• [SCOM 2016/2019] Nouvelle version (10.1.0.6) du Management Pack pour Windows Server 2016 et 1709+

    Microsoft vient de publier une nouvelle version (10.1.0.6) du Management Pack à destination des systèmes d’exploitation Windows Server 2016 et Windows Server 1709 ou plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Cette version corrige le problème d'ingestion de données des règles de collecte des performances des disques en cluster pour les règles suivantes dans le cluster Shared Volume Monitoring Management Pack

    • Règle de collecte pour Average Disk Seconds Per Read Windows Server Cluster Disk
    • Règle de collecte pour Average Disk Seconds Per Write Windows Server Cluster Disk
    • Règle de collecte pour Average Disk Seconds Per Transfer Windows Server Cluster Disk

    Ce Management Pack supporte les systèmes d’exploitation suivants :

    • Windows Server 2016.
    • Windows Server Nano
    • Windows Server 1709
    • Windows Server 2019
    • Windows Server 2022

    Il peut être utilisé sur System Center Operations Manager 2016 et 2019.

    Télécharger Microsoft System Center Management Pack for Windows Server Operating System 2016 and above

    • 27/11/2021
  • [SCOM 2016/2019] Mise à jour (10.0.3.2) du Management Pack pour Active Directory Federation Services (AD FS) pour 2012 R2+

    Microsoft vient de publier une nouvelle version (10.0.3.2) du pack d’administration ou Management Pack (MP) SCOM pour Active Directory Federation Services. Elle ne fonctionne qu’avec System Center 2012 Operations Manager et plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Il supervise les éléments suivants :

    • Des événements qui indiquent un problème de service
    • Des alertes qui indiquent les problèmes de configuration ou les tâches en échecs
    • Si l’audit a lieu avec succès
    • Les communications entre le Federation Server et le Federation Server Proxy
    • Les notifications des demandes d’accès malformées
    • La disponibilité du site Web
    • L’état de santé du certificat SSL du site web de fédération dans IIS

    Cette version corrige des problèmes d’instances dupliquées. Il a été aussi rendu agnostique.

    Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

    Télécharger System Center Management Pack for Active Directory Federation Services

    • 27/11/2021
  • [Azure AD] Les nouveautés d’Azure Active Directory en octobre 2021

    Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en octobre 2021.

    Microsoft apporte les nouveautés suivantes :

     

    On retrouve les modifications de service suivantes :

    • Ceci avait été annoncé en juin, Microsoft lance l’activation de l’authentification par mot de passe à usage unique d’Azure Active Directory par défaut pour les comptes invités ou les scénarios de collaboration B2B.
    • Le nombre total de permissions requises pour l'enregistrement d'une seule application ne doit pas dépasser 400 permissions, toutes API confondues. La modification visant à faire respecter cette limite commencera à être mise en œuvre à la mi-octobre 2021. Les applications qui dépassent cette limite ne peuvent pas augmenter le nombre d'autorisations pour lesquelles elles sont configurées. La limite existante du nombre d'API distinctes pour lesquelles des permissions sont requises reste inchangée et ne peut dépasser 50 API.
    • Google a supprimé les ouvertures de session Gmail sur les applications mobiles et personnalisées Microsoft Teams qui utilisent les authentifications Gmail sur les vues Web intégrées le 30 septembre 2021.
    • Accès conditionnel Écran de blocage de l'accès des invités : S'il n'y a pas de relation de confiance entre un tenant d'origine et un tenant de ressources, un utilisateur invité aurait été invité à réenregistrer son appareil, ce qui aurait annulé l'enregistrement précédent. Cependant, l'utilisateur se retrouverait dans une boucle d'enregistrement car seul l'enregistrement des appareils du tenant de rattachement est pris en charge. Dans ce scénario spécifique, au lieu de cette boucle, Microsoft a créé une nouvelle page de blocage d'accès conditionnel. Cette page indique à l'utilisateur final qu'il ne peut pas accéder aux ressources protégées par l'accès conditionnel en tant qu'utilisateur invité.
    • Azure AD a corrigé un bug dans une réponse d'erreur qui se produit lorsqu'un utilisateur n'est pas affecté à une application qui nécessite une affectation d'utilisateur. Auparavant, Azure AD renvoyait l'erreur 50105 avec le code d'erreur OIDC "interaction_required" même pendant l'authentification interactive. Les applications bien codées pouvaient ainsi tourner indéfiniment en boucle, car elles procédaient à une authentification interactive et recevaient une erreur leur indiquant de procéder à une authentification interactive, ce qu'elles faisaient alors.

     

    Plus d’informations sur : What’s new Azure AD

    • 25/11/2021
  • Mise à jour (1.6.16.0 et 2.0.28.0) d’Azure Active Directory Connect (AADC)

    Microsoft a publié deux mises à jour (1.6.16.0 et 2.0.28.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

    La version 1.6.x s’adresse aux entreprises qui ne peuvent pas migrer sur une version de Windows Server 2016 ou plus récente. La version 2.x s’adresse aux entreprises qui peuvent utiliser Windows Server 2016 ou plus. Bien entendu, Microsoft recommande cette dernière.

    Pour rappel, la version précédente (1.6.16.0) apportait de nombreux changements parmi :

    • Microsoft a corrigé un bug à cause duquel le processus de mise à niveau automatique tentait de mettre à niveau les serveurs AADConnect qui exécutent une ancienne version de Windows OS 2008 ou 2008 R2 et échouait. Ces versions de Windows Server ne sont plus prises en charge. Dans cette version, Microsoft tente la mise à niveau automatique que sur les machines qui exécutent Windows Server 2012 ou une version plus récente.
    • Microsoft a corrigé un problème où, dans certaines conditions, miisserver se plantait en raison d'une exception de violation d'accès.

    Notez qu’il y a un problème où la mise à niveau vers cette version v1.6 ou toute autre version plus récente réinitialise la limite d'adhésion aux groupes à 50 000. Lorsqu'un serveur est mis à niveau vers cette version, ou toute autre version 1.6 plus récente, le client doit réappliquer les changements de règles qu'il a appliqués lors de l'augmentation initiale de la limite d'appartenance à un groupe à 250 000 avant d'activer la synchronisation pour le serveur.

     

    Pour rappel, la version précédente (2.0.28.0) apportait de nombreux changements parmi :

    • Sur la page "Group Writeback Permissions" de l'assistant, Microsoft a supprimé un bouton de téléchargement pour un script PowerShell et modifié le texte de la page de l'assistant pour inclure un lien "learn more", qui renvoie à un article en ligne où le script PowerShell peut être trouvé.
    • Microsoft a corrigé un bug à cause duquel l'assistant bloquait incorrectement l'installation lorsque la version .NET du serveur était supérieure à 4.6, en raison de clés de registre manquantes. Ces clés de registre ne sont pas nécessaires et ne devraient bloquer l'installation que si elles sont intentionnellement définies comme fausses.
    • N Microsoft a corrigé un bug qui provoquait une erreur si des objets fantômes étaient trouvés pendant l'initialisation d'une étape de synchronisation. Cela pouvait bloquer l'étape de synchronisation ou supprimer les objets fantômes. Les objets fantômes sont maintenant ignorés. Note : Un objet fantôme est un espace réservé pour un objet qui n'existe pas ou qui n'a pas encore été vu, par exemple si un objet source a une référence pour un objet cible qui n'existe pas, nous créons l'objet cible comme un fantôme.
    • Une modification a été apportée pour permettre à un utilisateur de désélectionner des objets et des attributs de la liste d'inclusion, même s'ils sont en cours d'utilisation. Au lieu de bloquer cette opération, Microsoft a fourni maintenant un avertissement.

     

    Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#16160

    Télécharger Microsoft Azure Active Directory Connect

    • 24/11/2021
  • Les nouveautés d’octobre 2021 autour de la gouvernance, conformité et protection de données (MIP, etc.)

    Je vous propose un petit aperçu des nouveautés en octobre 2021 autour de la gouvernance, de la conformité et de la protection de données (MIP, etc.).

    On retrouve notamment :

    Conformité et assurance de services

    • Mises à jour trimestrielles du contenu des certifications et des déclarations d'applicabilité
      • Gestion des actifs du centre de données
      • Architecture et infrastructure du centre de données
      • Continuité des activités du centre de données et reprise après sinistre
      • Mesures de protection de l'environnement du centre de données
      • Sécurité de l'accès physique au centre de données
      • Programme de conformité Microsoft 365 SDL
      • Contrôle d'accès des ingénieurs de service Microsoft 365
      • Guide d'évaluation des risques pour MS Cloud

    Classification des données

    Chiffrement

    Etiquettes de confidentialité (Sensitivity Labels)

     Prévention de fuite de données (DLP)

    • Preview de la prévention de fuite de données (DLP) pour les périphériques macOS. Cet ajout permet d’auditer, bloquer, bloquer avec exception pour les activités suivantes :
      • Copie d'un fichier sensible sur un périphérique USB externe
      • Copie d'un fichier sensible sur un partage réseau
      • Télécharger un fichier sensible vers un service en nuage (cloud)
      • Impression d'un fichier sensible
      • Copie d'un contenu sensible dans le presse-papiers
      • Accès à un fichier sensible par une application non autorisée

    Gestion de la confidentialité

    Gestion des enregistrements et de la rétention

    Advanced eDiscovery

    • Collecte de pièces jointes dans le Cloud dans Advanced eDiscovery en plus de collecter la dernière version d'une pièce jointe dans le Cloud, vous pouvez collecter la version qui a été partagée dans un message électronique ou une conversation de chat Teams ; la collecte de la version partagée est rendue possible par la nouvelle capacité permettant d'appliquer automatiquement une étiquette de rétention aux pièces jointes dans le Cloud.
    • Configurer les versions historiques dans Advanced eDiscovery : nouvelle fonctionnalité qui indexe toutes les versions des documents stockés sur un site SharePoint à des fins de recherche ; cela signifie que les versions des documents dont le contenu correspond à une requête de collecte sont renvoyées dans les résultats de la recherche.

    Gouvernance des applications

     

    Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

    • 24/11/2021
  • [OneDrive] Alignement du support du client OneDrive sur le cycle de vie de Windows

    A partir de janvier 2022, Microsoft planifie d’aligner le support de l’application de synchronisation OneDrive sur le support du cycle de vie de Windows. Ainsi :

    • Pour Windows 8.1, vous ne recevrez plus de mises à jour de fonctionnalités mais des correctifs de sécurité jusqu'au 10 janvier 2023.
    • Pour Windows 7 et si vous participez au programme Extended Security Update (ESU), vous continuerez de recevoir les mises à jour de sécurité critiques et importantes (telles que définies par le Microsoft Security Response Center) jusqu'au 10 janvier 2023.
    • Pour Windows 8, vous ne recevrez plus de mises à jour ou de correctifs car Windows 8 n'est plus pris en charge depuis le 12 janvier 2016.

    Dans tous les cas, Microsoft recommande de migrer vers Windows 10 ou Windows 11.

    • 23/11/2021
  • [M365Apps] Retrait de Security Policy Advisor

    Microsoft a annoncé le retrait du service Security Policy Advisor qui permettait de configurer des stratégies à destination du client Microsoft 365 Apps for Enterprise. Depuis le 8 novembre, Microsoft recommande d’utiliser Office Cloud Policy Service en lieu et place. A partir de cette date, le service sera désactivé sur les tenants qui n’ont pas déployé de stratégies.

    A partir du 17 janvier 2022, Microsoft commencera la migration des stratégies existantes de Security Policy Advisor vers Office Cloud Policy Service. Après la migration, le service ne sera plus disponible pour qui que ce soit.

    SI vous souhaitez migrer vous-même vos stratégies, vous pouvez consulter : Migrate security policies from Security Policy Advisor to the Office cloud policy service - Deploy Office | Microsoft Docs

    • 23/11/2021
  • [MEM/Intune] Mise à jour de l’intervalle de rafraîchissement de l’Intune Management Extension

    Microsoft a annoncé la mise à jour prochaine de l’agent additionnel Intune Management Extension de Microsoft Endpoint Manager (MEM). Cet agent est utilisé sur Windows 10/11 pour de nombreuses tâches dont l’installation d’applications, l’exécution de scripts PowerShell, la collecte des logs/journaux, etc.

    L’intervalle de vérification sera mis à jour de 6 heures à 3 heures pour la collecte des journaux. Les vérifications de récupération des scripts PowerShell ont lieu une fois par jour et elles seront réduites à 8 heures.

    Au cours des prochains mois, Microsoft s’apprête à réaliser des changements architecturaux dans la conception des contrôles et Microsoft s’attend à pouvoir réduire ces intervalles de temps au fur et à mesure que l'infrastructure et l'expérience globale sont améliorées.

    • 22/11/2021
  • [MDE] Fin de support de macOS Mojave

    Microsoft vient d’annoncer la fin de support de macOS Mojave (10.14) par Microsoft Defender for Endpoint à partir du 15 décembre 2021. Après cette date, les agents continueront d’être protéger jusqu’à l’expiration de l’agent. Ensuite, il échouera à être mis à jour avec des erreurs dans le journal /Library/Logs/Microsoft/autoupdate.log.

    Vous devez revoir les périphériques macOS de votre environnement et les mettre à jour vers une version plus récente de macOS comme Monterey (12), Big Sur (11) et Catalania (10.15).

    • 22/11/2021
  • Les nouveautés Microsoft 365 Defender d’octobre 2021

    Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps (MCAS). Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

    Parmi les nouveautés de ce mois, on retrouve :

    • (Preview) La fonction complémentaire de gouvernance des applications de Defender for Cloud Apps est désormais disponible dans Microsoft 365 Defender. Elle offre une capacité de gestion de la sécurité et des politiques conçue pour les applications compatibles avec OAuth qui accèdent aux données de Microsoft 365 via les API Microsoft Graph. La gouvernance des applications offre une visibilité, une remédiation et une gouvernance complètes sur la façon dont ces apps et leurs utilisateurs accèdent, utilisent et partagent vos données sensibles stockées dans Microsoft 365 grâce à des informations exploitables et à des alertes et actions de politique automatisées.

    • (Preview) La page d’Advanced Hunting supporte les multi-onglets, le défilement intelligent, les onglets de schéma rationalisés, les options d'édition rapide pour les requêtes, un indicateur d'utilisation des ressources de requête et d'autres améliorations pour rendre les requêtes plus fluides et plus faciles à affiner.

     

    • (Preview) Vous pouvez désormais utiliser la fonction de lien vers l'incident pour inclure des événements ou des enregistrements provenant des résultats de requête Advanded Hunting

    • 15/11/2021
  • [MEMCM] La Technical Preview 2111 de Microsoft Endpoint Manager Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 2111 (5.0.9064.1000) de Microsoft Endpoint Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2010 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

     

    Microsoft Endpoint Configuration Manager TP 2111 comprend les nouveautés suivantes :

    Administration

    • Amélioration du tableau de bord Windows Servicing pour afficher un tableau Windows 11 Latest Feature Updates. Le nouveau tableau permet de déterminer plus facilement combien de vos clients Windows 11 sont sur la dernière mise à jour des fonctionnalités. Pour afficher le tableau de bord, allez dans Software Library > Overview > Windows Servicing.

    • Une nouvelle collection (Co-management Eligible Devices) inclue par défaut permet d’obtenir la liste de tous les périphériques éligibles à la cogestion. Cette collection a une évaluation complète tous les jours ainsi qu’un mécanisme d’évaluation incrémentiel.

     

    Applications

    • Cette version résout l'un des problèmes connus pour les groupes d'applications de la Technical Preview 2110. L'affichage et la gestion des groupes d'applications dans le centre d'administration de Microsoft Endpoint Manager ne nécessitent pas un rôle élevé. Elle respecte les autorisations et les champs d'application tels que définis dans Configuration Manager. Par exemple, votre compte utilisateur a besoin de l'autorisation Approuver sur un groupe d'applications pour approuver son installation à partir du centre d'administration. Ce comportement est cohérent avec les applications.
    • Amélioration du type de déploiement de séquence de tâches dans le scénario où l’application est déployée en libre-service et lorsque le périphérique a une fenêtre de maintenance définie. L’utilisateur sur le périphérique exécute le déploiement depuis le centre logiciels en dehors de la fenêtre de maintenance. Dans ce scénario, l’étape ignore la fenêtre de maintenance uniquement quand la séquence de tâches s’exécute via un type de déploiement d’une application.

    PowerShell

    • On retrouve de nouvelles cmdlets :
      • Get-CMOrchestrationGroup
      • Invoke-CMOrchestrationGroup
      • New-CMOrchestrationGroup
      • Remove-CMOrchestrationGroup
      • Set-CMOrchestrationGroup

    Plus d’informations sur : Technical preview 2111 - Configuration Manager | Microsoft Docs

    • 14/11/2021
  • [MDCA] Les nouveautés de Microsoft Defender for Cloud Apps (MCAS) en octobre 2021

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    Les versions 209, 210, 211 apportent les changements suivants :

    • Le connecteur API de Slack est désormais disponible, ce qui donne une meilleure visibilité et un meilleur contrôle sur la façon dont Slack est utilisé dans l’entreprise.
    • Une nouvelle expérience d'avertissement (Warn and Educate) pour les applications surveillées avec Microsoft Defender for Endpoint est maintenant disponible. Cloud App Security a étendu son intégration native avec Microsoft Defender for Endpoint. Il est maintenant possible d’appliquer un blocage souple de l'accès aux applications marquées comme surveillées en utilisant la capacité Network Protection de Microsoft Defender for Endpoint. Les utilisateurs pourront contourner le blocage.
    • Microsoft propose une nouvelle expérience des applications découvertes pour couvrir les applications Web découvertes et les applications OAuth et fournir une vue unifiée d'une entité d'application.

    Les versions 212, et 213 apportent les changements suivants :

    • Les alertes relatives aux voyages impossibles, à l'activité depuis des pays peu fréquents, à l'activité depuis des adresses IP anonymes et à l'activité depuis des adresses IP suspectes ne s'appliqueront plus aux échecs de connexion. Après un examen approfondi, Microsoft a décidé de séparer le traitement des échecs de connexion des alertes mentionnées ci-dessus. Dorénavant, elles ne seront déclenchées qu'en cas de connexion réussie, et non plus en cas d'échec de la connexion ou de tentative d'attaque. L'alerte de masse en cas d'échec de connexion sera toujours appliquée s'il y a un nombre anormalement élevé de tentatives de connexion échouées pour un utilisateur.
    • Nouvelle détection d'anomalie : ISP inhabituel pour une application OAuth. Microsoft a étendu les détections d'anomalies pour inclure l'ajout suspect d'informations d'identification privilégiées à une application OAuth. La nouvelle détection est désormais disponible et automatiquement activée. La détection peut indiquer qu'un attaquant a compromis l'app et l'utilise pour une activité malveillante.
    • Nouvelle détection : Activité à partir d’adresses IP associées à la pulvérisation du mot de passe (password spray). Cette détection compare les adresses IP effectuant des activités réussies dans vos applications Cloud aux adresses IP identifiées par les sources de threat intelligence de Microsoft comme ayant récemment effectué des attaques par pulvérisation de mot de passe. Elle signale les utilisateurs qui ont été victimes de campagnes de pulvérisation de mots de passe et qui ont réussi à accéder à vos applications Cloud à partir de ces adresses IP malveillantes. Cette nouvelle alerte sera générée par la politique existante Activity from suspicious IP addresses.
    • Les connecteurs API de Smartsheet et OneLogin sont désormais disponibles. Vous pouvez désormais connecter Microsoft Cloud App Security à Smartsheet et à OneLogin pour surveiller et protéger les utilisateurs et les activités.
    • Nouvelle intégration Shadow IT avec Open Systems pour bénéficier d'une visibilité Shadow IT sur l'utilisation des applications et de contrôler leur accès.

    Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

    • 13/11/2021
  • [MDO] Les nouveautés d’octobre 2021 pour Microsoft Defender for Office 365

    Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

    Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

    • 13/11/2021
  • [Remote Desktop] Nouvelle version 1.2.2606 du client Remote Desktop pour Windows

    Microsoft vient de mettre à disposition une nouvelle version (1.2.2606) du client Windows pour Remote Desktop.

    Cette version apporte les éléments suivants :

    • Correction de la vulnérabilité connue sous le nom de CVE-2021-38665.
    • Correction de la vulnérabilité connue sous le nom de CVE-2021-38666.
    • Correction d'un problème où le service collait parfois des cadres vides lorsqu'un utilisateur essayait de copier une image depuis un navigateur Internet Explorer fonctionnant à distance vers un document Word fonctionnant localement.

    Télécharger pour :

    • 12/11/2021
  • [MEM/Intune] Changement : Suppression de l’adresse MAC WiFi pour les périphériques Android

    Microsoft a informé les clients disposant de périphériques Android 9 ou plus d'un changement à venir où il ne sera plus possible d'afficher l'adresse MAC Wi-Fi dans Microsoft Endpoint Manager (Intune).

    Ce changement survient depuis octobre et concerne les périphériques Android en mode Device Administrator ou Android Enterprise Work Profile. En effet, Google exige que toutes les mises à jour d'applications utilisent l'API 30 d'ici novembre 2021. Avec à ce changement, Android empêche les applications de collecter l'adresse MAC utilisée par l'appareil.

    A partir de novembre, un appareil nouvellement inscrit n’affichera plus l’adresse MAC WiFi. Pour les périphériques précédemment inscrits, il se peut qu'une valeur en cache soit répertoriée.

    • 12/11/2021
  • [Intune/MEM] Fin de support d’Android 7 et antérieur par la gestion de périphériques mobiles (MDM)

    A partir du 7 janvier 2022, Android 8 ou ultérieur sera un prérequis pour les périphériques enregistrés dans Microsoft Endpoint Manager. Les appareils inscrits au MDM fonctionnant sous Android version 7.x ou inférieure ne recevront plus de mises à jour du portail d'entreprise Android ou de l'application Intune. Les stratégies Intune continueront d'être appliquées aux appareils inscrits, mais ils ne seront plus pris en charge par aucun scénario Intune. Si vous disposez d'appareils enregistrés fonctionnant sous Android 7.x ou moins, vous devez les mettre à jour vers Android version 8.0 (Oreo) ou supérieure ou les remplacer par un périphérique sous Android version 8.0 ou supérieure.

    Vous pouvez identifier le nombre d'appareils fonctionnant actuellement sous Android 7.x ou moins en accédant à Devices > All devices  en filtrant par OS et trier par version d'OS.

    En outre, il existe deux options permettant d'informer les utilisateurs ou de bloquer l’enregistrement.

    • Pour avertir les utilisateurs, vous pouvez
      • Configurer un paramètre de lancement conditionnel sur la stratégie de protection des applications avec une exigence de version de système d’exploitation minimale pour avertir les utilisateurs.
      • Utilisez une stratégie de conformité et définir l'action de non-conformité pour envoyer un e-mail ou une notification push aux utilisateurs avant de les marquer comme non conformes.
    • Pour bloquer les périphériques sur les versions inférieures à Android 8.0 :
      • Configurer un paramètre de lancement conditionnel de la politique de protection des applications avec une exigence de version minimale du système d'exploitation pour bloquer l'accès des utilisateurs aux applications.
      • Utiliser une stratégie de conformité pour rendre non conformes les appareils sous Android 7.x ou moins.
      • Définir des restrictions d'inscription pour empêcher les appareils sous Android 7.x ou moins de s'inscrire.
    • 11/11/2021
  • [MEM/Intune] Problème connu : Les utilisateur ne peuvent pas mettre à jour le portail d’entreprise depuis Huawei AppGallery

    Le portail d'entreprise Android n'est actuellement pas à jour dans le store Huawei AppGallery et les mises à jour récentes du portail d'entreprise ne sont pas disponibles via l’Huawei AppGallery.

    Si les utilisateurs ont téléchargé le Company Portal depuis Huawei AppGallery et que vous utilisez des applications qui prennent en charge les stratégies de protection des applications (APP, également connues sous le nom de MAM), les utilisateurs peuvent être empêchés d'accéder aux ressources de l'entreprise avec ces applications s'ils ne disposent pas de la dernière version du Company Portal.

    En attendant une mise à jour en cours d’élaboration par Microsoft, vous devez informer les utilisateurs, qu'ils devront télécharger la dernière version du portail d'entreprise depuis l'un des autres stores d'applications pris en charge (Baidu, etc.) ou depuis le centre de téléchargement Microsoft. La liste des stores d'applications pris en charge et les instructions associées sont sur : Installer Portail d'entreprise Intune applique en République populaire de Chine | Microsoft Docs.

    • 11/11/2021
  • [MEM/Intune] Mettez à jour le portail d’entreprise Android pour les périphériques Samsung

    Microsoft a informé d’un changement ayant eu lieu dans la mise à jour d’octobre (2110) de Microsoft Endpoint Manager (Intune) concernant les périphériques Samsung. Ce changement vous concerne si vous enregistrez les téléphones en mode Device Administrator (Legacy). Les périphériques équipés du portail d’entreprise en version 5.04993.0 ou ancienne version ne pourront plus procéder à l’enregistrement.

    Vous avez normalement été prévenu par le centre de message Microsoft 365 si vous avez des périphériques concernés. Dans ce cas de figure, vous devez demander à l’utilisateur de mettre à jour le portail d’entreprise à partir du Play Store.

    • 8/11/2021
  • [Desktop Analytics] Clap de fin prévu pour novembre 2022

    Lancé il y a deux ans, Microsoft vient d’annoncer la fin du service Desktop Analytics pour le 30 novembre 2022. Desktop Analytics avait pour mission de réaliser l’évaluation de la compatibilité des machines (matériels, logiciels, drivers, etc.) avec les dernières versions de Windows. En outre, il permettait l’inventaire et la rationalisation des applications, en définissant la priorité et la compatibilité associée en fonction de la télémétrie. Il offrait aussi un mécanisme de suivi des mises à niveau de fonctionnalités (Builds Windows 10). Au fil du temps, Microsoft a investi plus massivement dans Endpoint Analytics. L’évaluation de la compatibilité avec Windows 11 est par exemple portée par ce dernier.

    C’est d’ailleurs la recommandation de Microsoft : Utiliser Endpoint Analytics et les rapports Intune (dont certains vont arriver dans les prochains mois) en lieu et place de Desktop Analytics. Ceci permet d’uniformiser la gestion que la machine soit cogérée, gérés uniquement via Intune ou remontée via la fonctionnalité tenant-attach.

    Microsoft va donc travailler à l’intégration des éléments manquants directement dans Microsoft Endpoint Manager (Intune).

    Plus d’informations : A data-driven approach to managing devices in your organization - Microsoft Tech Community

    • 7/11/2021
  • [MDE] Changement : Acceptation de nouvelles permissions pour Microsoft Defender for Endpoint sur Android 11+

    En novembre, Microsoft a annoncé que le client Microsoft Defender for Endpoint (MDE) sur Android 11 ou plus, demandera l’acceptation de nouvelles permissions pour le stockage. Ceci survient car Microsoft a adopté l’API 30 d’Android requise par Google sur ces versions de périphériques. L’acceptation permettra de continuer à bénéficier des fonctionnalités de sécurité d’applications proposées par Defender for Endpoint.

    A date, il n’est pas encore possible de configurer ces nouvelles permissions via les stratégies de protection applicatives.

    Les utilisateurs recevront une notification indiquant une autorisation manquante pour la sécurité des applications. Si l'utilisateur refuse cette autorisation, la fonctionnalité "Sécurité de l'application" sera désactivée sur l'appareil. Si l’utilisateur n'approuve ni ne refuse l'autorisation, il continuera à recevoir l'invite lors du déverrouillage de son appareil ou de l'ouverture de l'application jusqu'à ce qu'elle soit approuvée.

    Remarque : si vous testez la nouvelle fonctionnalité "Tamper protection" et si les nouvelles autorisations de stockage ne sont pas accordées par l'utilisateur dans les 7 jours suivant la mise à jour de la dernière version, l'utilisateur peut perdre l'accès aux ressources de l'entreprise.

    Vous devez donc les utilisateurs et votre support (le cas échéant) que les utilisateurs devront accepter les nouvelles autorisations lorsqu'ils y seront invités après avoir effectué la mise à jour vers la version de novembre de l'application Microsoft Defender for Endpoint.

    Pour accepter les permissions, les utilisateurs doivent :

    1. Tapez sur la notification d’application Defender ou ouvrir l'application Microsoft Defender for Endpoint où les utilisateurs verront un écran qui liste les autorisations nécessaires. Une coche verte manquera à côté de l'autorisation de stockage.
    2. Tapez sur Commencer/Begin.
    3. Appuyez sur le bouton à bascule pour Autoriser l'accès à la gestion de tous les fichiers. Remarque : Cette autorisation permet à Microsoft Defender for Endpoint d'accéder au stockage sur l'appareil de l'utilisateur, ce qui permet de détecter et de supprimer les applications malveillantes et indésirables. Microsoft Defender for Endpoint n'accède/analyse que les fichiers de paquetage d'applications Android (.apk), et sur les appareils avec un profil de travail, n'analyse que les fichiers liés au travail.
    4. L'appareil est maintenant protégé.

     

    • 7/11/2021
  • [MEM/Intune] Retrait de la fonction permettant de désactiver le verrouillage d’activation

    Microsoft a annoncé qu’à partir de la version de novembre 2011, Microsoft Endpoint Manager (Intune) ne comprendra plus la fonction permettant de désactiver le verrouillage d’activation (Disable Activation Lock) de l’interface. En effet, cette dernière ne fonctionne pas comme attendue et le but est de supprimer la confusion associée.

    Pour rappel, le verrouillage d’activation permet d’empêcher un tiers d’utiliser l’iPhone ou l’iPad en cas de perte ou de vol. Cette option est automatiquement mise en place lorsque l’utilisateur active Find My iPhone (Localiser).

    La fonction est toujours disponible pour les périphériques iOS/iPadOS supervisés : Contournement du verrouillage d’activation iOS/iPadOS avec Intune - Microsoft Intune | Microsoft Docs

    • 6/11/2021
  • [AIP] Public Preview v2.13.47 du client et scanner Unified Labeling d’Azure Information Protection

    Microsoft a publié la Public Preview (v2.13.47) du client et du scanner Unified Labeling d’Azure Information Protection.  Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée.  

    Pour les fonctionnalités proposées par le client, on retrouve :

    • Cette version du client apporte des améliorations en matière d’internationalisation, notamment une précision accrue pour les langues d'Asie de l'Est et la prise en charge des caractères à deux octets. Ces améliorations ne sont fournies que pour les processus 64 bits et sont désactivées par défaut.
    • L'application Azure Information Protection Viewer génère désormais des journaux d'audit d'accès chaque fois qu'un fichier étiqueté ou protégé est ouvert au sein de l’entreprise. L'application Viewer ne génère plus de journaux d'audit Discover.

    Concernant le Scanner, on retrouve :

    • À partir de la version 2.13.47.0, le scanner n'est pris en charge que sur les systèmes 64 bits.

    Cette version du client et du scanner Azure Information Protection intègre pleinement le kit de développement logiciel (SDK) Microsoft Information Protection (MIP) version 1.10.93.

     

    On retrouve les correctifs et améliorations suivants :

    • Amélioration de la prise en charge du paramètre avancé PFileSupportedExtensions, pour ajouter la possibilité de protéger uniquement les types de fichiers Office et les fichiers PDF, sans avoir à configurer une valeur spécifique.
    • Correction d'un problème pour lequel un filigrane peut ne pas être reflété correctement lorsqu'une étiquette est modifiée.
    • Correction d'un problème où les applications Office peuvent se comporter de manière inattendue si la valeur de la couleur pour une étiquette a une valeur invalide.
    • Correction d'un problème où la sélection des autorisations via l'option Classifier et protéger de l'explorateur de fichiers peut supprimer les adresses électroniques des autorisations définies si plusieurs adresses électroniques comprennent une apostrophe (').
    • Correction d'un problème où l'info-bulle du texte personnalisé d'étiquetage automatique configuré peut ne pas s'afficher comme prévu dans le cas d'une AsyncPolicy appliquée.
    • Correction d'un problème où les fenêtres pop-up dans Outlook peuvent se comporter de manière inattendue lors de l'attachement d'un e-mail à un autre e-mail, nouvellement crypté.
    • Correction d'un problème où une erreur liée à AIP apparaissait après l'ajout d'une étiquette enfant et sa portée sur les groupes et sites.
    • Correction d'un problème où l'icône Supprimer l'étiquette peut ne pas apparaître dans la barre de classification d'Outlook lorsque l'étiquetage obligatoire est activé dans Office, mais pas dans Outlook.
    • Correction d'un problème où Excel peut ne pas se fermer complètement lorsque l'add-in AIP et d'autres add-ins sont en cours d'exécution.
    • Correction d'un problème où Outlook peut échouer à envoyer un message avec des images incorporées dans du texte riche avec des règles pour les pop-ups dans Outlook configurées.
    • Correction d'un problème pour lequel le complément AIP peut ne pas se charger dans les applications Office avec des erreurs liées à la langue.
    • Correction d'un problème pour empêcher les erreurs de se produire lors de la suppression de la protection d'un fichier PST avec des caractères spéciaux.

     

    Télécharger Azure Information Protection unified labeling

    • 6/11/2021
  • [MEM/Intune] Changement : Les profils Windows Feature Updates ne s’appliqueront plus sur les périphériques Workplace Joined

    Microsoft annonce un changement qui concerne les périphériques Windows non Hybrid Azure AD Join ou Azure AD Join gérés par Microsoft Endpoint Manager (Intune). Cela concerne donc le scénario où ces périphériques ne sont pas joint mais gérés par la solution et donc dans un mode Workplace Joined.

    À partir du 1er décembre 2021, Microsoft Endpoint Manager commencera à ne plus gérer les mises à jour via le profil de mise à jour des fonctionnalités Windows (Windows Feature Updates) pour ces périphériques. Microsoft réalise ce changement car Azure Active Directory (Azure AD) est utilisé pour cibler de manière fiable les appareils pour les mises à jour de fonctionnalités et constitue une condition préalable documentée pour les profils Windows Feature Updates. La livraison des mises à jour des fonctionnalités Windows aux périphériques Workplace Joined n'est pas fiable dans ce mode, Microsoft recommande donc d'utiliser un mécanisme de déploiement différent pour mettre à jour ces périphériques. 

    Peu d’entreprises doivent être concernés mais si tel est le cas, vous avez reçu un message par le centre d’administration.

    Dans ce cas, vous commencerez à voir une alerte 'DeviceRegistrationInvalidAzureADJoin' dans le rapport Feature Update errors pour tous les périphériques Workplace Joined et qui doivent avoir des mises à jour de fonctionnalités gérées par un mécanisme différent. 

    Si vous souhaitez continuer à gérer les mises à jour des fonctionnalités sur ces périphériques, vous pouvez utiliser des stratégies Windows Update ring qui utilisent les reports de Windows Update for Business, ou définir la TargetReleaseVersion dans la catégorie Windows Update for Business d’un profil de configuration qui est ensuite ciblé sur ces périphériques Workplace Joined.

    • 5/11/2021
  • [Desktop Analytics/Update Compliance] Changement : De nouveaux prérequis système en janvier 2022

    Microsoft a annoncé un changement prévu sur les services Desktop Analytics et Update Compliance à partir du 31 janvier 2022. Au début d’année, Microsoft a ajouté le support de la configuration du traitement de données de diagnostic Windows. Ce changement force Microsoft à ne supporter que les machines équipées de Windows 10 1809 ou ultérieur.

    Concrètement pour :

    • Desktop Analytics : Si vous utilisez des appareils exécutant des versions de Windows 7, Windows 8 ou Windows 10 antérieures à la version 1809, vous devrez alors mettre à jour ces périphériques vers une version prise en charge de Windows 10 pour continuer à recevoir des données Desktop Analytics pour ces appareils. Remarque : Windows 11 n'est pas pris en charge par Desktop Analytics.
    • Update Compliance : Une nouvelle stratégie a été ajoutée pour prendre en charge la nouvelle configuration et sera nécessaire si vous utilisez Update Compliance. Les périphériques doivent exécuter Windows 10 version 1809 ou ultérieure pour utiliser cette configuration. En outre, les appareils configurés avant le 10 mai 2021 devront être reconfigurés pour rester inscrits dans Update Compliance via : Script de configuration de la mise à jour de la conformité - Windows Deployment | Microsoft Docs
    • 5/11/2021
  • [MEM/Intune] Mettez à jour vos stratégies de conformité pour Android Enterprise Work Profile

    Microsoft a informé que les périphériques Android 11 peuvent remonter comme non conforme à cause d’un problème dans l’application de la stratégie de mot de passe.

    Le problème est apparu à la suite d'une nouvelle mise à jour du portail de l'entreprise, rendue nécessaire par la décision de Google d'utiliser l'API 30. Les exigences en matière de politique de mot de passe ont changé entre l'API 29 et l'API 30 pour imposer un mot de passe numérique ou d'une plus grande complexité. Sur les appareils enregistrés avant Android 11, la plateforme ne nécessitait pas la configuration de la politique, mais une fois sur Android 11, vous devez maintenant définir une politique de mot de passe plus granulaire dans Microsoft Endpoint Manager.

    Vous pouvez rencontrer le problème si le paramétrage ‘required password type’ est vide.

    Pour corriger le problème, vous devez :

    • Aller dans Endpoint Manager et naviguez dans Device > Compliance Policies > Personally owned work profiles
    • Editez la stratégie pour inclure une des 5 configurations suivantes :
      • At least numeric (default): Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.
      • Numeric complex: Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.
      • At least alphabetic: Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.
      • At least alphanumeric: Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.
      • At least alphanumeric with symbols: Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.

    Une fois que vous aurez enregistré la stratégie, la prochaine fois qu'un appareil s'enregistrera ou qu'un utilisateur lancera un contrôle de conformité sur son appareil, les utilisateurs recevront la stratégie mise à jour. À ce moment-là, l'utilisateur pourra être invité à définir son mot de passe et retrouvera alors l'accès aux ressources de l'entreprise.

    • 4/11/2021