• [MEM/Intune] Microsoft Endpoint Manager est maintenant proposé en Chine opéré par 21Vianet

    Microsoft vient d’annoncer que vous pouviez instancier un tenant Microsoft Endpoint Manager (Intune) directement dans la région Chine de Microsoft Azure. Cette instance est donc opérée par 21Vianet et permet de répondre aux exigences chinoises en matière de sécurisation, de fiabilité et de mise à l’échelle. Le service se focalise sur les scénarios de gestion des périphériques mobiles (MDM) et de gestion des applications mobiles (MAM).

    Vous pouvez maintenant ajouter Intune à votre offre Office 365 exploitée par 21Vianet. Intune est disponible dès à présent par le biais de l'accord Online Service Premium Agreement (OSPA) de 21Vianet et sera disponible le 1er janvier 2021 par le biais de CSP et du portail Web Direct. En raison de la nature unique des services en Chine - opérés par un partenaire à partir de centres de données en Chine - il y a certaines fonctionnalités qui n'ont pas encore été activées.

    Pour plus d’informations sur le service et les différences : Intune exploité par 21Vianet en Chine | Microsoft Docs

  • [MECM/MEM/Intune] Problème Connu : Le certificat d’enregistrement MDM est manquant sur les périphériques

    Microsoft a communiqué sur un problème touchant les périphériques Windows 10 lorsqu’ils sont gérés par Microsoft Endpoint Manager (Intune). Ce problème survient pour des périphériques Windows 10 1809 ou plus mis à jour avec le correctif cumulatif publié après le 16 septembre 2020 que vous mettez à niveau vers une nouvelle version de Windows 10.

    Les symptômes rencontrés sont les suivants :

    • Le certificat d'inscription MDM ne se trouve plus sur le périphérique Windows. Une fois que ce certificat n'est plus sur le périphérique, il ne peut pas établir la confiance nécessaire pour obtenir les stratégies Intune.
    • Le périphérique Windows 10 peut ne plus avoir de Wi-Fi d'entreprise, de VPN ou d'autres stratégies d'authentification basées sur un certificat.
    • Les utilisateurs finaux peuvent signaler qu'ils sont incapables d'accéder à des sites auxquels ils avaient généralement accès (et qu'il n'y a pas d'autre stratégie de conformité ou de problème affectant leur accès).
    • Vous pouvez remarquer un volume de trafic élevé dans les journaux d'Intune Management Extension.

    Pour les périphériques cogérés, Microsoft a développé un script permet d’identifier les machines qui n’ont pas le certificat d’enregistrement MDM et d’appliquer des étapes de remédiation : https://aka.ms/mdm_enrollment_cert_script 

    Microsoft a mis à jour les médias et bundles sur WSUS après le 9 novembre pour corriger ce problème. Vous ne devriez pas le rencontrer si vous utilisez les dernières versions des médias et des mises à niveau (les mises à niveau problématiques ont été remplacées). Pour Windows 10 20H2, les médias n’ont toujours pas été republié sur MVLS.

    Si des machines ont déjà été mis à jour avec les versions problématiques, vous pouvez faire un retour arrière. Le délai de retour arrière est de 10 ou 30 jours en fonction de votre configuration. Il est possible d’étendre ce délai (s’il n’est pas échu) avec la commande DISM /set-OSUninstallWindows.

    Plus d’informations sur :

  • [Azure Defender] Les nouveautés de Novembre 2020

    Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Azure Defender (anciennement Azure Security Center).

    • Disponibilité Générale de la détection d’attaque sans fichiers pour Linux.
    • On retrouve 29 recommandations en Preview dont notamment :
      • Chiffrement de la donnée en transit :
        • La connexion SSL doit être activée pour les serveurs de base de données PostgreSQL
        • La connexion SSL doit être activée pour les serveurs de bases de données MySQL
        • TLS doit être mis à jour avec la dernière version de votre API
        • TLS doit être mis à jour avec la dernière version de votre application fonction
        • TLS doit être mis à jour avec la dernière version de votre application web
        • FTPS doit être requis dans votre API
        • FTPS doit être requis dans votre App fonction
        • FTPS devrait être requis dans votre application web
      • Gestion des accès et des permissions
        • Les applications web doivent demander un certificat SSL pour toutes les demandes entrantes
        • L'identité gérée doit être utilisée dans votre API
        • L'identité gérée doit être utilisée dans votre App fonction
        • L'identité gérée doit être utilisée dans votre application web
      • Restriction des accès réseau non autorisés
        • Les points de terminaison privés doivent être activés pour les serveurs PostgreSQL
        • Les points de terminaison privés doivent être activés pour les serveurs MariaDB
        • Les points de terminaison privés doivent être activés pour les serveurs MySQL
      • Activation de l’audit et de la journalisation
        • Les journaux de diagnostic dans les services applicatifs doivent être activés
      • Implémentation des bonnes pratiques de sécurité
        • Azure Backup devrait être activé pour les machines virtuelles
        • La sauvegarde géo-redondante devrait être activée pour la base de données Azure pour MariaDB
        • La sauvegarde géo-redondante devrait être activée pour la base de données Azure pour MySQL
        • La sauvegarde géo-redondante devrait être activée pour la base de données Azure pour PostgreSQL
        • PHP doit être mis à jour à la dernière version de votre API
        • PHP doit être mis à jour à la dernière version pour votre application web
        • Java doit être mis à jour avec la dernière version de votre API
        • Java doit être mis à jour avec la dernière version de votre application fonction
        • Java doit être mis à jour avec la dernière version de votre application web
        • Python doit être mis à jour à la dernière version pour votre API
        • Python doit être mis à jour à la dernière version pour votre application fonction
        • Python doit être mis à jour à la dernière version pour votre application web
        • La durée de conservation des audits pour les serveurs SQL doit être fixée à 90 jours au moins
    • NSIT SP 800 171 R2 a été ajouté au tableau de bord de conformité des régulations
    • La liste des recommandations inclut maintenant des filtres
    • Amélioration et extension de l’expérience de provisionnement automatique des extensions proposant Log Analytics (déjà proposé), Azure Policy Add-On for Kubernetes (Nouveau), et l’agent Microsoft Defendency.
    • Preview de l’export continu du Secure Score afin de streamer les changements en temps réel vers un Azure Event Hubs ou un workspace Log Analytics. Ceci permet donc de traquer les changements sur le Secure Score à travers le temps avec des rapports dynamique, d’exporter les données vers un SIEM (tel qu’Azure Sentinel) ou d’intégrer les données dans vos processus de suivi actuel
    • La recommandation "System updates should be installed on your machines" inclut des sous recommandations pour chaque mise à jour mise à jour manquante afin de fournir une nouvelle expérience améliorée avec les informations adéquates.
    • La page Policy Management du portail Azure affiche maintenant l’état des assignation de stratégie par défaut.

    Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs

  • 7 nouvelles recommandations Microsoft Defender for Endpoint dans le Secure Score

    Microsoft vient d’ajouter 7 nouvelles recommandations de Microsoft Defender for Endpoint (anciennement MDATP) au Secure Score. Parmi les actions recommandées, on retrouve :

    1. Désactiver le compte administrateur intégré
    2. Désactiver le compte invité intégré
    3. Activer l'EDR en mode block
    4. Définissez la "Minimum password length" à " 14 or more characters".
    5. Réglez " Enforce password history" sur " 24 or more password(s)".
    6. Définissez "Maximum password age" à "60 or fewer days, but not 0".
    7. Définir "Minimum password age" à "1 or more day(s)".

    Le déploiement aura lieu sur décembre.

  • [MEM/Intune] Action requise pour Apple DEP/ABM ! Acceptez les nouveaux termes et conditions

    Depuis le 3 décembre 2020, Apple a mis en ligne de nouveaux termes et conditions pour son service Apple Business Manager (anciennement Apple Device Enrollment Program). Vous devez accepter les nouvelles conditions afin de continuer à pouvoir enregistrer et gérer les périphériques via ce service et afin que Microsoft Endpoint Manager (Intune) puisse communiquer avec. Si vous n'acceptez pas les nouveaux termes et conditions, le service Intune recevra l'erreur - "T_C_NOT_Signed" de la part d'Apple.

    Vous devez vous connecter sur : Apple Business Manager

    Plus d’informations sur : If Apple Business Manager or Apple School Manager asks you to approve new terms and conditions - Apple Support

  • [MCAS] Les nouveautés de Microsoft Cloud App Security en novembre 2020

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    La version 187 et 188 introduisent les changements suivants :

    • Microsoft a ajouté une intégration native avec Menlo Security, ce qui vous permet de bénéficier d'une visibilité du Shadow IT sur l'utilisation des applications et de contrôler l'accès aux applications.
    • Nouvel analyseur de journaux WatchGuard pour la découverte Cloud
    • Cloud App Security permet désormais aux utilisateurs ayant le rôle Global Administrator de Cloud Discovery de créer des jetons d'API et d'utiliser toutes les API liées à Cloud Discovery.
    • Microsoft a mis à jour le curseur de sensibilité pour les voyages impossibles afin de configurer différents niveaux de sensibilité pour différentes portées d'utilisateur, ce qui permet un meilleur contrôle de la fidélité des alertes pour les portées d'utilisateur. Par exemple, vous pouvez définir un niveau de sensibilité plus élevé pour les administrateurs que pour les autres utilisateurs de l’entreprise.
    • Le 7 juin 2020, Microsoft a commencé à déployer progressivement les contrôles de session proxy améliorés pour utiliser un suffixe unifié qui n'inclut pas les régions nommées. Par exemple, les utilisateurs verront le suffixe <AppName>.mcas.ms au lieu de <AppName>.<Region>.cas.ms. Si vous bloquez régulièrement des domaines dans vos périphériques réseau ou passerelles, assurez-vous que vous autorisez la liste de tous les domaines énumérés dans Access and session controls.

    En outre, Microsoft propose une nouvelle table CloudAppEvents en Public Preview dans Microsoft 365 Defender avec les activités supervisées par Microsoft Cloud App Security pour les services : Exchange Online, Microsoft Teams

    Plus d’informations sur : What's new with Microsoft Cloud App Security

  • [AIP] Public Preview v2.9.101.0 du scanner Unified Labeling d’Azure Information Protection

    Microsoft a publié la Public Preview (v2.9.101.0) du scanner Unified Labeling d’Azure Information Protection.  Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

    Pour les fonctionnalités proposées par le Scanner, on retrouve :

    • Le scanner Azure Information Protection prend désormais en charge la gestion via PowerShell des jobs d’analyse de contenu, pour les serveurs de scanners qui ne peuvent pas se connecter à Internet.
    • Vous pouvez désormais ajouter des dépôts NFS à vos jobs d'analyse de contenu, en plus des partages de fichiers SMB et des dépôts SharePoint.
    • Microsoft a ajouté la prise en charge de types d'informations sensibles supplémentaires dans Azure Information Protection, tels que le numéro d'entreprise australien, le numéro de société australien ou la carte d'identité autrichienne.

     

    On retrouve les correctifs et améliorations suivants :

    • Ajout de la prise en charge des traits d'union (-) dans les noms des bases de données des scanners
    • Mises à jour des rapports lorsque l'option " Label files based on content" est réglée sur "Off
    • Amélioration de la consommation de mémoire pour un grand nombre de correspondances de types d'informations
    • Prise en charge des chemins d'accès à SharePoint sur site qui se terminent par un slash (/)
    • Augmentation de la vitesse d’analyse de SharePoint
    • Amélioration pour éviter un délai d'attente lors de l'analyse d'un serveur SharePoint.

     

    Télécharger Azure Information Protection unified labeling client

  • [SCM] Les baselines pour Microsoft Edge v87 disponibles en version finale

    Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v87. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

    Cette version comprend de nouveaux paramètres de configuration machine et utilisateur par rapport à la version 86 :

    • Configure address bar editing for kiosk mode public browsing experience
    • Configure Speech Recognition
    • Configure the default paste format of URLs copied from Microsoft Edge and determine if additional formats will be available to users
    • Configure the location of the browser executable folder
    • Default printing page size
    • Delete files downloaded as part of kiosk session when Microsoft Edge closes
    • Enable Password reveal button
    • Enable web capture feature in Microsoft Edge
    • Hide the one-time redirection dialog and the banner on Microsoft Edge
    • Prevent install of the BHO to redirect incompatible sites from Internet Explorer to Microsoft Edge
    • Redirect incompatible sites from Internet Explorer to Microsoft Edge
    • Set the release channel search order preference
    • Shopping in Microsoft Edge Enabled.

     

    Plus d’informations sur l’article suivant :  Security baseline for Microsoft Edge version 87 - Microsoft Tech Community

    Télécharger Security Compliance Toolkit

  • [Windows 10] Fin de support de Windows 10 1903

    A partir de ce jour (8 décembre 2020), Windows 10 1903 n’est plus supporté par Microsoft pour les éditions Home, Pro, Enterprise, Education, IoT Enterprise. Le Patch Tuesday du 8 décembre 2020 sera donc les dernières mises à jour de sécurité produites par Microsoft pour cette version.

    Vous devez donc mettre à jour vers une version supérieure.

    Source : Fin de la maintenance pour Windows 10 version 1903 | Microsoft Docs

  • [MEM/Intune] Les nouveautés de novembre 2020

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [Android] Amélioration des messages d’explication du fonctionnement sur le mode Work Profile dans le portail d'entreprise
      • Après le déroulement de la configuration du work profile. Les utilisateurs voient un nouvel écran d'information expliquant où trouver les applications de travail, avec des liens vers la documentation d'aide.
      • Lorsqu'un utilisateur réactive accidentellement l'application du portail d'entreprise dans son profil personnel. Microsoft a créé un écran (Your device now has a profile just for work) avec des explications plus claires et de nouvelles illustrations pour guider les utilisateurs vers leurs applications de travail, avec des liens vers la documentation d'aide.
      • Sur la page d'aide. Dans la section Foire aux questions, il y a un nouveau lien vers la documentation d'aide sur la façon de configurer le profil de travail et de trouver des applications.
    • [Windows 10] Public Preview de Windows Aupilot pour HoloLens 2.

     

    Gestion du périphérique

    • [Android] Revue de la terminologie work profile en personally-owned devices with a work profile afin d’éviter la confusion. Le but est de différencier ce mode du mode COPE : corporate-owned work profile
    • [iOS] Fin de support d’iOS 11. L’enregistrement dans Intune et le portail d’entreprise requièrent maintenant iOS 12 ou ultérieur. Les périphériques iOS 11 déjà enregistrés, continuent de recevoir les stratégies.
    • [macOS] Fin de support de macOS 10.12. 

    Configuration du périphérique

    • [Android] De nouveaux paramétrages de restrictions sont disponibles dans le mode Dedicated Device d’Android Enterprise permettant de :
      • Restreindre le menu d'alimentation (Power), les avertissements d'erreur système et l'accès à l'application Paramètres.
      • Choisir si les utilisateurs peuvent voir les boutons d'accueil et de vue d'ensemble, ainsi que les notifications.

    • [iOS/iPadOS] Un nouveau paramètre Show Previews (Devices > Configuration profiles > Create profile > iOS/iPadOS comme plateforme > Device features pour profil > App Notifications) est disponible pour choisir le moment où les aperçus des notifications d'applications récentes sont affichés sur les périphériques.

    • [iOS] Microsoft Tunnel supporte maintenant les règles à la demande pour les périphériques iOS/iPad permettant de spécifier l’utilisation VPN quand des conditions sont remplies sur la base de FQDNs ou d’adresses IP spécifiques.

    • [Windows 10] De nouveaux paramétrages et fonctionnalités sont disponibles pour les profils Wi-FI sur Windows 10 ou plus (Devices > Device Configuration > Create profile > Windows 10 and later comme plateforme > Wi-Fi pour profil > Enterprise) :
      • Authentication mode: Authentifier l'utilisateur, l'appareil, ou utiliser l'authentification invitée.
      • Remember credentials at each logon: Forcer les utilisateurs à entrer leurs identifiants à chaque fois qu'ils se connectent au VPN. Ou bien, mettez en cache les informations d'identification pour que les utilisateurs ne les saisissent qu'une seule fois.
      • Un contrôle plus granulaire du comportement d'authentification, notamment :
        • Période d'authentification
        • Délai de réessai d'authentification
        • Période de démarrage
        • Nombre maximum de messages EAPOL-Start
        • Echecs d'authentification maximums
      • Use separate VLANs for device and user authentication : En cas d'authentification unique, le profil Wi-Fi peut utiliser un réseau local virtuel différent en fonction des informations d'identification de l'utilisateur. Votre serveur Wi-Fi doit prendre en charge cette fonctionnalité.

    Gestion des applications

    • [Windows 10] Les scripts PowerShell s’exécutent avant les applications et leur timeout a été réduit afin de faciliter les scénarios Autopilot :
      • La cinématique d’exécution de l’Intune Management Extension a remis le traitement des scripts PowerShell avant l'exécution des applications Win32.
      • Pour résoudre un problème de délai d'attente de la page d'état des inscriptions (ESP), les scripts PowerShell sont interrompus au bout de 30 minutes. Auparavant, ils s'arrêtaient au bout de 60 minutes.

     

     

    Sécurité du périphérique

    • [Windows 10] Ajout d’un nouveau paramétrage Block write access to removable storage dans le profil Device Control afin de réduire la surface d’attaque et de bloquer l’écriture sur des périphériques amovibles.

    • [Windows 10] Améliorations sur les paramétrages des règles de profil de réduction de surface d’attaques avec une nouvelle option Warn permettant sur les périphériques Windows 10 1809 ou plus de recevoir un message permettant à l’utilisateur d’outrepasser la règle avec une justification. Sur les périphériques qui fonctionnent avec des versions antérieures de Windows 10, la règle applique le comportement sans possibilité de le contourner.

    • [Windows 10] Support de la fusion des stratégies pour les identifiants de périphériques bloqués ou autorisés dans les règles de réduction de surface d’attaque. La fusion des stratégies s'applique à la configuration de chaque paramètre dans les différents profils qui s'appliquent à un périphérique. Elle n'inclut pas l'évaluation entre les différents paramètres, même lorsque deux paramètres sont étroitement liés.
    • [Windows 10] Les règles de réduction de la surface d'attaque prennent désormais en charge un nouveau comportement pour la fusion des paramètres de différentes stratégies, afin de créer un sur-ensemble de politiques pour chaque appareil. Seuls les paramètres qui ne sont pas en conflit sont fusionnés, tandis que ceux qui sont en conflit ne sont pas ajoutés au super-ensemble de règles. Auparavant, si deux politiques incluaient des conflits pour un même paramètre, les deux politiques étaient signalées comme étant en conflit, et aucun paramètre de l'un ou l'autre profil n'était déployé. Le comportement de la fusion des règles de réduction de la surface d'attaque est le suivant :
      • Les règles de réduction de la surface d'attaque des profils suivants sont évaluées pour chaque dispositif auquel les règles s'appliquent :
        • Devices > Configuration policy > Endpoint protection profile > Microsoft Defender Exploit Guard > Attack Surface Reduction.
        • Endpoint security > Attack surface reduction policy > Attack surface reduction rules.
        • Endpoint security > Security baselines > Microsoft Defender ATP Baseline > Attack Surface Reduction Rules.
      • Les paramètres qui n'ont pas de conflit sont ajoutés à un sur-ensemble de règles pour le périphérique.
      • Lorsque deux ou plusieurs stratégies ont des paramètres contradictoires, les paramètres contradictoires ne sont pas ajoutés à la stratégie combinée, tandis que les paramètres qui ne sont pas contradictoires sont ajoutés au sur-ensemble de stratégie qui s'applique à un périphérique.
      • Seules les configurations des paramètres contradictoires sont retenues.
    • [Windows 10] Amélioration du rapport Antivirus Status Operations avec de nouveaux détails et notamment les colonnes :
      • Product status – Le statut de Windows Defender sur l'appareil.
      • Tamper protection – La protection anti-sabotage est-elle activée ou désactivée.
      • Virtual machine – Le périphérique est une machine virtuelle ou un périphérique physique.
    • [Windows 10] Une nouvelle solution Mobile Threat Defense NVISION Mobile a été intégrée.

    Supervision et Dépannage

    • [Général] Un nouveau rapport opérationnel sur les problèmes d'affectation est disponible en Public Preview pour aider à résoudre les erreurs et les conflits pour les profils de configuration qui ont été ciblés sur les périphériques. Ce rapport affichera une liste des profils de configuration pour le tenant et le nombre de périphériques en état d'erreur ou de conflit. À l'aide de ces informations, vous pouvez accéder à un profil pour voir la liste des périphériques et des utilisateurs en échec liés au profil. En outre, vous pouvez afficher une liste de paramètres et de détails de réglage liés à la cause de la défaillance. Vous avez la possibilité de filtrer, de trier et de rechercher dans tous les enregistrements du rapport. Dans le centre d'administration de Microsoft Endpoint Manager, vous pouvez trouver ce rapport en sélectionnant Devices > Monitor > Assignment failures (preview).

    • [Général] Le nouveau rapport (en Preview) sur les stratégies non conformes permet de vous aider à résoudre les erreurs et les conflits relatifs aux stratégies de conformité visant les périphériques. Le rapport Noncompliant policies affiche une liste des politiques de conformité dont un ou plusieurs périphériques comportent des erreurs ou qui sont en état de non-conformité à la stratégie.

    • [Windows 10] Mise à jour des rapports pour les machines virtuelles Windows Virtual Desktop afin de marquer les paramétrages comme non applicables pour les scénarios suivants :
      • Paramètres de BitLocker
      • Chiffrement des appareils
      • Paramètres Defender Application Guard
      • Defender Tamper Protection
      • Profils Wi-Fi

     

    Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

  • [MECM 2010 Early Wave] Problème lors de la mise à niveau lors de l’utilisation d’un site passif

    Note : Ce problème a été résolu dans la version en disponibilité générale

    L’équipe Endpoint Manager a communiqué sur un problème à noter lors de la montée de version vers Microsoft Endpoint Configuration Manager 2010 et l’utilisation d’un serveur de site passif dans le cadre de la haute disponibilité.  Dans ce cas, la mise à niveau du site passif peut ne pas se terminer après la montée de version. Ce problème est dû à un changement dans Microsoft Monitoring Agent pour Microsoft Defender for Endpoint (ATP). Les fichiers MMA ne sont pas copiés à l’ensemble des emplacements requis.

    Pour contourner le problème :

    1. Allez dans le répertoire d’installation du serveur de site .\CMUStaging\D5054056-F41C-4E61-90A7-4F135B76F806\Redist et copiez MMASetup-amd64.exe et MMASetup-i386.exe vers .\cd.latest\redist.
    2. Si vous avez un Management Point sur un autre serveur, copiez les fichiers dans les répertoires suivants du système de site :
      • Copiez MMASetup-amd64.exe dans le dossier .\sms\client\x64
      • Copiez MMASetup-i386.exe dans le dossier .\sms\client\i386
    3. Relancez la mise à niveau de la version 2010.

    Plus d’informations sur : Release notes - Configuration Manager | Microsoft Docs

    Source : david james sur Twitter

  • Publication et mise à jour (Novembre 2020) des outils Sysinternals

    Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

    • Sysmon v12.03 : Publication de correctifs de sécurité et de bug, et résolution d'un problème de traitement PipeEvent et ajout de vérifications supplémentaires aux écritures du noyau.
    • SDelete v2.04 est un utilitaire en ligne de commande pour la suppression sécurisée de fichiers. Cette mise à jour fournit un nouveau commutateur, -f, pour éviter l'ambiguïté entre fichier/répertoire et lecteur.
    • WinObj v2.23 est un utilitaire permettant d'explorer l'espace de noms du gestionnaire d'objets de Windows NT, apporte des corrections de bugs et est maintenant disponible pour x64 et ARM64.
    • ARM64 ports: Nouvelles versions ARM64 pour ADRestore v1.2, LogonSessions v1.41 and et WinObj v2.23.
  • [MEM/Intune] Des exemples de scripts pour importer/exporter et lister les stratégies Endpoint Security

    Microsoft a publié des scripts permettant de donner des exemples pour importer, exporter ou lister les stratégies présentes dans le nœud Endpoint Security de Microsoft Endpoint Manager (Intune).

    On retrouve :

    • EndpointSecurityPolicy_Export.ps1
    • EndpointSecurityPolicy_Get.ps1
    • EndpointSecurityPolicy_Import_FromJSON.ps1
    • EndpointSecurityTemplates_Get.ps1

    Les scripts sont sur GitHub

  • [Remote Desktop] Nouvelle version 1.2.1524 du client Remote Desktop pour Windows

    Microsoft vient de mettre à disposition une nouvelle version (1.2.1524) du client Windows pour Remote Desktop.

    Cette version apporte les éléments suivants :

    • Ajout d'une vue en liste pour les ressources distantes afin que les noms d'applications plus longs soient lisibles.
    • Ajout d'une icône de notification qui apparaît lorsqu'une mise à jour pour le client est disponible.

    Télécharger pour :

  • [AIP] Fin de support prochain du client AIP classique et de l’administration des stratégies et des étiquettes dans le portail Azure

    Le 1er Avril 2021, Microsoft mettra fin au support du client Azure Information Protection classique et de l’administration des stratégies et des labels/étiquettes depuis le portail Azure.

    Microsoft rappelle qu’il est nécessaire de migrer vers la solution Unified Labeling et mettre à jour les clients.

    Plus d’informations sur : Announcing timelines for sunsetting label management in the Azure portal and AIP client (classic) - Microsoft Tech Community

  • [Azure] Comment sécuriser les contrôleurs de domaine dans Azure ?

    Zoheb Shaikh et Tim Beasley (MSFT) propose un article très intéressant sur la sécurisation des contrôleurs de domaine hébergés dans Microsoft Azure.

    Ils reviennent sur les fondamentaux :

    • Retrait des extensions
    • Vérification des accès aux ressources associées
    • Utilisation d’un abonnement dédié.
    • Etc

    Je vous invite à lire : Are your IaaS DC's Secured in Azure ? - Microsoft Tech Community

  • [MD365] Des vidéos de formations sur Microsoft Defender 365

    Microsoft a publié une série de vidéos sur Microsoft 365 Defender (anciennement Microsoft Threat Protection) pour vous permettre d’aborder les différents points sur la protection et la réponse face à des menaces.

    Les sujets suivants sont abordés :

    • Aperçu
    • Démarrage
    • Incident
    • Investigation avancée
    • Actions de remédiation automatiques

    Pour voir ces vidéos, vous pouvez vous diriger sur : Training videos on Microsoft Threat Protection

  • [M365] Des kits d’adoption et de sensibilisation pour les étiquettes de rétention et de confidentialité à destination des utilisateurs

    Microsoft a publié des kits d’adoption et de sensibilisation pour les étiquettes de rétention et de confidentialité à destination des utilisateurs. Ces kits peuvent être utilisés pour :

    • Encourager l'adoption et la sensibilisation au changement organisationnel de l'utilisation des étiquettes de rétention et de confidentialité (Sensitivity)
    • Comprendre la nécessité de la classification, de protection et de la gouvernance des documents.
    • Développer une conscience de la conformité réglementaire des documents.
    • Assurer une connaissance cohérente des étiquettes de confidentialité (Sensitivity) et de rétention.
    • Trouver des ressources pour soutenir la mise en œuvre des étiquettes de confidentialité (Sensitivity) et de rétention.

    Télécharger :

  • [MECM/SCCM 2006] Nouvelle révision du Rollup (KB4575789) pour Microsoft Endpoint Configuration Manager 2006

    Microsoft vient de publier une nouvelle révision (KB4575789) du précédent Rollup pour Microsoft Endpoint Configuration Manager 2006. Ce rollup vient remplacer le rollup (KB4578605) et ce dernier ne s’affichera plus dans la console.

    Ce Rollup contient les correctifs suivants :

    • Pendant le téléchargement de la politique du client, execmgr.log répète l'entrée de journal suivante plusieurs fois par minute : Device is not MDM enrolled yet. All workloads are managed by SCCM
    • Les ordinateurs clients qui effectuent un démarrage PXE pour installer un nouveau système d'exploitation sont incapables de trouver le fichier WIM de démarrage. Cela se produit lorsque le fichier WIM est stocké dans une bibliothèque de contenu répartie sur plusieurs lecteurs. Des erreurs ressemblant à ce qui suit sont enregistrées dans le fichier SMSPXE.log.
      CContentDefinition::GetFileProperties failed; 0x80070003

    CContentDefinition::TotalFileSizes failed; 0x80070003

    • Les ordinateurs sont retirés inopinément des groupes d'orchestration. Cela se produit si le site a l'option Use this boundary group for site assignment enabled, mais que les ordinateurs cibles ne sont pas dans ce groupe limite.
    • Les clients sont incapables de communiquer via un port personnalisé pour un Management Point lorsque d'autres changements de communication sont apportés au site. Par exemple, l'activation de la communication HTTPS pour un site entraîne l'arrêt du fonctionnement des ports HTTP personnalisés définis précédemment.
    • Les messages d'état des clients peuvent ne pas être correctement enregistrés si l'ordinateur client redémarre dans les 10 secondes suivant la génération du message d'état. Il en résulte des valeurs incohérentes ou inattendues des messages d'état, ce qui affecte la précision des rapports sur la séquence des tâches et le déploiement des logiciels.
    • Les clients tentent à tort d'utiliser des certificats PKI pour la communication, même si l'option Use PKI client certificate (client authentication capability) when available est désactivée dans l'onglet Communication Security des propriétés du site. Lorsque l'option Use PKI client certificate, des erreurs ressemblant à ce qui suit sont enregistrées dans le fichier CcmMessaging.log sur les clients faisant face à l'internet.

    Client is on internet

    Client is set to use webproxy if available.

    Client is not allowed to use or doesn't have PKI cert while talking to HTTPS server.

    [CCMHTTP] ERROR: URL=https://{management_point}/ccm_system_windowsauth/request, Port=0, Options=224, Code=0, Text=CCM_E_NO_CLIENT_PKI_CERT

    [CCMHTTP] ERROR INFO: StatusCode=<unknown> StatusText=

    L'option Use PKI client certificate doit être activée une fois que ce rollup de mise à jour est installé pour les clients qui dépendent des certificats PKI pour la communication chiffrée. Par exemple, les clients basés sur Internet ou communiquant avec une Cloud Management Gateway.

    • Les clients intranet ne se rabattront pas sur un autre Management Point (MP) si le MP préféré est également une Cloud Management Gateway.
    • Après la mise à jour de ConfigMgr 2006, l'installation du client à l'aide de la propriété PROVISIONTS échoue si le paramètre du périphérique " Allow access to cloud distribution point" est réglé sur "No". Le client est incapable de télécharger le contenu, et une erreur ressemblant à ce qui suit est enregistrée dans le fichier tsagent.log : '{Task Sequence Deployment ID}' finished with exit code 2147746050
    • L'installation d'un serveur de site passif échoue si des fichiers .JOB orphelins sont présents dans le dossier \inboxes\schedule.box. Un message ressemblant à ce qui suit est répété dans le fichier FailOverMgr.log : site server job [Passive Site Server Installation][<old server>] is not targeted for this server <active server>
    • L'ajout d'un site passif dans l'infrastructure ConfigMgr avec au moins un site secondaire et des packs de langues clients installés déclenchera la réinstallation de tous les sites secondaires.
    • Le client ConfigMgr installé sur un appareil Windows Embedded reste en mode de maintenance si la durée d'exécution maximale d'un déploiement est supérieure à la durée de la fenêtre de maintenance.
    • Des améliorations sont apportées au processus de téléchargement dans le cas d'un délai d'attente lorsque le paramètre " Download delta content when available" est activé.
    • L'étape de téléchargement du contenu d'une séquence de tâches peut ne pas réussir à télécharger les fichiers vers les clients. Cela se produit si la fonction BranchCache est activée et que l'environnement utilise le protocole Enhanced HTTP pour la communication avec les points de distribution. Les clients réessaieront l'étape de téléchargement, mais l'achèvement global est retardé. Les erreurs ressemblant à ce qui suit sont enregistrées dans le smsts.log sur le client.

    Downloaded file from http://{Distribution_Point}:443/CCMTOKENAUTH_SMS_DP_SMSPKG$/{Package_ID}/sccm?/{Filename.ext}

    Downloading file /CCMTOKENAUTH_SMS_DP_SMSPKG$/PR100090/sccm?/{Filename.ext} range 0-570085

    WinHttpReadData() failed.

    ReadDataAndWriteToFile() failed. 80072efd

    ReadDataAndWriteToFile() failed for C:\_SMSTaskSequence\Packages\PR100090\{Filename.ext}. 0%

    DownloadFileWithRanges() failed. 80072efd.

    DownloadFile() failed for http://{Distribution_Point}:443/CCMTOKENAUTH_SMS_DP_SMSPKG$/{Package_ID}/sccm?/{Filename.ext}, C:\_SMSTaskSequence\Packages\PR100090\{Filename.ext}. 80072efd.

    • Des améliorations sont apportées à la synchronisation et au traitement des affectations de stratégies et des données de stratégies entre le centre d'administration de Microsoft Endpoint et la console Configuration Manager. Cela permet d'éviter des problèmes tels que la création d'une politique dans le centre d'administration qui n'est pas visible dans la console sur site.
    • La console ConfigMgr peut générer une exception ressemblant à ce qui suit lors de la tentative d'exécution de l'assistant de configuration de cogestion.

    ConfigMgr Error Object: instance of SMS_ExtendedStatus { Description = "User DOMAIN\\Username is not able to get the lock at this time. Error: 0x40480732"; ErrorCode = 1078462258;

     

    • Les clients Configuration Manager déployés sur les ordinateurs Mac reçoivent des GUID en double. Cela se produit si le même nom d'utilisateur est fourni en paramètre à l'outil CMEnroll lors de l'installation du client.
    • Les clients peuvent recevoir la politique incorrecte, y compris les scripts ou les paramètres, lorsque plusieurs groupes d'orchestration sont présents. Considérez le scénario suivant :
      • Le client 1 est un membre du groupe d'orchestration 1.
      • Le client 2 est un membre du groupe d'orchestration 2.
      • Le client 1 peut recevoir la politique du groupe d'orchestration 2, ce qui l'amène à exécuter les pré- et post-scripts destinés au groupe 2 lors de l'installation d'une mise à jour destinée au groupe 1.

    Note : Tout groupe d'orchestration affecté doit être supprimé et recréé après l'installation de cette mise à jour pour corriger le problème de stratégie.

    • Le paramètre Allow access to cloud distribution points n'est pas configuré lorsque les clients sont déployés en utilisant le service Autopilot et le paramètre PROVISIONTS. Cela entraîne l'échec des étapes de la séquence de tâches d'installation de l'application et des mises à jour du logiciel.
    • Les connexions des clients à une Cloud Management Gateway peuvent échouer lorsque plusieurs clients effectuent des analyses complètes des mises à jour logicielles dans un court laps de temps. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier SMS_Cloud_ProxyConnector.log.

    ERROR: Invalid operation when send the proxy message to internal server.Exception: System.InvalidOperationException: There were not enough free threads in the ThreadPool to complete the operation.~~

     

    • Après l'installation des mises à jour de Windows publiées le 13 octobre 2020, ConfigMgr version 1910, ne peut pas télécharger les mises à jour d'Office 365. L'ID d'article spécifique des mises à jour Windows varie selon la version ; par exemple, KB 4579311 est l'ID d'article pour Windows 10, version 2004, et Windows Server version 2004. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier PatchDownloader.log sur l'ordinateur qui télécharge le contenu.

    Download http://officecdn.microsoft.com/pr/{update_GUID}/office/data/16.0.13231.20368/i640.cab.cat to %TEMP%\CABC1A4.tmp returns 0

    Authentication of file %TEMP%\CABC1A4.tmp failed, error 0x800b0004

    ERROR: DownloadContentFiles() failed with hr=0x80073633

    • Les mises à jour des fonctionnalités de Windows 10 peuvent ne pas s'installer sur les ordinateurs clients utilisant du matériel physique rapide. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier UpdatesHandler.log.

    Contents already available for the update (update_guid).

    Bundle update (bundle_guid) internal state transition: RUNNING to WAIT_CONTENTS

    Bundle update (bundle_guid) internal state transition: WAIT_CONTENTS to EXECUTE_READY

    StateCore - bundle update (bundle_guid) state changed from (WAIT_CONTENTS) to (EXECUTE_READY) as child update state changed

    Update (bundle_guid) state (6) in-consistent for job after initiating execute.

    CDeploymentJob - ExecuteUpdates failed. Error = 0x87d00654

    Failing the job ({job_guid}) as updates agent internal error.

    • Les clients peuvent échouer aléatoirement à installer une mise à jour, ou une série de mises à jour, en raison d'une condition de temps lorsqu'ils sont déployés dans un groupe de mise à jour de logiciels. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier UpdatesHandler.log.
      Failed to initiate install of WSUS updates, error = 0x87d0024a

    Failed to start WSUSUpdate, error = 0x87d0024a

    CDeploymentJob -- Failed to start procesing of the update (update_guid). Error = 0x87d0024a

    • Les messages ressemblant à ce qui suit sont enregistrés dans le WUAHandler.log en même temps que les erreurs du UpdateHandler.

    Async installation of updates started.

    CCM_E_JOB_ALREADY_CONNECTED, HRESULT=87d0024a

    Cannot start another installation while one is already in progress.

    • KB 4576791Update for Microsoft Endpoint Configuration Manager version 2006, early update ring
    • KB 4580678Tenant attach rollup for Configuration Manager current branch, version 2006
    • KB 4584759Clients report Desktop Analytics configuration errors in Configuration Manager, version 2006
    • KB 4575786La console se termine inopinément sur ConfigMgr 2006
    • KB 4575787L’enregistrement à la cogestion prend plus de temps que prévu pour les clients Configuration Manager
    • KB 4575788L'installation du client ne permet pas de télécharger le contenu d'un Cloud Distribution Point dans Configuration Manager 2006
    • KB 4575790L'installation du client ne permet pas de télécharger le contenu d'un Cloud Distribution Point dans Configuration Manager 2006

     

    Il existe un problème connu avec ce rollup : L'inscription automatique des clients au cours du processus d’inscription en cogestion peut être retardée après la mise à niveau des clients. Les étapes suivantes sont recommandées avant l'installation de ce rollup de mise à jour.

    1. Désactivez l'inscription automatique en réglant la valeur de Automatic enrollment into Intune sur None avant de mettre à niveau les clients vers la version 5.00.9012.1052.
    2. Désactivez la mise à niveau automatique des clients dans l'onglet Client Upgrade les paramètres de la hiérarchie. Le processus de mise à niveau du client doit être retardé jusqu'à ce que le nouveau client, version 5.00.9012.1054, de la KB 4575787 soit installé dans l'environnement.

    Plus d’informations sur : Revised update rollup for Microsoft Endpoint Configuration Manager current branch, version 2006

  • [MEM/Intune] Action requise ! Suite à la mise à jour des certificats racines de Microsoft

    J’en parlais pour Azure AD, Microsoft met globalement à jour les certificats racines utilisés par les services se basant sur Microsoft Azure. Pour Microsoft Endpoint Manager (Intune), ce changement requiert différentes actions en fonction des scénarios :

    • Si vous utilisez le SDK Intune pour iOS iOS, l’App Wrapper Intune pour iOS ou les bindings Xamarin, Microsoft a publié le message MC222833 dans le centre de message Office vous demandant de prendre des actions et décrivant les versions nécessaires.
    • Si vous utilisez des applications Microsoft avec les stratégies de protection applicatives (APP ou MAM), vous devez vous assurer que vous utilisez la dernière version de l'application avec le SDK pour iOS version 12.9.0+ ou le SDK pour Android version 6.7.2+. De nombreuses applications M365 sur iOS, dont Outlook, Teams, OneDrive, Office et Word/Excel/PowerPoint, ont déjà adopté le SDK mis à jour. Sur Android, Outlook et OneDrive ont adopté le SDK mis à jour et les applications APP continuent leurs mises à jour.
    • Si vous utilisez ConfigMgr et la cogestion (Co-Management), vous devez lire cet article pour connaître les conditions qui doivent être débloquées pour activer les mises à jour du certificat racine, comme les étapes à suivre pour s'assurer que les appareils cogérés reliés à un domaine Windows continuent de communiquer avec les services Microsoft Endpoint Manager.
    • Pour tout connecteur Intune On-Premises utilisé, tel que les connecteurs Exchange, NDES, ODJ ou PFX, assurez-vous que vos serveurs reçoivent les mises à jour du certificat racine. Pour les environnements qui sont déconnectés, suivez les instructions pour vous assurer que les certificats racine sont installés sur les serveurs On-Premises.

    Notez que vous devrez peut-être aussi vérifier les paramètres de vos stratégies de groupe, car il est possible qu’elles désactivent les mises à jour automatiques du certificat racine. Mettez à jour votre stratégie ou mettez à jour manuellement les certificats sur les périphériques, y compris pour les périphériques Windows gérés par MDM.

  • Microsoft leader du Magic Quadrant 2020 pour les Cloud Access Security Brokers (CASB)

    Gartner vient de sortir le Magic Quadrant 2020 pour les solutions Cloud Access Security Brokers (CASB). Microsoft figure parmi : McAfee, Netskope et Bitglass. Pour rappel, Microsoft Cloud App Security est issu du rachat d’Adallom et a été intégré à la suite d’Enterprise Mobility + Security (EMS) E5.

    Les forces suivantes sont mis en avant :

    • Microsoft a consolidé des mécanismes de classification disparates en un seul, partagé entre MCAS, Office 365, Azure Information Protection (AIP), Rights Management Services (RMS) On-Premises et Windows Information Protection (WIP) sur les terminaux. Les actions DLP sont complètes et peuvent même envoyer des notifications de violations en temps réel (avec des demandes de dérogation pour justification commerciale) par l'intermédiaire de Teams. La liste des types de données sensibles les plus courants est fréquemment mise à jour.
    • Power Automate (anciennement Flow), un élément de coût supplémentaire, permet aux administrateurs de créer des playbooks pour automatiser les flux de réponse aux incidents dans toutes les applications SaaS régies. L'intégration de MCAS avec Flow s'est distinguée des autres intégrations de fournisseurs de CASB avec des outils tiers d'orchestration de la sécurité, d'analyse et de rapport (SOAR).
    • L'interface UEBA affiche une vue consolidée utile des activités d'un seul compte sur plusieurs services Cloud. L'étiquetage MITRE ATT&CK est affiché dans certaines vues d'analyse d'événements pour faciliter l'enquête.

    Parmi les faiblesses, on retrouve :

    • Une stratégie de sécurité Cloud de Microsoft nécessitera plusieurs produits Microsoft, et pas seulement son CASB. Par exemple Azure Active Directory pour l’accès conditionnel, Azure Information Protection pour la protection de l’information, Azure Defender, Endpoint Manager (anciennement Intune) pour la gestion des périphériques et Defender for Endpoint pour les plateformes de protection des points d'accès (EPP). Les produits de sécurité Cloudde Microsoft fonctionnent mieux lorsque les clients déploient l'ensemble de la suite ; les déploiements autonomes ou à la carte offrent des fonctionnalités réduites.
    • L'absence de prise en charge des webhooks et le manque de capacités RBI et SWG réduisent le nombre et les types de sources d'information pour la visibilité du trafic et des données.
    • Les licences de Microsoft sont trop complexes. De multiples offres groupées aux noms déroutants incluent MCAS ou Office 365 Cloud App Security, une version légère du CASB complet qui ne fonctionne qu'avec Office 365. Les clients découvrent parfois qu'ils ont accès à plus de produits de sécurité Microsoft que prévu lorsqu'ils examinent les détails des accords de licence d'entreprise.

     

    Lire le rapport : Gartner Reprint

    Plus d’informations sur : Gartner names Microsoft a Leader in the 2020 Magic Quadrant for Cloud Access Security Brokers - Microsoft Security

  • [Office 365 ATP/Microsoft Defender for Office 365] Les nouveautés de Novembre 2020

    Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office 365 (anciennement Office 365 Advanced Threat Protection (ATP)).

    • Mise à jour des limites d'exportation dans Review > Action Center > Remediation from Mail Submission and Action Log (Defender for Office 365 Plan 2).

    Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

  • [Sentinel] Azure Sentinel classé comme Leaders par Forrester

    Forrester vient de placer Microsoft et la solution Azure Sentinel parmi les leaders les plateformes d’analyse de sécurité. Ceci est une belle victoire pour Microsoft pour qui sa solution SIEM en mode Cloud, Azure Sentinel n’a été lancé il n’y a qu’un an. Microsoft est donc au côté d’IBM Security, Exabeam, Securonix, Splunk.

    Voici l’analyse de Forrester :

    Microsoft se lance dans le marché de l'analyse de la sécurité. Microsoft Azure Sentinel, a été annoncée lors de la conférence sur la sécurité de la RSA de 2019, puis lancée en septembre 2019 en grande pompe. L'entrée du vendeur dans l'espace de l'analyse de sécurité a captivé les acheteurs de sécurité. La décision audacieuse de Microsoft de permettre l'ingestion des journaux d'activité de Microsoft Azure et de Microsoft Office 365 dans Sentinel sans frais rend la solution attrayante pour les entreprises qui investissent dans Azure et Microsoft 365. Le prix des autres sources de données est basé sur la consommation, déterminée par la quantité de données ingérées dans la plate-forme. En un an seulement, Microsoft a acquis une grande notoriété sur le marché. Si Azure Sentinel est innovant et tire pleinement parti de l'infrastructure Azure, il s'agit encore d'une offre très récente. Cette nouveauté se manifeste dans des domaines comme la possibilité d'introduire des journaux de tiers. Les références des clients notent la facilité d'intégration avec d'autres produits Microsoft comme Azure, Microsoft 365 et Microsoft Defender for Endpoint comme un grand avantage. Les clients de référence citent l'automatisation comme un autre point fort. La poussée de Microsoft vers la sécurité pose un problème aux professionnels de la sécurité qui ne veulent pas qu'un seul fournisseur assure la sécurité à plusieurs niveaux, y compris le cloud, les terminaux et le courrier électronique. En revanche, ceux qui recherchent une solution à fournisseur unique apprécieront l'intégration de plusieurs technologies. Les entreprises de toutes tailles qui ont investi massivement dans Microsoft Azure et Microsoft 365 devraient envisager Microsoft.

     

    Lire le rapport : The Forrester WaveTm: Security Analytics Platforms, Q4 2020

    Source : Azure Sentinel achieves a Leader placement in Forrester Wave, with top ranking in Strategy - Microsoft Security

  • Suivez les prochains Webinars (Hiver 2020-21) sur la sécurité (Azure Defender, Azure Sentinel)

  • [MECM 2010] Microsoft Endpoint Configuration Manager 2010 est disponible en Early Wave

    Microsoft a mis à disposition en Disponibilité Générale, la version finale (5.00.9040.1000) de Microsoft EndPoint Configuration Manager 2010. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1806 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 1806.

    Microsoft Endpoint Configuration Manager 2010 comprend les nouveautés suivantes : 

    Administration

    • Le réveil des machines à la date butoir du déploiement prend maintenant en compte la fonctionnalité Wake-up Client afin qu’un client d’un même sous-réseau envoie l’ordre de réveille
    • Un paramétrage client When a deployment requires a restart, allow low-rights users to restart a device running Windows Server permet à des utilisateurs à faible droits sur Windows Server de redémarrer ces machines Windows Server pour par exemple des mises à jour logicielles.

    • On retrouve plusieurs améliorations autour des collections :
      • Vous pouvez maintenant prévisualiser le résultat d’une requête construite dans l’éditeur de requêtes.

      • Intégration de l’outil Collection Evaluation Viewer directement dans le produit afin de fournir voir les temps d’évaluation, les dates de dernières évaluations, etc.

      • Un diagramme permet de voir les relations de dépendances entre collections de façon graphique. Cela montre les collections limitantes, les inclusions et les exclusions. Ceci permet de vous aider à comprendre l’impact de changements sur des collections.

    • ConfigMgr est compliqué à dépanner. Il est particulièrement complexe de comprendre la latence du système et le retard entre les composants. Les fonctions de service Cloud augmentent cette complexité. Vous pouvez désormais utiliser ConfigMgr pour surveiller l’état des scénarios de bout en bout. Il simule les activités pour exposer les mesures de performance et les points de défaillance. Ces activités synthétiques sont similaires aux méthodes que Microsoft utilise pour surveiller certains composants de ses services dans le Cloud. Cette version comprend les deux scénarios suivants :
      • SQL Server Service Broker : Le Service Broker est une configuration requise pour la base de données du site. De nombreux sous-systèmes de base de ConfigMgr utilisent le Service Broker.
      • Client action health : Surveiller la santé du Fast Channel utilisé pour les actions des clients. Si votre environnement est attaché au tenant avec l’upload des périphériques, cette fonction vous aide à détecter les problèmes potentiels liés aux actions des clients à partir du centre d'administration de Microsoft Endpoint Manager. Vous pouvez également utiliser cette fonction pour les actions des clients sur site. Par exemple, CMPivot, l'exécution de scripts et le réveil de périphérique.

    • Si le processus d'installation ou de mise à jour ne se déroule pas correctement, vous pouvez désormais signaler l'erreur directement à Microsoft. En cas d'échec, le bouton Signaler l'erreur de mise à jour à Microsoft est activé. Lorsque vous utilisez ce bouton, un assistant interactif s'ouvre et vous permet de fournir plus d'informations.
    • Microsoft introduit une tâche d’administration appelée Delete Aged Collected Diagnostic Files permettant d’effacer les fichiers de diagnostic. Les fichiers collectés par la partie Software Inventory ne sont pas supprimés par cette tâche. Les fichiers de diagnostic sont par défaut supprimés après 14 jours.

    • L’Administration Service ne requiert plus l’installation de IIS sur le SMS Provider comme auparavant. Le rôle nécessite toujours une connexion HTTPS sécurisée néanmoins à partir de cette version car lorsque vous activez Enhanced HTTP, il crée un certificat auto-signé pour le SMS Provider et le lie automatiquement sans avoir besoin d'IIS.

     

     

    Gestion attachée au Cloud (Cloud-attached Management)

    • Les déploiements de Cloud Management Gateway (CMG) peuvent désormais utiliser une virtual machine scale set dans Azure pour prendre en charge les abonnements des Cloud Service Provider (CSP). Cette fonctionnalité est actuellement en préversion. Pour l'instant, elle n'est destinée qu'aux clients CSP qui n'ont pas déjà une CMG dans un autre abonnement.

    • Vous pouvez désormais désactiver l'authentification Azure Active Directory (Azure AD) pour les tenants qui ne sont pas associés aux utilisateurs et aux périphériques. Lorsque vous enregistrez ConfigMgr à Azure AD, il permet au site et aux clients d'utiliser une authentification moderne. Actuellement, l’authentification du périphérique Azure AD est activée pour tous les tenants embarqués, qu'ils disposent ou non de périphériques. Ceci est utile par exemple si vous avez un tenant séparé avec un abonnement que vous utilisez pour exécuter la Cloud Management Gateway et qui ne comprend pas d'utilisateurs ou de périphériques. Dans ce cas, il y a un intérêt de désactiver l'authentification Azure AD.

    • Lors de l’enregistrement de ConfigMgr à Azure AD et la création des applications nécessaires à l’authentification, il est maintenant possible de spécifier une expiration à Never pour la clé secrète.

    • Si vous utilisez Desktop Analytics ou tenant-attach, le Service Connection Point vérifie maintenant les URLs importantes. Ces vérifications permettent de s'assurer que les services connectés au Cloud sont disponibles. Il vous aide également à résoudre les problèmes en déterminant rapidement si la connectivité du réseau pose un problème.
    • Le portail de dépannage du centre d'administration de Microsoft Endpoint Manager permet de rechercher un utilisateur et de visualiser les périphériques qui lui sont associés. À partir de cette version, les périphériques rattachés à un tenant qui se voient attribuer automatiquement une affinité utilisateur/périphérique en fonction de l'utilisation seront désormais renvoyés lors de la recherche d'un utilisateur. 

    • Les administrateurs peuvent désormais effectuer les actions suivantes pour les applications dans le centre d'administration de Microsoft Endpoint Manager :
      • Désinstaller une application
      • Réparation de l'installation d'une application
      • Réévaluer le statut d'installation de l'application
      • Réinstaller une application a remplacé Réessayer l'installation

    Desktop Analytics

    • Support des nouveaux niveaux de diagnostic Windows 10. Microsoft accroît la transparence en classant les données de diagnostic Windows 10 tel que :
      • Les données de diagnostic Basic sont recatégorisées Required
      • Full est recatégorisé comme Optional

    Si vous avez déjà configuré des périphériques en Enhanced ou Enhanced (Limited), dans une prochaine version de Windows 10, ils utiliseront le niveau requis.

    • Desktop Analytics supporte maintenant Windows 10 Enterprise LTSC 2019 pour permettre aux entreprises d’évaluer la transition vers la version Semi-Annual.

     

    Gestion du contenu

    • Le tableau de bord Client data sources offre désormais une sélection élargie de filtres permettant de visualiser les informations sur les sources de contenu des clients. Ces nouveaux filtres comprennent : Single boundary group, All boundary groups, Internet clients, Clients not associated with a boundary group. Le tableau de bord comprend également une nouvelle tuile pour les téléchargements de contenu utilisant une source de repli (fallback). Ces informations vous aident à comprendre la fréquence à laquelle les clients téléchargent du contenu à partir d'une autre source.

    • Si vous retirez un contenu d'un point de distribution alors que le système du site est hors ligne, un enregistrement orphelin peut exister dans WMI. Avec le temps, ce comportement peut éventuellement entraîner un état d'alerte sur le point de distribution. Dans le passé, pour pallier ce problème, vous deviez supprimer manuellement les entrées orphelines de WMI. L'outil content library cleanup en mode suppression peut désormais supprimer ces enregistrements de contenu orphelins de WMI.

     

    Gestion des Applications

    • Un périphérique basé sur Internet et joint à un domaine qui n'est pas joint ou enregistré à Azure Active Directory (Azure AD) et qui communique via une Cloud Management Gateway (CMG) peut voir les déploiements d'applications en libre-service. L'utilisateur du domaine Active Directory sur le périphérique a besoin d'une identité Azure AD correspondante. Lorsque l'utilisateur démarre le Software Center, Windows lui demande de saisir ses identifiants Azure AD. Il peut alors voir toutes les applications disponibles.  

     

    Mises à jour logicielles

    • À partir de la mise à jour cumulative de septembre 2020, les serveurs WSUS en mode HTTP seront sécurisés par défaut. Par défaut, un client qui recherche des mises à jour par rapport à un serveur WSUS HTTP ne peut pas utiliser un proxy utilisateur. Si vous avez toujours besoin d'un proxy utilisateur malgré les compromis en matière de sécurité, un nouveau paramètre client de mise à jour logicielle est disponible pour permettre ces connexions. Pour plus d'informations sur les changements : Changes to improve security for Windows devices scanning WSUS - Microsoft Tech Community

    • Pour vous aider à gérer les risques de sécurité, vous serez averti dans la console des périphériques dont le système d'exploitation est dépassé par la date de fin support. Ces périphériques peuvent ne plus recevoir de mises à jour de sécurité. En outre, une nouvelle règle de Management Insights a été ajoutée pour détecter Windows 7, Windows Server 2008 et Windows Server 2008 R2 sans mises à jour de sécurité étendues (ESU).

    • Il y a un nouveau paramètre client pour les mises à jour de logiciels. Si le contenu delta n'est pas disponible à partir des points de distribution du groupe de limites actuel, vous pouvez autoriser un repli immédiat vers un voisin ou vers les points de distribution du groupe limite par défaut du site. Ce paramètre est utile lorsque vous utilisez le contenu delta pour les mises à jour logicielles, car le délai d'attente par tâche de téléchargement est de cinq minutes.

    Déploiement de systèmes d’exploitation

    • Il est désormais possible de déployer un système d’exploitation via la Cloud Management Gateway (donc potentiellement sur Internet) en utilisant un média de démarrage. Vous pouvez donc envoyer une clé USB à vos employés pour qu’ils réimagent leur machine depuis chez eux par exemple.
    • Microsoft avait ajouté un type de déploiement pour associer une séquence de tâches à une application. Avec cette version, il est possible de déployer cette application sur une collection utilisateur. Dans ce cas le déploiement ciblé sur l’utilisateur s’exécute dans le contexte System.
    • Sur la gestion de la taille de la séquence de tâches :
      • ConfigMgr restreint maintenant les actions pour une séquence de tâches d'une taille supérieure à 2 Mo. L'éditeur de séquence de tâches affichera une erreur si vous essayez de sauvegarder les modifications d'une grande séquence de tâches.
      • Lorsque vous consultez la liste des séquences de tâches dans la console, vous pouvez ajouter la colonne Size (KB) afin d’identifier identifier les grandes séquences de tâches qui peuvent poser des problèmes.
    • Depuis Windows 10 2004, l'outil de diagnostic SetupDiag est inclus dans le setup de Windows. En cas de problème avec la mise à jour, SetupDiag s'exécute automatiquement pour déterminer la cause de la panne. ConfigMgr rassemble et résume désormais les résultats de SetupDiag à partir des déploiements de mise à jour des fonctionnalités avec Windows 10 Servicing.
    • Depuis ConfigMgr 1910, pour améliorer la vitesse globale de la séquence des tâches, vous pouvez activer le plan d'alimentation High Performance de Windows. À partir de cette version, vous pouvez désormais utiliser cette option sur les périphériques dotés d'un mode de veille moderne et sur d'autres appareils qui n'ont pas ce plan d'alimentation par défaut.

     

    Protection

    • Vous pouvez désormais gérer les stratégies BitLocker et ingérer les clés de récupération via une Cloud Management Gateway (CMG). Ce changement permet également de gérer BitLocker via une gestion des clients basée sur Internet (IBCM). Ceci ne requiert pas de changement dans le processus de configuration de la gestion de BitLocker.
    • Vous pouvez appliquer des stratégies Microsoft Defender Application Control sur des périphériques exécutant Windows Server 2019.

      

    Console Configuration Manager

    • La console ConfigMgr dispose d'un nouvel assistant pour l'envoi de commentaires. L'assistant remanié améliore le flux de travail en donnant de meilleures indications sur la manière de soumettre les bonnes de retour d’information. Il y a également une nouvelle requête de message d’état, Feedback sent to Microsoft afin de trouver facilement les messages d’état de retour.

    (screen)

    • La présentation a été améliorée pour les notifications dans la console. Les notifications sont plus lisibles et le lien d'action est plus facile à trouver. En outre, l'âge de la notification est affiché pour vous aider à trouver les dernières informations. Si vous rejetez une notification ou si vous faites Snooze, cette action est désormais persistante pour votre utilisateur sur toutes les consoles.

    • Vous pouvez désormais copier les données de découverte des périphériques et des utilisateurs dans la console. Copiez les détails dans le presse-papiers, ou exportez-les tous dans un fichier. Ces nouvelles actions vous permettent d'obtenir plus facilement et rapidement ces données à partir de la console. Par exemple, vous pouvez copier l'adresse MAC d'un périphérique avant de le réimager.
    • Diverses zones de la console utilisent désormais la police à largeur fixe Consolas. Cette police de caractères offre un espacement cohérent et facilite la lecture.

    • Vous disposez désormais d'un moyen plus simple de visualiser les messages d’état des objets. Sélectionnez un objet dans la console, puis sélectionnez Show Status Messages dans le menu ruban.

    • Désormais, lorsque vous importez un objet dans la console, il importe vers le dossier en cours. Auparavant, ConfigMgr mettait toujours les objets importés dans le nœud racine. Ce nouveau comportement s'applique aux applications, aux packages, aux drivers packages, et aux séquences de tâches.
    • Pour vous aider à créer des scripts et des requêtes dans la console, vous verrez désormais la coloration syntaxique et le code folding, si disponible.

    PowerShell

    • Vous pouvez maintenant utiliser Update-Help pour obtenir les dernières informations du module PowerShell de Configuration Manager via la commande Update-Help -Module Configuration Manager.
    • Le module PowerShell supporte maintenant PowerShell 7.
    • Avec plus de clients qui gèrent désormais des périphériques à distance, cette version comprend plusieurs nouvelles cmdlets PowerShell améliorées pour la Cloud Management Gateway (CMG). Vous pouvez utiliser ces cmdlets pour automatiser la création, la configuration et la gestion des exigences du service CMG et de l'Azure Active Directory (Azure AD).

     

    Plus d’informations sur cette version : What’s new in version 2010

    Pour obtenir les éléments relatifs au processus de mise à jour : Updates and servicing - Configuration Manager | Microsoft Docs

    Pour télécharger cette version en Early Wave, vous devez utiliser le script PowerShell