• [MEM/Intune] Mettez à jour le portail d’entreprise Android pour les périphériques Samsung

    Microsoft a informé d’un changement ayant eu lieu dans la mise à jour d’octobre (2110) de Microsoft Endpoint Manager (Intune) concernant les périphériques Samsung. Ce changement vous concerne si vous enregistrez les téléphones en mode Device Administrator (Legacy). Les périphériques équipés du portail d’entreprise en version 5.04993.0 ou ancienne version ne pourront plus procéder à l’enregistrement.

    Vous avez normalement été prévenu par le centre de message Microsoft 365 si vous avez des périphériques concernés. Dans ce cas de figure, vous devez demander à l’utilisateur de mettre à jour le portail d’entreprise à partir du Play Store.

  • [Desktop Analytics] Clap de fin prévu pour novembre 2022

    Lancé il y a deux ans, Microsoft vient d’annoncer la fin du service Desktop Analytics pour le 30 novembre 2022. Desktop Analytics avait pour mission de réaliser l’évaluation de la compatibilité des machines (matériels, logiciels, drivers, etc.) avec les dernières versions de Windows. En outre, il permettait l’inventaire et la rationalisation des applications, en définissant la priorité et la compatibilité associée en fonction de la télémétrie. Il offrait aussi un mécanisme de suivi des mises à niveau de fonctionnalités (Builds Windows 10). Au fil du temps, Microsoft a investi plus massivement dans Endpoint Analytics. L’évaluation de la compatibilité avec Windows 11 est par exemple portée par ce dernier.

    C’est d’ailleurs la recommandation de Microsoft : Utiliser Endpoint Analytics et les rapports Intune (dont certains vont arriver dans les prochains mois) en lieu et place de Desktop Analytics. Ceci permet d’uniformiser la gestion que la machine soit cogérée, gérés uniquement via Intune ou remontée via la fonctionnalité tenant-attach.

    Microsoft va donc travailler à l’intégration des éléments manquants directement dans Microsoft Endpoint Manager (Intune).

    Plus d’informations : A data-driven approach to managing devices in your organization - Microsoft Tech Community

  • [MDE] Changement : Acceptation de nouvelles permissions pour Microsoft Defender for Endpoint sur Android 11+

    En novembre, Microsoft a annoncé que le client Microsoft Defender for Endpoint (MDE) sur Android 11 ou plus, demandera l’acceptation de nouvelles permissions pour le stockage. Ceci survient car Microsoft a adopté l’API 30 d’Android requise par Google sur ces versions de périphériques. L’acceptation permettra de continuer à bénéficier des fonctionnalités de sécurité d’applications proposées par Defender for Endpoint.

    A date, il n’est pas encore possible de configurer ces nouvelles permissions via les stratégies de protection applicatives.

    Les utilisateurs recevront une notification indiquant une autorisation manquante pour la sécurité des applications. Si l'utilisateur refuse cette autorisation, la fonctionnalité "Sécurité de l'application" sera désactivée sur l'appareil. Si l’utilisateur n'approuve ni ne refuse l'autorisation, il continuera à recevoir l'invite lors du déverrouillage de son appareil ou de l'ouverture de l'application jusqu'à ce qu'elle soit approuvée.

    Remarque : si vous testez la nouvelle fonctionnalité "Tamper protection" et si les nouvelles autorisations de stockage ne sont pas accordées par l'utilisateur dans les 7 jours suivant la mise à jour de la dernière version, l'utilisateur peut perdre l'accès aux ressources de l'entreprise.

    Vous devez donc les utilisateurs et votre support (le cas échéant) que les utilisateurs devront accepter les nouvelles autorisations lorsqu'ils y seront invités après avoir effectué la mise à jour vers la version de novembre de l'application Microsoft Defender for Endpoint.

    Pour accepter les permissions, les utilisateurs doivent :

    1. Tapez sur la notification d’application Defender ou ouvrir l'application Microsoft Defender for Endpoint où les utilisateurs verront un écran qui liste les autorisations nécessaires. Une coche verte manquera à côté de l'autorisation de stockage.
    2. Tapez sur Commencer/Begin.
    3. Appuyez sur le bouton à bascule pour Autoriser l'accès à la gestion de tous les fichiers. Remarque : Cette autorisation permet à Microsoft Defender for Endpoint d'accéder au stockage sur l'appareil de l'utilisateur, ce qui permet de détecter et de supprimer les applications malveillantes et indésirables. Microsoft Defender for Endpoint n'accède/analyse que les fichiers de paquetage d'applications Android (.apk), et sur les appareils avec un profil de travail, n'analyse que les fichiers liés au travail.
    4. L'appareil est maintenant protégé.

     

  • [MEM/Intune] Retrait de la fonction permettant de désactiver le verrouillage d’activation

    Microsoft a annoncé qu’à partir de la version de novembre 2011, Microsoft Endpoint Manager (Intune) ne comprendra plus la fonction permettant de désactiver le verrouillage d’activation (Disable Activation Lock) de l’interface. En effet, cette dernière ne fonctionne pas comme attendue et le but est de supprimer la confusion associée.

    Pour rappel, le verrouillage d’activation permet d’empêcher un tiers d’utiliser l’iPhone ou l’iPad en cas de perte ou de vol. Cette option est automatiquement mise en place lorsque l’utilisateur active Find My iPhone (Localiser).

    La fonction est toujours disponible pour les périphériques iOS/iPadOS supervisés : Contournement du verrouillage d’activation iOS/iPadOS avec Intune - Microsoft Intune | Microsoft Docs

  • [AIP] Public Preview v2.13.47 du client et scanner Unified Labeling d’Azure Information Protection

    Microsoft a publié la Public Preview (v2.13.47) du client et du scanner Unified Labeling d’Azure Information Protection.  Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée.  

    Pour les fonctionnalités proposées par le client, on retrouve :

    • Cette version du client apporte des améliorations en matière d’internationalisation, notamment une précision accrue pour les langues d'Asie de l'Est et la prise en charge des caractères à deux octets. Ces améliorations ne sont fournies que pour les processus 64 bits et sont désactivées par défaut.
    • L'application Azure Information Protection Viewer génère désormais des journaux d'audit d'accès chaque fois qu'un fichier étiqueté ou protégé est ouvert au sein de l’entreprise. L'application Viewer ne génère plus de journaux d'audit Discover.

    Concernant le Scanner, on retrouve :

    • À partir de la version 2.13.47.0, le scanner n'est pris en charge que sur les systèmes 64 bits.

    Cette version du client et du scanner Azure Information Protection intègre pleinement le kit de développement logiciel (SDK) Microsoft Information Protection (MIP) version 1.10.93.

     

    On retrouve les correctifs et améliorations suivants :

    • Amélioration de la prise en charge du paramètre avancé PFileSupportedExtensions, pour ajouter la possibilité de protéger uniquement les types de fichiers Office et les fichiers PDF, sans avoir à configurer une valeur spécifique.
    • Correction d'un problème pour lequel un filigrane peut ne pas être reflété correctement lorsqu'une étiquette est modifiée.
    • Correction d'un problème où les applications Office peuvent se comporter de manière inattendue si la valeur de la couleur pour une étiquette a une valeur invalide.
    • Correction d'un problème où la sélection des autorisations via l'option Classifier et protéger de l'explorateur de fichiers peut supprimer les adresses électroniques des autorisations définies si plusieurs adresses électroniques comprennent une apostrophe (').
    • Correction d'un problème où l'info-bulle du texte personnalisé d'étiquetage automatique configuré peut ne pas s'afficher comme prévu dans le cas d'une AsyncPolicy appliquée.
    • Correction d'un problème où les fenêtres pop-up dans Outlook peuvent se comporter de manière inattendue lors de l'attachement d'un e-mail à un autre e-mail, nouvellement crypté.
    • Correction d'un problème où une erreur liée à AIP apparaissait après l'ajout d'une étiquette enfant et sa portée sur les groupes et sites.
    • Correction d'un problème où l'icône Supprimer l'étiquette peut ne pas apparaître dans la barre de classification d'Outlook lorsque l'étiquetage obligatoire est activé dans Office, mais pas dans Outlook.
    • Correction d'un problème où Excel peut ne pas se fermer complètement lorsque l'add-in AIP et d'autres add-ins sont en cours d'exécution.
    • Correction d'un problème où Outlook peut échouer à envoyer un message avec des images incorporées dans du texte riche avec des règles pour les pop-ups dans Outlook configurées.
    • Correction d'un problème pour lequel le complément AIP peut ne pas se charger dans les applications Office avec des erreurs liées à la langue.
    • Correction d'un problème pour empêcher les erreurs de se produire lors de la suppression de la protection d'un fichier PST avec des caractères spéciaux.

     

    Télécharger Azure Information Protection unified labeling

  • [MEM/Intune] Changement : Les profils Windows Feature Updates ne s’appliqueront plus sur les périphériques Workplace Joined

    Microsoft annonce un changement qui concerne les périphériques Windows non Hybrid Azure AD Join ou Azure AD Join gérés par Microsoft Endpoint Manager (Intune). Cela concerne donc le scénario où ces périphériques ne sont pas joint mais gérés par la solution et donc dans un mode Workplace Joined.

    À partir du 1er décembre 2021, Microsoft Endpoint Manager commencera à ne plus gérer les mises à jour via le profil de mise à jour des fonctionnalités Windows (Windows Feature Updates) pour ces périphériques. Microsoft réalise ce changement car Azure Active Directory (Azure AD) est utilisé pour cibler de manière fiable les appareils pour les mises à jour de fonctionnalités et constitue une condition préalable documentée pour les profils Windows Feature Updates. La livraison des mises à jour des fonctionnalités Windows aux périphériques Workplace Joined n'est pas fiable dans ce mode, Microsoft recommande donc d'utiliser un mécanisme de déploiement différent pour mettre à jour ces périphériques. 

    Peu d’entreprises doivent être concernés mais si tel est le cas, vous avez reçu un message par le centre d’administration.

    Dans ce cas, vous commencerez à voir une alerte 'DeviceRegistrationInvalidAzureADJoin' dans le rapport Feature Update errors pour tous les périphériques Workplace Joined et qui doivent avoir des mises à jour de fonctionnalités gérées par un mécanisme différent. 

    Si vous souhaitez continuer à gérer les mises à jour des fonctionnalités sur ces périphériques, vous pouvez utiliser des stratégies Windows Update ring qui utilisent les reports de Windows Update for Business, ou définir la TargetReleaseVersion dans la catégorie Windows Update for Business d’un profil de configuration qui est ensuite ciblé sur ces périphériques Workplace Joined.

  • [Desktop Analytics/Update Compliance] Changement : De nouveaux prérequis système en janvier 2022

    Microsoft a annoncé un changement prévu sur les services Desktop Analytics et Update Compliance à partir du 31 janvier 2022. Au début d’année, Microsoft a ajouté le support de la configuration du traitement de données de diagnostic Windows. Ce changement force Microsoft à ne supporter que les machines équipées de Windows 10 1809 ou ultérieur.

    Concrètement pour :

    • Desktop Analytics : Si vous utilisez des appareils exécutant des versions de Windows 7, Windows 8 ou Windows 10 antérieures à la version 1809, vous devrez alors mettre à jour ces périphériques vers une version prise en charge de Windows 10 pour continuer à recevoir des données Desktop Analytics pour ces appareils. Remarque : Windows 11 n'est pas pris en charge par Desktop Analytics.
    • Update Compliance : Une nouvelle stratégie a été ajoutée pour prendre en charge la nouvelle configuration et sera nécessaire si vous utilisez Update Compliance. Les périphériques doivent exécuter Windows 10 version 1809 ou ultérieure pour utiliser cette configuration. En outre, les appareils configurés avant le 10 mai 2021 devront être reconfigurés pour rester inscrits dans Update Compliance via : Script de configuration de la mise à jour de la conformité - Windows Deployment | Microsoft Docs
  • [MEM/Intune] Mettez à jour vos stratégies de conformité pour Android Enterprise Work Profile

    Microsoft a informé que les périphériques Android 11 peuvent remonter comme non conforme à cause d’un problème dans l’application de la stratégie de mot de passe.

    Le problème est apparu à la suite d'une nouvelle mise à jour du portail de l'entreprise, rendue nécessaire par la décision de Google d'utiliser l'API 30. Les exigences en matière de politique de mot de passe ont changé entre l'API 29 et l'API 30 pour imposer un mot de passe numérique ou d'une plus grande complexité. Sur les appareils enregistrés avant Android 11, la plateforme ne nécessitait pas la configuration de la politique, mais une fois sur Android 11, vous devez maintenant définir une politique de mot de passe plus granulaire dans Microsoft Endpoint Manager.

    Vous pouvez rencontrer le problème si le paramétrage ‘required password type’ est vide.

    Pour corriger le problème, vous devez :

    • Aller dans Endpoint Manager et naviguez dans Device > Compliance Policies > Personally owned work profiles
    • Editez la stratégie pour inclure une des 5 configurations suivantes :
      • At least numeric (default): Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.
      • Numeric complex: Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.
      • At least alphabetic: Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.
      • At least alphanumeric: Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.
      • At least alphanumeric with symbols: Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.

    Une fois que vous aurez enregistré la stratégie, la prochaine fois qu'un appareil s'enregistrera ou qu'un utilisateur lancera un contrôle de conformité sur son appareil, les utilisateurs recevront la stratégie mise à jour. À ce moment-là, l'utilisateur pourra être invité à définir son mot de passe et retrouvera alors l'accès aux ressources de l'entreprise.

  • [M365] Fin de connectivité à Office 365 et Microsoft 365 pour certaines versions d’Outlook

    Annoncé ce longue date, Microsoft va démarrer le blocage de certaines versions d’Office qui souhaiteraient se connecter aux services Office 365 et Microsoft 365. Ceci concerne particulièrement le client Outlook de Windows. La procédure de blocage a commencé depuis le 1er novembre 2021 et permet à Microsoft d’optimiser les performances de ses services.

    Parmi les versions concernées, on retrouve :

    Apps Office et Microsoft 365

    Outlook for Windows

    Office 2007

    Toutes les versions

    Office 2010

    Toutes les versions

    Office 2013

    Versions antérieures à 15.0.4971.1000 d'Office 2013 (Service Pack 1 avec la mise à jour d'octobre 2017).

    Office 2016 MSI

    Versions antérieures à 16.0.4600.1000 d'Office 2016 (avec la mise à jour de novembre 2017, KB 4051890)

    Microsoft 365 Apps for enterprise; (anciennement Office 365 ProPlus)

    1705 et plus anciennes

    Microsoft 365 Apps for business (anciennement Office 365 Business)

    1705 et plus anciennes

    Vous devez donc mettre à jour ces versions vers des versions supportées.

    Les autres versions non listées dans le tableau, restent entièrement supportées. Pour en voir la liste, vous avez les deux URLs suivantes :