown Win32 Error code: 0x80180001)

L’équipe du support Intune vient de confirmer le non-support de l’option Device Credential visant à utiliser les identifiants de la machine pour l’enregistrement dans Microsoft Intune via la stratégie Enable automatic MDM enrollment using default Azure AD credentials.

Ce mode n’est utilisé que lors de l’enregistrement via le Co-Management de Microsoft Endpoint Manager Configuration Manager.

Vous devez donc utiliser la valeur User Credential.

Source : Twitter

J’en parlais il y a quelques mois, Microsoft a travaillé sur une nouvelle expérience pour le portail Microsoft Intune (et Microsoft Endpoint Manager) à destination des administrateurs permettant la création et l’édition sur un seul et même unique écran. Ceci met fin au concept d’ouverture perpétuel et d’étalement de blade/tuile dans le portail. Les workflows et assistants de création et d’édition vont donc être condensé en un seul et unique écran/tuile. Vous n’aurez donc plus à naviguer en profondeur dans les tuiles.

L'expérience plein écran va être déployée sur le portail Intune sur portal.azure.com et devicemanagement.microsoft.com dans les prochains jours. Cette mise à jour de l'interface utilisateur n'aura pas d'impact sur les fonctionnalités des stratégies et profils existants, mais vous verrez une cinématique de création/modification légèrement modifié. Lorsque vous créez de nouvelles stratégies, par exemple, vous pourrez définir certaines affectations au lieu de le faire une fois la stratégie créée.

Pour les entreprises ayant créé des documentations d’exploitation, vous allez devoir les mettre à jour pour refléter ces changements.

Plus d’informations et un aperçu des écrans sur : https://aka.ms/intune_fullscreen

Microsoft vient d’annoncer la Preview 1910.2 de l’interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center.

Parmi les nouveautés de cette Preview, on retrouve notamment les capacités :

• Il est possible de couper/copier/coller dans l’outil de Fichiers (Files).
• Il devient possible de redémarrer le service sans avoir à arrêter et redémarrer.
• Mise à jour rapide des clusters - Sur le tableau de bord des clusters, les mises à jour des nœuds connectés apparaîtront dans la section "Alertes".
• Upload de fichiers - en cas d'échec d’upload d'un fichier volumineux, vous pouvez désormais réessayer d’uploader le fichier
• Filtres pour machines virtuelles - Lorsque vous consultez une liste de machines virtuelles avec plusieurs filtres appliqués, les machines virtuelles ne disparaissent plus après un certain temps
• Connexion à Azure Update Management - Les utilisateurs ne reçoivent plus d'erreur de connexion lorsqu'ils tentent de configurer Azure Update Management après avoir mis en place la supervision d'Azure
• Création de comptes Active Directory – Microsoft a corrigé une erreur dans les services de domaine Active Directory où les comptes pouvaient être créés avec des mots de passe qui ne répondaient pas aux exigences de complexité

Télécharger Windows Admin Center 1910.2 Preview

Toujours la crise du COVID-19, Microsoft repousse légèrement la fin de support des protocoles Transport Layer Security (TLS) 1.0 et 1.1 dans les navigateurs Microsoft.

Ainsi :

• Microsoft Edge (Chromium) se verra désactiver ces protocoles à partir de la version 84 (prévue en Juillet 2020)
• Internet Explorer 11 et Microsoft Edge (Legacy) se verront désactiver ces protocoles à partir du 8 septembre 2020.

Il sera toujours possible aux entreprises de les réactiver selon les besoins.

Source : Microsoft

L’équipe Exchange vient d’annoncer le report de la désactivation de l’authentification basique dans Exchange Online. Cette décision intervient avec la crise exceptionnelle du COVID-19 afin laisser la priorité à la productivité des clients. Le report est prévu jusqu’à la seconde moitié de 2021. Cette décision de report ne concerne que les anciens tenants qui utilisent encore l’authentification basique.

Dans les cas suivants, l’authentification basique sera désactivée :

• Pour les nouveaux tenants instanciés
• Pour les tenants qui n’ont pas enregistré d’usage depuis octobre 2020.

Source : Microsoft

Avec la montée en puissance du télétravail, de la mobilité, le modèle Zero Trust n’a jamais fait aussi sens ! Cette vision de sécurité part du principe qu’il ne faut avoir confiance en aucun élément de sécurité qui aurait pu être mis en place et que le principe de brèche doit être intégré dans la philosophie de l’entreprise.

Pour aider les entreprises à évaluer leur état de maturité (traditionnel, avancé, optimal) vis-à-vis du modèle, Microsoft a mis en place un outil visant à évaluer les différents aspects :

• Identités
• Périphériques
• Applications
• Infrastructure
• Donnée
• Réseau

L’entreprise peut donc juger de son niveau au travers d’un questionnaire pratique.

Vous pouvez ensuite vous référer à un livre blanc pour décrire la vision du modèle de maturité Zero Trust.

Utiliser Microsoft Zero Trust Assessment tool

Parmi les stratégies et configurations qu’il est possible de déployer avec un outil de gestion tel que Microsoft Endpoint Manager Microsoft Intune, on retrouve certaines configurations qui génèrent des redémarrages de la machine.

Ces dernières peuvent causer des problèmes dans les scénarios de déploiement avec Windows Autopilot où la machine redémarre et nécessite alors que l’utilisateur se connecte à nouveau pour continuer le processus.

La liste des configurations identifiées comme générant des redémarrages est stockée dans le registre via la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Provisioning\SyncML\RebootRequiredURIs.

On retrouve par exemple :

• Des paramétrages liés à Device Guard et Credential Guard
• Un paramétrage lié à Exploit Guard
• Des paramétrages liés au menu de démarrage
• Un paramétrage lié à la gestion des Builds en Preview
• Le paramétrage d’activation de Microsoft Defender Application Guard
• L’application d’une clé Windows afin de mettre à niveau le système

Ainsi, si vous créé une stratégie visant à configurer Windows Update for Business et même si vous ne modifiez pas le paramétrage de gestion des Builds, la stratégie comprendra le paramétrage avec une valeur par défaut (désactivé) qui génèrera le redémarrage.

Une des solutions entrevues est le déploiement de ces profils de configuration sur l’utilisateur plutôt que la machine afin qu’il s’applique à la fin du processus et ne bloque pas la page Enrollment Status Page (ESP).

[Windows 10] Une mise à jour hors cycle pour adresser un problème de connectivité internet avec des proxy et du VPN

Microsoft vient de publier une mise à jour optionnelle hors cycle permettant d’adresser un problème où les périphériques utilisant un proxy, en particulier ceux qui utilisent un VPN, peuvent présenter un état de connexion à lnternet limité ou inexistant. Cette mise à jour qui s’adresse aux versions de Windows 10 a été publiée sur le catalogue Microsoft Update et doit être déployée si vous constatez ce problème dans votre environnement :

• Windows 10, version 1909 (KB4554364)
• Windows 10, version 1903 (KB4554364)
• Windows 10, version 1809 (KB4554354)
• Windows 10, version 1803 (KB4554349)
• Windows 10, version 1709 (KB4554342)

Microsoft vient de publier la version 2.6.111.0 du client et du scanner Unified Labeling d’Azure Information Protection.

Parmi les changements sur l’Unified Labeling Client, on retrouve :

• Modification de l'ensemble de cmdlets PowerShell Set-AIPFileLabel pour permettre la suppression de la protection des fichiers PST, rar, 7zip et MSG. Cette fonction est désactivée par défaut et doit être activée à l'aide de la cmdlet Set-LabelPolicy.
• Ajout de la possibilité pour les administrateurs d'Azure Information Protection de contrôler quand les extensions .pfile sont utilisées pour les fichiers.
• Ajout du marquage visuel dynamique pour les applications et les variables. Il existe néanmoins les limitations suivantes :
  • La syntaxe des paramètres dynamiques est sensible à la casse (contrairement à la version 1)
  • Problème avec les variables dynamiques ${User.Name} et ${User.PrincipalName} qui ne seront pas appliquées.
• Des améliorations ont été apportées aux astuces personnalisables pour les labels automatiques et recommandées.
• Ajout du support de la fonction de labeling hors ligne avec les applications Office dans le client Unified Labeling.
• Amélioration de la qualité du client AIP

Parmi les nouveautés et changements sur le scanner, on retrouve :

• Disponibilité Générale de la fonctionnalité permettant d’inspecter et labéliser des documents sur des emplacements de données On-Premises
• Facilitation de la découverte de SharePoint On-Premises et des sous sites. La configuration de chaque site spécifique n'est plus nécessaire.
• Ajout d'une propriété avancée pour le dimensionnement des SQL chunks.
• Les administrateurs ont désormais la possibilité d'arrêter les analyses existantes et d'effectuer une nouvelle analyse si une modification a été apportée au label par défaut.
• Par défaut, le scanner définit désormais une télémétrie minimale pour des analyses plus rapides et une réduction de la taille des journaux et des types d'informations sont désormais mis en cache dans la base de données.
• Le scanner supporte désormais des déploiements séparés pour la base de données et le service, tandis que les droits Sysadmin ne sont nécessaires que pour le déploiement de la base de données.
• Des améliorations ont été apportées aux performances du scanner.

 
Télécharger Azure Information Protection Client

Microsoft va publier une nouvelle version de sa certification à destination des administrateurs Azure.  L’AZ-104 vient remplacer l’AZ-103: Microsoft Azure Administrator permettant de devenir Microsoft Certified: Azure Administrator Associate. L’AZ-103 est prévue pour être retirée le 31 août 2020.

Voici les différents éléments évalués en détail par l’AZ-104: Microsoft Azure Administrator :

• Manage Azure subscriptions and resources (15-20%)
• Implement and manage storage (15-20%)
• Deploy and manage virtual machines (VMs) (15-20%)
• Configure and manage virtual networks (30-35%)
• Manage identities (15-20%)

Un code de passage (AZ104WAGONER) est disponible pour les 300 premiers afin de recevoir une réduction de 80%.

Les certifications doivent être passées avant le 31 mai 2020. 

Source : https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375290

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

La version 169 introduit les changements suivants :

• De nouvelles détections pour Workday avec les détections de géolocalisation des utilisateurs suivantes :
  • Activité à partir d'adresses IP anonymes
  • Activité provenant d'un pays peu fréquent
  • Activité provenant d'adresses IP suspectes
  • Voyages impossibles
• Amélioration de la collecte de données Salesforce : Cloud App Security prend désormais en charge le journal d'événements horaire de Salesforce. Les journaux d'événements horaires vous permettent de surveiller les activités des utilisateurs de manière accélérée et en temps quasi réel.
• Support de la configuration de la sécurité AWS à l'aide d'un compte master : La connexion du compte master permet de recevoir des recommandations de sécurité pour tous les comptes de membres dans toutes les régions.
• Le contrôle des sessions de sécurité des applications Cloud inclut désormais le support de Microsoft Edge (Chromium). Bien que Microsoft continue à prendre en charge les versions les plus récentes d'Internet Explorer et l'ancienne version de Microsoft Edge, le support sera limité et l’entreprise recommande d'utiliser le nouveau navigateur Microsoft Edge.

Les versions 170 et 171 regroupe les éléments suivants :

• Preview d’une nouvelle détection d'anomalies pour AWS : Une région inhabituelle pour les ressources Cloud (Unusual region for cloud resource). La nouvelle détection est maintenant disponible par défaut et permet de vous alerter automatiquement lorsqu'une ressource est créée dans une région AWS où l'activité n'est pas normalement réalisée. Les attaquants utilisent souvent les crédits AWS d'une organisation pour mener des activités malveillantes telles que le crypto-mining. La détection de ces comportements anormaux peut aider à atténuer une attaque.
• Nouveaux modèles de stratégie d'activités pour Microsoft Teams
  • Changement de niveau d'accès (Teams) : Alertes lorsque le niveau d'accès d'un Teams passe de privé à public.
  • Ajout d'un utilisateur externe (Teams) : Alertes lorsqu'un utilisateur externe est ajouté à un Teams.
  • Suppression en masse (Teams) : Alertes lorsqu'un utilisateur supprime un grand nombre de Teams.
• Intégration avec Azure Active Directory (Azure AD) Identity Protection permettant de contrôler la gravité des alertes Azure AD Identity Protection qui sont ingérées dans Cloud App Security. De plus, si vous n'avez pas encore activé la détection de connexion Azure AD Risky, la détection sera automatiquement activée pour ingérer les alertes de haute gravité.

Plus d’informations sur : What's new with Microsoft Cloud App Security

Microsoft vient de publier une mise à jour (1.5.18.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

Cette version apporte les éléments suivants :

• Ajout du support de la fonction mS-DS-ConsistencyGuid pour les objets de groupe. Cela vous permet de déplacer des groupes entre les forêts ou de reconnecter des groupes dans AD à Azure AD lorsque l'objectID du groupe AD a changé, par exemple lorsqu'un serveur AD est reconstruit après un désastre. Pour plus d'informations, voir Déplacer des groupes entre les forêts.
• L'attribut mS-DS-ConsistencyGuid est automatiquement défini sur tous les groupes synchronisés et vous n'avez rien à faire pour activer cette fonctionnalité.
• Suppression de la cmdlet Get-ADSyncRunProfile car elle n'est plus utilisée.
• Modification de l'avertissement que vous voyez lorsque vous essayez d'utiliser un compte Enterprise Admin ou Domain Admin pour le compte connecteur AD DS afin de fournir plus de contexte.
• Ajout d'une nouvelle cmdlet pour supprimer des objets de l'espace connecteur ; l'ancien outil CSDelete.exe est supprimé et remplacé par la nouvelle cmdlet Remove-ADSyncCSObject. La cmdlet Remove-ADSyncCSObject prend un CsObject en entrée. Cet objet peut être récupéré en utilisant la cmdlet Get-ADSyncCSObject.

Elle corrige les bugs suivants :

• Correction d'un buge dans le sélecteur de groupe writeback forest/OU lors de la relance de l'assistant Azure AD Connect après avoir désactivé la fonction.
• Introduction d'une nouvelle page d'erreur qui s'affichera si les valeurs requises du registre DCOM sont manquantes avec un nouveau lien d'aide. Des informations sont également écrites dans les journaux.
• Correction d'un problème avec la création du compte de synchronisation Azure Active Directory où l'activation des extensions de répertoire ou du PHS pouvant échouer parce que le compte ne s'est pas propagé à travers tous les réplicas de service avant la tentative d'utilisation.
• Correction d'un bug dans l'utilitaire de compression des erreurs de synchronisation qui ne gérait pas correctement les caractères de substitution.
• Correction d'un bug dans la mise à niveau automatique qui laissait le serveur dans l'état en suspend du scheduler.

Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#15180

Télécharger Microsoft Azure Active Directory Connect