• [MEM] Rejoignez moi pour un Webinar sur l’Hybridation entre Microsoft Intune et ConfigMgr

    Rejoignez-moi le mercredi 24 juin à 20h pour parler de Microsoft Endpoint Configuration Manager (SCCM) et Microsoft Intune ! Nous aborderons les nouveaux mécanismes d’hybridation qui donnent naissance à la solution Microsoft Endpoint Manager. Nous parlerons des éléments suivants :

    • Tenant Attach
    • Client Attach
    • Co-Management
    • Etc

    J’aborderais ces sujets avec mon hôte (Romain Serre) au travers de démos.

    Pour s’inscrire, rendez-vous sur Meetup.

    Vous pouvez rejoindre l’événement en live sur Youtube.

  • [MDT] Une mise à jour de MDT 8456 pour supporter l’ADK de Windows 10 2004

    Microsoft vient de publier un correctif pour la version 8456 de Microsoft Deployment Toolkit (MDT) afin de corriger un problème qui touche le déploiement de Windows 10 2004 avec l’ADK associé. Pour rappel, MDT est un accélérateur de solutions gratuit permettant d’optimiser le déploiement de systèmes d’exploitation.

    Le type de firmware du BIOS est incorrectement identifié comme UEFI, ce qui entraîne des échecs lors du rafraîchissement d'un ordinateur existant avec une nouvelle version de Windows.

    Lorsque ce problème survient, le smsts.log enregistre l'entrée suivante : UEFI : true

    Les erreurs ressemblant à ce qui suit sont ensuite enregistrées à la fin du processus.

    Marking partitions active is only supported for MBR disks.
    Unable to activate partition (0x80004001)
    Failed to make volume C:\ bootable. Code 0x80004001.
    Failed to make volume C:\ bootable. Please ensure that you have set an active partition on the boot disk before installing the operating system. Not implemented (Error: 80004001; Source: Windows)
    Process completed with exit code 2147500033
    Failed to run the action: Apply Operating System. Error -2147467263

     

    Pour appliquer la mise à jour :

    1. Faites l’extraction de MDT_KB4564442.exe
    2. Fermez votre Deployment Workbench
    3. Sauvegardez les versions x64 et x86 des fichiers Microsoft.BDD.Utility.dll dans :
      1. %ProgramFiles%\Microsoft Deployment Toolkit\Templates\Distribution\Tools\x86\
      2. %ProgramFiles%\Microsoft Deployment Toolkit\Templates\Distribution\Tools\x64\
    4. Copiez les DLL extraites à la place des anciennes versions
    5. Ouvrez le Deployment Workbench, sélectionnez votre Deployment Share et choisissez Update Deployment Share.

    Plus d’informations sur : Windows 10 deployments fail with Microsoft Deployment Toolkit on computers with BIOS type firmware

    Télécharger :

  • [Windows 10] SetupDiag est intégré dans Windows 10 2004

    L’arrivée de Windows 10 2004 signe l’intégration de l’outil SetupDiag dans l’installeur de Windows. Pour rappel, l’outil SetupDiag permettant d’aider les administrateurs à obtenir du détail lorsqu’une mise à niveau de Windows 10 ne fonctionnait pas. L’outil vérifie les fichiers de journalisation Windows Setup pour trouver les éléments bloquants afin d’identifier la cause principale de l’échec.

    L’outil est extrait lors du processus de mise à niveau, dans le dossier %SystemDrive%$Windows.~bt\Sources.

    Si un problème survient pendant la mise à niveau, SetupDiag est automatiquement exécuté pour déterminer la cause avec les paramètres suivants :

    • /ZipLogs:False
    • /Format:xml
    • /Output:%windir%\logs\SetupDiag\SetupDiagResults.xml
    • /RegPath:HKEY_LOCAL_MACHINE\SYSTEM\Setup\SetupDiag\Results

    Les résultats sont donc présents dans %windir%\logs\SetupDiag\SetupDiagResults.xml

  • [SCM] Les baselines pour Microsoft Edge v83 disponibles en version finale

    Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v83. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

    Cette version 83 comprend 19 nouveaux paramètres de configuration machine et utilisateur. :

    • Allow or deny screen capture
    • Allow suggestions from local providers
    • Allow surf game
    • Allow users to configure Family safety
    • Block all ads on Bing search results
    • Clear cached images and files when Microsoft Edge closes
    • Configure the list of sites for which Microsoft Edge will attempt to establish a Token Binding with.
    • Configure the list of types that are excluded from synchronization
    • Configure the Share experience
    • Configure whether Microsoft Edge should automatically select a certificate when there are multiple certificate matches for a site configured with "AutoSelectCertificateForUrls"
    • Control the mode of DNS-over-HTTPS
    • Delete old browser data on migration
    • Enable Hiding of Native Windows
    • Enable scrolling to text specified in URL fragments
    • Prevent Desktop Shortcut creation upon install
    • Specify URI template of desired DNS-over-HTTPS resolver
    • Target version override

     

    Voici un document présentant les différences entre la version 83 et 81

    Plus d’informations sur l’article suivant :  https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-for-microsoft-edge-v83/ba-p/1417634

    Télécharger Security Compliance Toolkit

  • [SCM] Les baselines pour Windows 10 2004 disponibles en Preview

    Microsoft a annoncé la Preview des baselines de paramétrages de sécurité pour Windows 10 2004 (20H1) et Windows Server 2004. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

    Voici les différences avec la baseline pour Windows 10 1909 :

    • Changement sur le paramétrage LDAP channel binding qui a été déplacé à un nouvel emplacement.
    • Un nouveau paramétrage Microsoft Defender Antivirus permet de calculer les hachages de fichiers pour chaque fichier exécutable qui est scanné. Celui-ci améliore notamment le blocage des indicateurs personnalisés par Microsoft Defender Advanced Threat Protection.
    • Deux noveau paramétrages de sécurité pour les politiques de mot de passe ‘Minimum password length audit’ et ‘Relax minimum password length limits’. Auparavant, vous ne pouviez pas non plus demander un mot de passe supérieur à 14 caractères. Il est maintenant possible d’aller jusqu’à 128 caractères.

    Microsoft intègre aussi des améliorations pour LGPO et Policy Analyszer.

    Plus d’informations sur l’article suivant : https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-draft-windows-10-and-windows-server-version/ba-p/1419213

    Télécharger Windows-10-Windows Server-v2004-Security-Baseline-DRAFT.zip

  • [AIP] Preview (2.7.95.0) du client et du scanner Unified Labeling d’Azure Information Protection

    Microsoft a publié une nouvelle Preview (2.7.95.0) du client et du scanner Unified Labeling d’Azure Information Protection. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

    Cette version apporte les éléments suivants pour le client :

    • Des fenêtres contextuelles de justification apparaissent désormais pour les modifications apportées aux étiquettes par défaut dans le client Unified Labeling.
    • Intégration plus aisée avec les marquages visuels du contenu appliqués par Office.
    • La nouvelle propriété avancée WordShapeNameToRemove permet de supprimer le marquage de contenu dans les documents Word réalisés par des applications tierces.
    • À partir de cette version du client Azure Information Protection, seules les versions TLS 1.2 ou supérieures sont prises en charge.

     

    Cette version apporte les éléments suivants concernant le scanner :

    • Utilisez un scanner pour appliquer les étiquettes en fonction des conditions recommandées. Les entreprises utilisant AIP peuvent désormais choisir de mettre en œuvre un étiquetage automatique uniquement du côté du service. Cette fonctionnalité permet aux utilisateurs de toujours suivre les recommandations au lieu du scénario précédent, qui n'autorisait que l'étiquetage automatique côté utilisateur.
    • Vous pouvez savoir quels fichiers précédemment découverts par le scanner ont été supprimés du dépôt scanné. Ces fichiers supprimés n'étaient pas précédemment signalés dans AIP Analytics et sont maintenant disponibles dans le rapport de découverte du scanner.
    • Vous pouvez obtenir des rapports du scanner sur les échecs d'application des événements d'action et découvrir des moyens de prévenir les occurrences futures.
    • Introduction de l'outil d'analyse diagnostique du scanner AIP pour la détection et l'analyse des erreurs courantes du scanner. Pour commencer à utiliser les diagnostics du scanner AIP, lancez le nouveau cmdlet Start-AIPScannerDiagnostics.
    • Vous pouvez maintenant gérer et limiter la consommation maximale de CPU sur la machine du scanner.
    • Vous pouvez désormais configurer le scanner pour qu'il ignore des fichiers spécifiques en fonction de leurs attributs.
    • Des journaux d'audit sont désormais générés chaque fois que le scanner détecte qu'un fichier qui avait été précédemment analysé est désormais supprimé.

     

    On retrouve les correctifs suivants :

    • Améliorations de l’analyse SQL pour :
      • Performance
      • Fichiers contenant un grand nombre de types d'informations
    • Améliorations de l’analyse SharePoint pour :
      • Performances d’analyse
      • Fichiers avec des caractères spéciaux dans le chemin d'accès
      • Bibliothèques ayant un nombre important de fichiers
    • Amélioration des notifications aux utilisateurs pour les stratégies manquantes.
    • Les étiquettes automatiques sont désormais appliquées dans Excel pour les scénarios où un utilisateur commence à fermer un fichier sans l'enregistrer, tout comme elles le sont lorsqu'un utilisateur enregistre activement un fichier.
    • Les en-têtes et les pieds de page sont supprimés comme prévu, et non plus sur chaque enregistrement de document, lorsque le paramètre ExternalContentMarkingToRemove est configuré.
    • Les variables dynamiques de l'utilisateur sont maintenant affichées dans les marquages visuels d'un document comme prévu.
    • Lorsque plusieurs comptes Exchange sont configurés et que le client Outlook Azure Information Protection est activé, les emails sont envoyés depuis le compte secondaire comme prévu.
    • Lorsqu'un document portant un label de confidentialité plus élevé est glissé et déposé dans un email, ce dernier reçoit automatiquement le label de confidentialité plus élevé, comme prévu.
    • Des autorisations personnalisées sont maintenant appliquées aux emails comme prévu, lorsque les adresses électroniques comprennent à la fois une apostrophe (') et un point (.)
    • Par défaut, le propriétaire NTFS d'un fichier est perdu lorsque le fichier est étiqueté par le scanner, PowerShell, ou l'extension File Explorer. Vous pouvez maintenant configurer le système pour conserver le propriétaire NTFS du fichier en réglant le nouveau paramètre avancé UseCopyAndPreserveNTFSOwner sur true.
    • Le paramètre avancé UseCopyAndPreserveNTFSOwner nécessite une connexion réseau fiable et à faible latence entre le scanner et le dépôt numérisé.

     

    Télécharger Azure Information Protection unified labeling scanner et client

  • [MIP] Un guide d’accélération du déploiement de Microsoft Information Protection et de la conformité

    Les équipes Customer Experience (CXE) de Microsoft Information Protection et Compliance ont publié un guide permettant le déploiement accéléré et plus aisé de Microsoft Information Protection. Le guide revient surtout sur l’élément le plus difficile d’un projet : les prérequis métiers qui doivent être en place pour la réalisation du projet. Il s'agit donc d'un guide pour aider les décideurs et les ITs à comprendre les meilleures façons de déployer Azure Information Protection et d'éviter les erreurs qui pourraient causer des retards dans le déploiement.

    Le guide aborde :

    • Les concepts et éléments
    • La roadmap
    • Les prérequis généraux
    • Les différents services : Insider Risk Management, Communication compliance, Record Management, Information Governance, Compliance Management et Compliance Score.
    • Les bonnes pratiques

    Télécharger Microsoft Information Protection and Compliance Deployment Acceleration Guide

  • Un lab pour la certification AZ-500 Microsoft Azure Security Technologies

    Microsoft Learning a publié un lab à suivre pour se former à la certification AZ-500 Microsoft Azure Security Technologies. On retrouve différents modules avec notamment :

    • Module 1 : PIM, Key Vault, MFA, App Registration, Application Service Principal, RBAC, Azure Policy, Azure Locks, Subcriptions
    • Module 2 : Monitor & Autoscale, Function Apps, Kubernetes, VNet, NSGs, NVA, Service Endpoints, VNet Peering, Azure DNS, Load Balancer and App Gateway, VPN Gateways and Tunnelling, etc.
    • Module 3 : Classifier une base de données SQL, Auditer une base de données, Analyser les journaux d’audit et rapports
    • Module 4 : Azure Monitor, Security Center, Event Hub, Azure Sentinel, etc.

    Accéder au GitHub

  • [Azure AD] De nouveaux Webinars sur Azure Active Directory en juin 2020

    Microsoft va procéder à des Webinars sur Azure Active Directory.                              

     

    Plus d’informations sur Register now and Learn how to deploy Azure Active Directory from the experts

  • [Azure AD] Les nouveautés d’Azure Active Directory en Mai 2020

    Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Mai 2020.

    Microsoft apporte les nouveautés suivantes :

    • On retrouve un nouveau rôle RBAC Hybrid Identity Administrator dans Azure Active Directory permettant de configurer le Cloud Provisioning Azure AD Connect.
    • Disponibilité Générale du workbook Conditional Access Insights and Reporting afin de donner une vue d'ensemble de l'accès conditionnel d'Azure AD. Grâce à la possibilité de sélectionner une stratégie individuelle, les administrateurs peuvent mieux comprendre ce que fait chaque stratégie et suivre les changements en temps réel.

    • Public Preview de la nouvelle tuile Détails de la stratégie affiche les affectations, les conditions et les contrôles satisfaits lors de l'évaluation de la politique d'accès conditionnel. Vous pouvez accéder à la tuile en sélectionnant une ligne dans les onglets Conditional Access ou Report-Only de Sign-in details.

    • Public Preview de nouvelles fonctionnalités introduites pour les API Microsoft Graph Directory Objects, permettant des opérations de comptage, de recherche, de filtrage et de tri. Les développeurs pourront ainsi interroger rapidement aux objets d’annuaire sans recourir à des solutions de contournement telles que le filtrage et le tri en mémoire.
    • Une aide à la création et à la configuration d'une application de la galerie Azure AD utilisant les API MS Graph en version bêta est désormais disponible.
    • Disponibilité Générale du chiffrement par jeton SAML pour permettre de configurer les applications pour recevoir des assertions SAML chiffrées.
    • Disponibilité Générale des claims groupés émises sous forme de jeton pouvant être désormais limitées aux seuls groupes affectés à la demande. Ceci est particulièrement important lorsque les utilisateurs sont membres d'un grand nombre de groupes et qu'il y a un risque de dépassement des limites de taille du jeton.
    • Le provisionnement d’application Workday Writeback permet désormais de définir les attributs des numéros de téléphone professionnels.
    • Preview de la vérification de l'éditeur afin d’aider les administrateurs et les utilisateurs à comprendre l'authenticité des développeurs d'applications s'intégrant à la plate-forme d'identité de Microsoft.

     

    On retrouve les modifications de service suivantes :

    • Public Preview des filtres sur plus de propriétés des périphériques dans Azure AD. On retrouve notamment le type de système d’exploitation, le type de jointure, la conformité, etc.

    • Disponibilité Générale de la nouvelle expérience d’inscription d’application pour Azure AD B2C.
    • Microsoft modifie les notifications par email du MFA, tant le MFA Cloud que MFA Server. Les notifications par email seront envoyées à partir de l'adresse suivante : azure-noreply@microsoft.com. Nous mettons à jour le contenu des emails d'alerte à la fraude afin de mieux indiquer les étapes nécessaires au déblocage des utilisations.
    • Nouvelle inscription en libre-service pour les utilisateurs des domaines fédérés qui ne peuvent pas accéder aux équipes Microsoft parce qu'elles ne sont pas synchronisées avec Azure Active Directory. À partir de la fin du mois de juin, cette nouvelle fonctionnalité leur permettra de le faire en étendant la fonction existante d'inscription avec vérification de l'adresse électronique. Cela permettra aux utilisateurs qui peuvent se connecter à un IdP fédéré, mais qui n'ont pas encore d'objet utilisateur dans Azure AD, d'avoir un objet utilisateur créé automatiquement et d'être authentifié pour les Teams. Leur objet utilisateur sera marqué comme "inscription en libre-service". Il s'agit d'une extension de la capacité existante à effectuer une auto-inscription vérifiée par email que les utilisateurs des domaines gérés. Ce changement sera mis en œuvre au cours des deux prochains mois.
    • À partir de juin, la plate-forme d'identité de Microsoft et le protocole OpenID Connect de l'OIDC (login.microsoftonline.us) commenceront à renvoyer le bon point de terminaison graph (https://graph.microsoft.us ou https://dod-graph.microsoft.us0), en fonction du tenant fourni. Il fournit actuellement le champ "msgraph_host" du point de terminaison graph incorrect (graph.microsoft.com).
    • Depuis le 5 mai, les utilisateurs d’Azure Government ne peuvent plus se connecter sur login.microsoftonline.com.
    • La demande de déconnexion unique de SAML envoie maintenant le NameID dans le format correct.
    • En raison des restrictions imposées aux cookies par les navigateurs modernes tels que Safari ITP, les SPA devront utiliser le flux de codes d'autorisation plutôt que le flux implicite pour maintenir le SSO ; MSAL.js v 2.x prendra désormais en charge le flux de codes d'autorisation.

    Plus d’informations sur : What’s new Azure AD

  • [SCCM/MECM 2002] Résumé des changements de Configuration Manager 2002

    Microsoft a publié la liste des changements importants apportés par Microsoft Endpoint Configuration Manager 2002. La liste est non exhaustive. On retrouve :

    Client

    • Le processus de mise à niveau automatique du client ne limite pas, comme prévu, le trafic aux Management Point à l'intérieur d'un groupe de limites défini.

    Cloud Services

    • Si vous créez une connexion à un service Azure, et que vous réglez l'environnement Azure sur le Government Cloud, les propriétés de la connexion montrent l'environnement comme étant le Cloud public Azure. Ce problème n'est qu'un problème d'affichage dans la console, le service est toujours dans le Government Cloud.

    Systèmes de site

    • Sur les serveurs dont les journaux d'événements contiennent de nombreux événements, le SiteHealthMonitor.log enregistre des interruptions répétées.
    • L'installation du client push échoue si un site secondaire est défini dans la section "Assigned Site" d'un groupe limite pour l'attribution des sites.
    • Les instructions SQL pour le composant SMS_DATABASE_NOTIFICATION_MONITOR (smsdbmon) peuvent entraîner un blocage dans un site actif avec plusieurs fournisseurs de SMS installés. L'une des erreurs suivantes, ou les deux, peuvent être enregistrées dans le fichier smsdbmon.log.
    1. *** [23000][547][Microsoft][SQL Server Native Client 11.0][SQL Server]The INSERT statement conflicted with the FOREIGN KEY constraint "ProviderNotificationTracking_ProviderNotifications_FK". The conflict occurred in database "CM_{sitecode}", table "dbo.ProviderNotifications", column 'RecordID'. : spNotifyProvider
    2. *** [40001][1205][Microsoft][SQL Server Native Client 11.0][SQL Server]Transaction (Process ID 101) was deadlocked on lock resources with another process and has been chosen as the deadlock victim. Rerun the transaction. : spNotifyProvider

    *** Deadlock detected, retrying the statement

     

    Le déploiement de système d’exploitation

    • Les ordinateurs clients peuvent se voir présenter la console de restauration BitLocker lorsqu'ils tentent de démarrer dans un environnement PXE. Cela se produit si la carte d'interface réseau (NIC) est la première dans l'ordre de démarrage.
    • La fenêtre de progression de l'installation pour une séquence de tâches de mise à niveau du système d'exploitation ne se met pas à jour. Cela se produit si la séquence de tâches se déroule à nouveau après un échec antérieur. Une erreur ressemblant à ce qui suit est enregistrée dans le fichier smsts.log. Notez que l'installation n'est pas affectée par ce problème, seulement la fenêtre de progression : Could not read Windows Setup progress regkey value ‘SetupProgress’ at ‘HKLM\SYSTEM\Setup\MoSetup\Volatile’. Stopping UI progress. (0x800703fa)

    Inventaires

    • Les données d'inventaire du matériel de la classe CCM_OperatingSystemExtended cessent de faire l'objet de rapports après le déploiement de l'agent de gestion BitLocker. Cela peut affecter l'adhésion aux collections de périphériques pour les clients utilisant l'agent Microsoft BitLocker Administration and Monitoring (MBAM).

    Reporting et Data Warehouse

    • La description du rapport Compliance 2 – Specific software update report est mise à jour pour indiquer que l'ensemble des résultats est limité à 500 éléments.
    • Les rapports ne sont pas publiés lorsqu'un proxy est configuré pour le site et que le reporting services point utilise le port 443. Les erreurs ressemblant à ce qui suit sont répétées dans le fichier srsrp.log.

    (!) SRS not detected as running

    STATMSG: ID=7403 SEV=E LEV=M SOURCE="SMS Server" COMP="SMS_SRS_REPORTING_POINT"...

    Failures reported during periodic health check by the SRS Server {server_name}

    ...

    The underlying connection was closed: An unexpected error occurred on a send.

    • Le rapport BitLocker Computer Compliance Report n'indique pas les informations sur les détails des périphériques conformes lorsqu'il y a au moins un dispositif non conforme dans l'environnement.
    • Les mises à jour Office 365 Monthly Channel sont incorrectement classées dans la catégorie "Autres" dans la section des canaux clients d'Office 365 du tableau de bord de gestion des clients.

    Console d’administration

    • La valeur de filtre par défaut pour la vue Date Released dans la vue All Software Updates est maintenant " is on or after" au lieu de " is on or before".
    • Les colonnes non par défaut ajoutées à la console ne persistent pas après un redémarrage de la console.
    • Le tableau des critères de réussite indique "NaN%" au lieu de "0,0%" pour un rapport d'état de déploiement graduel (Phased Deployment) lorsque les ressources totales sont nulles.
    • La partie " Windows 10 Usage" du tableau de bord de Windows 10 Servicing n'est pas cliquable dans la console.
    • Une erreur d'exception non gérée .NET Framework est générée lorsque plusieurs groupes de mise à jour de logiciels sont sélectionnés et que l'option "Create Phased Deployment" est choisie. Notez que cette option ne devrait pas être disponible lorsque plusieurs groupes sont sélectionnés.
    • De nombreuses améliorations sont apportées à la console afin d'améliorer le tri, la recherche et l'affichage des données.
    • La console se ferme de manière inattendue lorsqu'on essaie d'accéder à un dossier enfant de la collection de périphériques contenant de nombreux objets.
    • Le raccourci clavier Ctrl+V ne fonctionne pas pour coller les adresses MAC dans la fenêtre Duplicate Hardware Identifiers de la console.
    • La console se ferme de manière inattendue lors de l'ouverture de la fenêtre Propriétés du Provisioning Device pour un nouvel objet.
    • La console peut se bloquer pendant 10-15 secondes toutes les 5-10 minutes si le service d'administration n'est pas installé. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier SmsAdminUI.log
      System.Net.WebException: Unable to connect to the remote server
      Failed to get a response for OData query: v1.0/ConsoleUsageData/AdminService.UpdateConsoleHeartbeat.

     

    Distribution logiciels et gestion du contenu

    • Le contenu ne peut pas être téléchargé à partir d'un Cloud Distribution Point si le protocole TLS 1.2 est appliqué sur la Cloud Management Gateway. Les erreurs ressemblant à ce qui suit sont enregistrées dans le DataTransferService.log.
      https://{content_url} failed with 400
      Successfully queued event on HTTP/HTTPS failure for server '{cloud distribution points}'.
      Error sending DAV request. HTTP code 400, status 'Bad Request'
      GetDirectoryList_HTTP('https://{content_url}') failed with code 0x87d0027e.
      Error retrieving manifest (0x87d0027e).
    • Un Pull Distribution Point ne peut pas télécharger les package du client ConfigMgr (y compris les paquets de mise à niveau et les packages de pilotes) lorsque la source est un Cloud Distribution Point.

     

    Gestion des mises à jour logicielles

    • Les modèles de déploiements ne préservent pas les paramétrages de démarrage ou les packages de déplouement..
    • Une règle de déploiement automatique (ADR) ne s'exécute pas si l'une de ses collections cibles est supprimée de la console.
    • La deadline de déploiement d'une règle de déploiement automatique ne peut pas être modifiée en "dès que possible" si une autre deadline a été précédemment sélectionnée.
    • Dans certains cas, les règles de déploiement de mise à jour de logiciel ne peuvent pas être créées ou mises à jour. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier objreplmgr.log.

    [SQL Server Native Client 11.0][SQL Server]String or binary data would be truncated.

    :DMP_FetchClientAgentPolicies

    • Les changements de statut de conformité des mises à jour de logiciels ne peuvent pas être répliqués d'un site prilaire vers le CAS si les sites utilisent Microsoft SQL Server 2017.
    • Les ordinateurs clients reçoivent des mises à niveau des fonctionnalités Windows de manière répétée, ce qui entraîne de multiples redémarrages. Cela se produit lorsque plusieurs mises à jour de fonctionnalités applicables sont déployées avec la même affectation.

    PowerShell

    • Le cmdlet New-CMTSRule PowerShell ne parvient pas à créer une séquence de tâches et renvoie une erreur ressemblant à ce qui suit : New-CMTSRule : Cannot validate argument on parameter 'ReferencedVariableName'. System.Management.Automation.ValidationMetadataException
    • Le script PowerShell InstallMBAMWebsites.ps1 ne fonctionne pas dans un environnement avec un espace de noms disjoint. Une erreur ressemblant à ce qui suit est renvoyée : Set-MachineUserOnSql : Unable to get machine’s domain name

     

    Support Center et SDK

    • Support Center est mis à jour pour collecter tous les fichiers .ETL de \Windows\Logs\WindowsUpdate pour aider à résoudre les problèmes avec Microsoft Update.
    • La méthode Discover de la classe ConfigMgrDataDiscoveryRecordMessage du SDK de messagerie client renvoie des informations précises sur la version de Windows.
    • L'outil One Trace de Support Center est mis à jour pour ouvrir un ensemble de fichiers journaux du client basés sur des caractéristiques prédéfinies, comme les mises à jour de logiciels, la gestion des applications, etc.
    • Les entrées du journal affichées dans One Trace sont désormais surlignées en jaune pour les avertissements et en rouge pour les erreurs.

     

    En outre, les correctifs suivants sont inclus :

    • KB4537079: Update Rollup for Microsoft Endpoint Configuration Manager current branch, version 1910
    • KB4552181: Content distribution stalls in Configuration Manager current branch, version 1910
    • KB4552430: Third-party update category synchronization resets to default in Configuration Manager

     

    Plus d’informations sur la KB4556203 Summary of changes in Microsoft Endpoint Configuration Manager current branch, version 2002

  • [Windows 10 2004] Le kit de déploiement et d’évaluation (ADK) de Windows 10 2004 est disponible

    Microsoft a mis en ligne la version finale du kit de déploiement et d’évaluation (ADK) pour Windows 10 2004.

    Cette version apporte les changements suivants :

    • Nouvelle option SkipPDBGen - Pendant l'arrêt de Windows Performance Recorder, vous pouvez maintenant spécifier dans la ligne de commande la possibilité de sauter la génération des PDB (NGen & Embedded) pour aider à réduire le temps d'arrêt du traçage

    Pour rappel, Windows PE est maintenant sous la forme d’un installeur séparé.

    Plus d’informations sur : https://msdn.microsoft.com/en-us/windows/hardware/dn913721(v=vs8.5).aspx

    Télécharger :

  • [Desktop Analytics] Les nouveautés de Mai 2020

    Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Pour aider à consolider et à réduire le nombre d'applications figurant sur la page des ressources du portail, il combine désormais toutes les versions des applications ayant le même nom et le même éditeur. Le nombre d'applications dans la tuile " Noteworthy Apps" reflète ce paramètre. Par exemple, au lieu de répertorier des centaines d'instances de Microsoft Edge, il n'y en a qu'une seule pour toutes les versions. Vous pouvez prendre des décisions une fois pour toutes les versions. Si vous devez prendre des décisions concernant des versions spécifiques d'une application, ce comportement est configurable via l’option associée.

     

    Plus d’informations sur : What’s new in Desktop Analytics

  • [MCAS] Les nouveautés de Microsoft Cloud App Security en Mai 2020

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    La version 176 introduit les changements suivants :

    • Nouvelle fonction de confidentialité des activités : Cette nouvelle fonctionnalité vous permet de spécifier les utilisateurs en fonction de leur appartenance à un groupe dont les activités seront cachées par défaut. Seuls les administrateurs autorisés ont la possibilité de choisir de visualiser ces activités privées, chaque instance étant auditée dans le journal de gouvernance.
    • Microsoft a tiré parti de l'intégration native avec Azure AD pour vous donner la possibilité de naviguer directement d'une application du Cloud App Catalog à l'application Azure AD Gallery correspondante, et de la gérer dans la galerie.
    • Nouvelle option de feedback disponible dans certaines stratégies
    • A partir du 7 juin 2020, Microsoft va progressivement déployer les contrôles de session proxy améliorés pour utiliser un suffixe unifié qui n'inclut pas les régions nommées. Par exemple, les utilisateurs verront le suffixe <AppName>.mcas.ms au lieu de <AppName>.<Region>.cas.ms. Si vous mettez régulièrement des domaines sur liste noire dans vos appareils réseau ou vos passerelles, assurez-vous de mettre sur liste blanche tous les domaines énumérés sous Contrôles d'accès et de session.
    • Microsoft a apporté d'importantes améliorations aux performances du réseau du service proxy.
    • Nouvelle détection des activités à risque : Échec inhabituel de connexion. La nouvelle détection permet de vous alerter automatiquement en cas d'échec d'une tentative de connexion inhabituelle. Les échecs de connexion inhabituels peuvent être le signe d'une attaque potentielle par force brute Password Spray. Cette détection a un impact sur le score global de priorité d'investigation de l'utilisateur.
    • Microsoft a ajouté la possibilité de redimensionner la largeur des colonnes des tableaux, de sorte que vous pouvez élargir ou rétrécir les colonnes pour personnaliser et améliorer la façon dont vous visualisez les tableaux. Vous avez également la possibilité de restaurer la mise en page d'origine en sélectionnant le menu des paramètres du tableau et en choisissant Largeur par défaut.


    La version 175 introduit les changements suivants :

    • Preview d’une nouvelle intégration de découverte Shadow IT avec Corrata
    • Nouveaux analyseurs de journaux Cloud Discovery : Cloud Discovery comprend désormais un analyseur de journaux intégré pour prendre en charge les formats de journaux Corrata et Cisco ASA avec FirePOWER 6.4.
    • Tableau de bord amélioré : Dans le cadre de l'amélioration continue de la conception du portail, Microsoft déploie progressivement le tableau de bord amélioré de la sécurité des applications Cloud. Le tableau de bord a été modernisé sur la base des commentaires et offre une meilleure expérience utilisateur avec un contenu et des données mis à jour.
    • Gouvernance améliorée : Microsoft a étendu les actions de gouvernance actuelles pour les stratégies d'anomalie pour inclure la confirmation de l'utilisateur compromis vos permettant de protéger de manière proactive l’environnement contre les activités suspectes des utilisateurs.

     

    Plus d’informations sur : What's new with Microsoft Cloud App Security

  • [MEMCM] La Technical Preview 2005 de Microsoft Endpoint Manager Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 2005 (5.0.9023.1000) de Microsoft Endpoint Manager Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2003 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

    System Center Configuration Manager TP 2005 comprend les nouveautés suivantes :

    Administration

    • Microsoft a créé un nouveau type de limites VPN pour simplifier la gestion des clients distants. Auparavant, vous deviez créer des limites pour les clients VPN en fonction de l'adresse IP ou du sous-réseau. Cette configuration pouvait être difficile ou impossible en raison de la configuration du sous-réseau ou de la conception du VPN. Désormais, lorsqu'un client envoie une demande de localisation, il inclut des informations supplémentaires sur la configuration de son réseau. Sur la base de ces informations, le serveur détermine si le client se trouve sur un VPN. Tous les clients qui se connectent via un VPN appartiennent automatiquement au groupe de limites associé à ce nouveau type de limite.

    • Auparavant, si le périphérique était connecté à un réseau payant/taxé, les clients n’installaient pas les mises à niveau du client Les clients existants n'étaient mis à niveau que si vous autorisiez toutes les communications avec les clients. Pour les périphériques qui sont fréquemment en itinérance sur un réseau à payant/taxé, ils seraient non gérés ou sur une version client plus ancienne. À partir de cette version, l'installation et la mise niveau jour des clients fonctionnent toutes les deux lorsque vous définissez le paramètre client Communication client sur les connexions internet taxés/payantes comme étant autorisé. Pour définir le comportement d'une nouvelle installation client, il y a un nouveau paramètre ccmsetup /AllowMetered. Lorsque vous autorisez la communication du client sur un réseau à compteur pour ccmsetup, celui-ci télécharge le contenu, s'enregistre sur le site et télécharge la politique initiale. Toute autre communication client suit la configuration du paramètre client de cette politique. Si vous réinstallez le client sur un périphérique existant, il utilise la priorité suivante pour déterminer sa configuration :
      1. Stratégie client locale existante
      2. La dernière ligne de commande stockée dans le registre de Windows
      3. Paramètres sur la ligne de commande ccmsetup.
    • Microsoft intègre GitHub au Hub Communautaire de la console d’administration. Pour la version initiale, le contenu disponible dans le hub communautaire sera uniquement téléchargé par Microsoft. Pour l'instant, il n’est pas possible de télécharger votre propre contenu sur GitHub pour l'utiliser dans le hub communautaire.

    • Si le processus d'installation ou de mise à jour ne se déroule pas correctement, vous pouvez désormais signaler l'erreur directement à Microsoft. En cas d'échec, le report the error directly to Microsoft est activé. Lorsque vous utilisez ce bouton, un assistant interactif s'ouvre et vous permet de nous fournir plus d'informations. Dans les Technical Previews, ce bouton est toujours activé même lorsque l'installation se termine avec succès.

    • Suite à des retours sur UserVoice, si vous configurez les services Azure, la console affiche désormais des notifications dans les cas suivants :
      • Une ou plusieurs clés secrètes de l'application Azure AD vont bientôt expirer
      • Une ou plusieurs clés secrètes d'Azure AD app ont expiré

     

    Cloud and Tenant-Attach

    • Lorsque ConfigMgr synchronise un périphérique avec Microsoft Endpoint Manager par l'intermédiaire de l'attachement du tenant (Tenant-Attach), vous pouvez maintenant voir une chronologie des événements. Cette chronologie montre l'activité passée sur le périphérique pour aider à résoudre les problèmes.

    • Vous pouvez maintenant lancer l'installation d'une application en temps réel pour un périphérique attaché au tenant (Tenant Attach) depuis Microsoft Endpoint Manager.

    • CMPivot est disponible dans le centre d’administration Microsoft Endpoint Manager pour permettre de lancer des requêtes en temps réel depuis le Cloud vers un périphérique individuel géré par ConfigMgr et de renvoyer les résultats.

    • La fonction d'exécution de scripts du Configuration Manager dans le centre d’administration Microsoft Endpoint Manager pour permettre d'exécuter des scripts PowerShell à partir du Cloud contre un périphérique individuel géré par Configuration Manager. Cela donne à ce nouvel environnement tous les avantages traditionnels des scripts PowerShell qui ont déjà été définis et approuvés par l'administrateur ConfigMgr.

    • Cette version corrige un problème avec le Software Center et l'authentification Azure Active Directory (Azure AD). Pour un client détecté comme étant sur l'intranet mais communiquant via la Cloud Management Gateway (CMG), auparavant le Software Center utilisait l'authentification Windows. Lorsqu'il essayait d'obtenir la liste des applications disponibles pour l'utilisateur, il échouait. Il utilise maintenant l'identité Azure Active Directory (Azure AD) pour les appareils reliés à Azure AD. Ces périphériques peuvent être joints à un Cloud ou en mode Hybride.

     Gestion du contenu

    • Si vous retirez un contenu d'un point de distribution alors que le système du site est hors ligne, un enregistrement orphelin peut exister dans WMI. Avec le temps, ce comportement peut éventuellement entraîner un état d'alerte sur le point de distribution. Dans le passé, pour pallier ce problème, vous deviez supprimer manuellement les entrées orphelines de WMI. Une erreur commise au cours de ce processus pouvait entraîner des problèmes plus graves sur le serveur. L'outil de nettoyage de la bibliothèque de contenu en mode suppression pouvait supprimer les fichiers orphelins de la bibliothèque de contenu. Il peut désormais également supprimer les enregistrements de contenu orphelins du fournisseur WMI sur un point de distribution.

     

    Gestion de Microsoft 365 Apps

    • Office 365 ProPlus a été renommé Microsoft 365 Apps for enterprise le 21 avril 2020. Microsoft a donc apporté les modifications suivantes :
      • La console a été mise à jour pour utiliser le nouveau nom. Ce changement comprend également la mise à jour des noms des canaux pour les applications Microsoft 365.
      • Une bannière de notification a été ajoutée à la console pour vous informer si une ou plusieurs règles de déploiement automatique font référence à des noms de canaux obsolètes dans les critères de titre pour les mises à jour de Microsoft 365 Apps. Vous devez donc mettre à jour vos ADRs dans ce cas.

    Déploiement de système d’exploitation

    • Les médias de séquence de tâches supportent maintenant du contenu basé sur le Cloud. Ceci permet d’éviter d’impacter davantage la connexion VPN pour télécharger le contenu des déploiements de systèmes d'exploitation, les supports de démarrage et les déploiements PXE peuvent désormais obtenir du contenu à partir de sources basées sur le cloud (par exemple, une Cloud Management Gateway (CMG).
    • On retrouve de nouvelles cmdlets Windows PowerShell améliorés pour la Cloud Management Gateway (CMG) pour automatiser la création, la configuration et la gestion des exigences du service CMG et de l'Azure Active Directory (Azure AD) :
      • Import-CMAADServerApplication  pour créer la définition de l'application serveur Azure AD.
      • Import-CMAADClientApplication pour créer la définition de l'application client Azure AD.
      • Utilisez Get-CMAADApplication pour obtenir les objets applicatifs, puis passez à New-CMCloudManagementAzureService pour créer la connexion au service Azure.
      • New-CMCloudManagementGateway pour créer le service CMG dans Azure.
      • Ajoutez le point de connexion CMG GatewayManagementGateway pour créer le système de site CMG Connection point.
    • Suite à des retours UserVoice, vous pouvez maintenant spécifier le mode de chiffrement du disque dans les étapes de la séquence de tâches Enable BitLocker et Pre-provision BitLocker. Par défaut, les étapes continuent à utiliser la méthode de chiffrement par défaut de la version du système d'exploitation. Utilisez le nouveau paramètre pour sélectionner l'un des algorithmes de cryptage suivants : AES_128, AES_256, XTS_AES256 ou XTS_AES128. Si l'étape s'exécute sur une version de Windows qui ne prend pas en charge l'algorithme spécifié, elle revient à la valeur par défaut du système d'exploitation. Dans ce cas, le moteur de séquence de tâches envoie le message d'état 11911.

    • Lors d'une séquence de tâches visant à mettre à niveau un périphérique vers Windows 10, pendant l'une des phases finales de configuration de Windows, une fenêtre d'invite de commande s'ouvre. Cette fenêtre se trouve au-dessus de l'expérience Windows out-of-box (OOBE), et les utilisateurs peuvent interagir avec elle pour perturber le processus de mise à niveau. A partir de cette version, les scripts SetupCompleteTemplate.cmd et SetupRollbackTemplate.cmd du gestionnaire de configuration incluent un changement pour masquer la fenêtre d'invite de commande.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-2005

  • [Azure Sentinel] De nouveaux Webinars sur Azure Sentinel en juin 2020

    Microsoft va procéder à des Webinars sur Azure Sentinel. Pour rappel Azure Sentinel est une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel, une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.                         

     

    Plus d’informations sur https://aka.ms/SecurityWebinars.

  • [Intune] Les nouveautés de Mai 2020

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [Général] Vous pouvez personnaliser les actions disponibles en libre-service qui sont montrées aux utilisateurs dans l'application et le site web du portail d'entreprise. Pour éviter des actions involontaires, vous pouvez configurer ces paramètres en sélectionnant Tenant Administration > Customization. Les actions suivantes sont disponibles :
      • Cacher le bouton de suppression sur le périphérique Windows.
      • Cacher le bouton de réinitialisation sur les périphériques Windows.
      • Cacher le bouton de réinitialisation sur les périphériques iOS.
      • Cacher le bouton de suppression sur les périphériques iOS de l'entreprise.

    • [Général] Vous pouvez désormais attribuer des balises de portée aux restrictions d’enregistrement. Pour ce faire, allez dans Microsoft Endpoint Manager > Devices > Enrollment restrictions > Create restriction. Créez l'un ou l'autre type de restriction et la page des balises sera présente.

    • [Général] Microsoft a mis à jour les icônes du portail d'entreprise pour créer une apparence plus moderne qui est prise en charge sur les appareils à double écran et s'aligne sur le système Microsoft Fluent Design.
    • [Windows 10] L'icône de l'application portail d’entreprise sur Windows a été mise à jour.
    • [Android] Microsoft a amélioré l’expérience guidée dans le portail d'entreprise afin de permettre aux utilisateurs de trouver et d'installer plus facilement les applications. Après s'être enregistré en mode Work Profile, les utilisateurs recevront un message expliquant comment trouver les applications suggérées dans la version badgée de Google Play. La dernière étape de l’enregistrement de l'appareil avec le profil Android a été mise à jour pour afficher le nouveau message. Les utilisateurs verront également un nouveau lien "Get Apps" dans le tiroir du portail de l'entreprise à gauche. Pour faire place à ces expériences nouvelles et améliorées, l'onglet APPS a été supprimé.
    • [iOS/iPadOS/macOS] En ce qui concerne Automated Device Enrollment d'Apple (Anciennement DEP), l'intervalle de synchronisation des périphériques automatisés entre Intune et Apple Business Manager a été réduit de 24 heures à 12 heures.
    • [macOS] Le portail d'entreprise sur macOS met désormais en cache les comptes des utilisateurs, ce qui facilite la connexion. Les utilisateurs n'ont plus besoin de se connecter au portail d'entreprise chaque fois qu'ils lancent l'application. En outre, le portail d'entreprise affichera un sélecteur de compte si plusieurs comptes d'utilisateurs sont mis en cache, afin que les utilisateurs n'aient pas à saisir leur nom d'utilisateur.
    • [macOS] Vous pouvez maintenant rechercher dans la documentation d'Intune directement à partir du portail d'entreprise de macOS. Dans la barre de menu, sélectionnez Help > Search et entrez les mots clés de la recherche pour trouver rapidement les réponses aux questions.
    • [Windows 10] Windows Autopilot supporte maintenant les périphériques Hololens 2.

     

    Gestion du périphérique

    • [iOS] Vous pouvez maintenant utiliser la synchronisation à distance sur jusqu'à 100 périphériques iOS à la fois. Pour voir cette fonctionnalité, allez dans Microsoft Endpoint Manager > Devices > All devices > Bulk device actions.

     

    Configuration du périphérique

    • [Android] Intune supporte entièrement toutes les fonctionnalités fournies par Zebra OEMConfig. Les clients qui gèrent des périphériques Zebra Technologies avec Android Enterprise et OEMConfig peuvent déployer plusieurs profils OEMConfig sur un même périphérique. Les clients peuvent également consulter des rapports détaillés sur l'état de leurs profils OEMConfig Zebra. Ceci ne s’applique qu’à Zebra et pas aux autres fabricants.
    • [macOS] Avec l’arrivée de macOS 10.15, Apple a introduit les extensions système en remplacement des extensions Kernel (Noyau). Si vous aviez l’habitude d’utiliser les extensions Kernel pour configurer le système et les applications avec Microsoft Intune, vous devez basculer sur les extensions système. En effet, Apple a déprécié les extensions kernel à partir de la version 10.15.4. Ainsi, leurs utilisations déclenchent une notification à l'utilisateur que le logiciel comprend une API dépréciée et lui demande de contacter le développeur pour trouver des alternatives.
    • [macOS] Avec la sortie de macOS Catalina 10.15, Apple a ajouté de nouvelles améliorations en matière de sécurité et de confidentialité. Par défaut, les applications et les processus ne peuvent pas accéder à des données spécifiques sans le consentement de l'utilisateur. Si les utilisateurs ne donnent pas leur consentement, les applications et les processus peuvent ne pas fonctionner. Intune ajoute le support des paramètres qui permettent aux administrateurs d'autoriser ou de refuser le consentement à l'accès aux données au nom des utilisateurs finaux sur les périphériques MacOS 10.14 et plus. Ces paramètres garantiront que les applications et les processus continuent à fonctionner correctement et réduiront le nombre d'invites.

    • [macOS] Disponibilité Générale de la fonctionnalité d’exécution de script pour macOS. Microsoft a ajouté le support des scripts assignés à l'utilisateur et des périphériques macOS qui ont été enregistrés au programme Automated Device Enrollment d'Apple (anciennement appelé Device Enrollment Program).

     

    Gestion des applications

    • [Général] Les applications protégées suivantes sont disponibles dans les stratégies de protection applicatives :
      • Board Papers
      • Breezy for Intune
      • Hearsay Relate for Intune
      • ISEC7 Mobile Exchange Delegate for Intune
      • Lexmark for Intune
      • Meetio Enterprise
      • Microsoft Whiteboard
      • Now® Mobile - Intune
      • Qlik Sense Mobile
      • ServiceNow® Agent - Intune
      • ServiceNow® Onboarding - Intune
      • Smartcrypt for Intune
      • Tact for Intune
      • Zero - email for attorneys

    • [iOS] Les applications qui sont publiées en tant qu'applications disponibles dans le cadre du programme d'achat en volume (VPP) seront automatiquement mises à jour lorsque la mise à jour automatique des applications est activée pour le token VPP. Auparavant, les applications disponibles dans le cadre du VPP ne se mettaient pas automatiquement à jour. Les utilisateurs devaient se rendre sur le portail d’entreprise et réinstaller l'application si une version plus récente était disponible. Les applications requises gèrent toujours les mises à jour automatiques.
    • [Android] Les utilisateurs de périphériques Android qui reçoivent un avertissement, un blocage ou un effacement par une stratégies de protection applicative bénéficieront d'une nouvelle expérience utilisateur. Au lieu de l'expérience de dialogue actuelle, les utilisateurs verront un message pleine page décrivant la raison de l'avertissement, du blocage ou de la suppression et les mesures à prendre pour remédier au problème.
    • [Windows 10] Les applications Windows 32 bits (x86) qui sont déployées comme étant disponibles pour les appareils ARM64 sont désormais affichées dans le portail de l'entreprise.

     

     

    Supervision et Dépannage

    • [Général] Le panneau de vue d'ensemble des rapports propose désormais un onglet Summary et un onglet Reports. Dans le centre d'administration de Microsoft Endpoint Manager, sélectionnez Reports, puis l'onglet reports pour voir les types de rapports disponibles.

    Sécurité

    • [Général] Vous pouvez désormais utiliser DISA Purebred comme fournisseur d'identifiants dérivés sur les périphériques Android Enterprise Fully Managed. Le support comprend la récupération d'un derived credential pour DISA Purebred. Vous pouvez utiliser derived credential pour l'authentification d'une application, la signature et/ou le chiffrement Wi-Fi, VPN ou S/MIME avec les applications qui le supporte.

    • [Général] Vous pouvez maintenant configurer une action de non-conformité qui envoie une notification "push" à un utilisateur lorsque son périphérique ne répond pas aux conditions d'une stratégie de conformité. La nouvelle action est Send push notification to end user, et est prise en charge sur les périphériques Android et iOS. Lorsque l'utilisateur sélectionne la notification push sur son périphérique, le portail de l'entreprise ou l'application Intune s'ouvre pour afficher les détails des raisons de la non-conformité.

    • [Général] La documentation relative à Intune Endpoint Security est maintenant disponible. Vous pouvez la consulter dans le nœud Endpoint Security du centre d'administration de Microsoft Endpoint Manager.
    • [Général] Les stratégies Endpoint Security ne sont plus en preview et sont maintenant prêtes à être utilisées dans les environnements de production, à deux exceptions près :
      • Nouvelle Preview pour utiliser le profil des règles Microsoft Defender Firewall. Avec chaque instance de ce profil, vous pouvez configurer jusqu'à 150 règles de pare-feu pour compléter vos profils de pare-feu Microsoft Defender Firewall.
      • La politique de sécurité de protection des comptes reste en Preview.
    • [Général] Vous pouvez maintenant dupliquer des stratégies endpoint security. Les doublons conservent la configuration des paramètres de la stratégie d'origine, mais reçoivent un nouveau nom. La nouvelle instance de stratégie n'inclut alors aucune affectation à des groupes jusqu'à ce que vous modifiiez la nouvelle instance de stratégie pour les ajouter.
    • [Général] Vous pouvez maintenant dupliquer une ligne de base de sécurité. Les doublons conservent la configuration des paramètres de la baseline d'origine, mais reçoivent un nouveau nom. La nouvelle instance de baseline n'inclut aucune affectation à des groupes jusqu'à ce que vous modifiiez la nouvelle instance de baseline pour les ajouter.
    • [Windows 10] Utilisez la stratégie endpoint security pour for Endpoint detection and response (EDR) pour enregistrer et configurer les périphériques dans Microsoft Defender Advanced Threat Protection (ATP). Cette fonctionnalité prend en charge la stratégie pour des périphériques Windows gérés par Intune (MDM), et une autre stratégie distincte pour les périphériques Windows gérés par Configuration Manager. Pour utiliser la stratégie pour les périphériques ConfigMgr, vous devez configurer l’infrastructure en mode Tenant-Attach.

    • [Windows 10] Un nouveau rapport sur la stratégie antivirus pour endpoint security est disponible : Windows 10 unhealthy endpoints. Ce rapport est une nouvelle page que vous pouvez sélectionner lorsque vous consultez votre stratégie antivirus. Le rapport affiche l'état antivirus des périphériques Windows 10 gérés par MDM.

    • [Android] Vous pouvez désormais utiliser des certificats pour la signature S/MIME et le chiffrement avec Outlook sur Android. Grâce à ce support, vous pouvez fournir ces certificats en utilisant les profils de certificats importés SCEP, PKCS et PKCS. La fonctionnalité est supportée pour Android Enterprise Work Profile et Android Device Administrator. Elle est attendue prochainement pour Android Enterprise Fully Managed.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

  • [Windows 10] Microsoft répond à vos questions sur Windows AutoPilot le 3 juin 2020

    L’équipe Microsoft Endpoint Manager va tenir un événement de questions/réponses sur Windows Autopilot. Cet évènement aura lieu le mercredi 3 juin de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Windows AutoPilot avec une réponse directe.

    Vous pouvez poser vos questions du 2 juin au 3 juin.

    Pour s’inscrire.

    Source : https://techcommunity.microsoft.com/t5/windows-it-pro-blog/ask-microsoft-anything-about-windows-autopilot-june-3rd-2020/ba-p/1371803

  • [MECM 2002] Un correctif (KB4563473) est disponible pour corriger des problématiques liées à l’attachement au tenant

    Microsoft a publié un correctif ciblé aux infrastructures Microsoft Endpoint Configuration Manager 2002 s’étant attachée à leur tenant Microsoft Endpoint Manager Microsoft Intune. Le correctif KB4563473 est présent dans la console pour corriger les éléments suivants :

    • Des déploiements en double peuvent apparaître dans l'environnement On-Premises.
    • Les clients ne peuvent pas accéder à l’onboarding de Microsoft Defender Advanced Threat Protection.
    • La tuile Devices dans le centre d'administration peut prendre de temps à autre 30 secondes pour se charger.