Un problème touche Windows Defender Antivirus sur Windows Server 2019. En effet, le client ne renvoie pas les informations d’état à System Center Configuration Manager (Etat de protection, version, dernière mise à jour, etc.).

Microsoft est au courant et travaille sur une mise à jour du client Windows Defender. Cette dernière devrait descendre automatiquement avec les mises à jour intelligente de sécurité/Mise à jour de définitions

MISE A JOUR : Le problème sera corrigé dans la mise à jour de plateforme prévue en octobre 2019.

Source : Twitter

Après l’annonce du support des Previews de Windows 10 1909 par le support Microsoft, Microsoft vient d’annoncer que les mises à jour de fonctionnalités (Builds) Windows Insider de Windows 10 vont être déployées dans le catalogue WSUS. Ceci permettra aux administrateurs de déployer ces mises à niveau sur des machines via à WSUS mais aussi à System Center Configuration Manager.

Microsoft va publier des Builds Windows Insider issue du canal lent (Slow Ring) avec une cadence mensuelle.

Ainsi la catégorie de produits Windows Insider Pre-Release a été ajoutée. Vous pouvez l’activer ainsi que la classification Upgrades pour voir apparaître les mises à niveau Windows Insider.

Dans Configuration Manager, les mises à jour apparaissent ensuite dans la partie Software Library > Overview > Windows 10 Servicing > All Windows 10 Updates

Source : https://techcommunity.microsoft.com/t5/Windows-IT-Pro-Blog/Publishing-pre-release-Windows-10-feature-updates-to-WSUS/ba-p/845054

Microsoft vient d’annoncer la disponibilité générale de la gestion des périphériques Android Enterprise dans un mode Fully Managed (COBO) par Microsoft Intune. Les périphériques Android Enterprise entièrement gérés sont des périphériques de l’entreprise associés à un seul utilisateur et utilisées exclusivement à des fins professionnelles (COBO). Les administrateurs peuvent gérer entièrement l’appareil et appliquer des contrôles de stratégie non disponibles dans les profils professionnels.

Microsoft Intune offre les fonctionnalités suivantes pour les périphériques Android Enterprise Fully Managed :

• Enregistrement du périphérique via l’une des méthodes suivantes :
  • Enregistrement via KNOX Mobile Enrollment
  • NFC
  • QR Code
  • Renseignement d’un Token
  • Enregistrement Zero Touch
• Support des stratégies d’authentification à facteurs multiples (MFA) définies par l’entreprise
• Inventaire des périphériques
• Actions à distance sur le périphérique (Effacement, etc.)
• Déploiement d’applications métiers ou issues du Managed Google Play Store
• Déploiement de liens Web
• Choix des applications systèmes activées
• Stratégie de configuration des applications
• Déploiement et configuration du Launcher Microsoft
• Configuration du périphérique
• Support d’OEMConfig pour la configuration avancée spécifique aux fabricants OEM.
• Déploiement de profil Wi-Fi
• Déploiement de profil VPN
• Déploiement de certificats
  • PKCS
  • SCEP
  • Certificats racines
• Gestion de la conformité dont le support des solutions Mobile Threat Defense (MTD)
• Stratégies de protection des applications (APP/MAM)

Les appareils doivent respecter les exigences suivantes pour pouvoir être gérés en tant que périphérique Android Enterprise entièrement gérés :

• Système d’exploitation : Android version 5.1 et ultérieures.
• Les appareils doivent exécuter une build d’Android disposant d’une connectivité à GMS (Google Mobile Services). Les appareils doivent avoir accès à GMS et doivent pouvoir s’y connecter. Aucune restriction ne vise le fabricant de l’appareil/OEM si les exigences ci-dessus sont remplies.

Note : si vous demandez de l'authentification à facteurs multiples (MFA) pour réaliser l'enregistrement d'un périphérique, le mode Fully Managed ne donne pas accès à l'application Microsoft Authenticator ni la capacité de recevoir un appel ou un SMS. L'utilisateur devra donc réaliser cette opération avec une méthode différente (un autre périphérique, etc.)

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Microsoft-Intune-support-for-Android-Enterprise-fully-managed/ba-p/862232

L’équipe du support Microsoft Intune a publié un message dans le Centre de Messages Microsoft 365 pour prévenir d’une maintenance planifiée engendrant une période d’indisponibilité. Cette dernière aura lieu d’ici la fin du mois. Durant cette maintenance, Microsoft apportera des améliorations afin d'intégrer la résilience à la reprise après sinistre dans l’infrastructure. Il s'agit d'une première étape vers l'amélioration de la résilience de Microsoft Intune face aux pannes d'un seul datacenter.

Pendant ce temps d'arrêt, vous pourrez vous connecter au portail Intune mais vous ne pourrez pas faire de changements. Microsoft recommande de ne pas se connecter à Intune pendant les temps d'arrêt, car les données et les rapports peuvent ne pas être affichés correctement. Les utilisateurs finaux ne pourront pas accéder au Portail d'entreprise ou enregistrer leur périphérique pendant cette période.

 Si vous avez configuré des exceptions sur votre pare-feu, elles devront être modifiées pour inclure les nouvelles adresses IP si vous n’utilisez pas les noms de domaine pour vos exceptions.

Microsoft informera les entreprises via des messages dans le Centre de Messages Microsoft 365, 5 jours avant la maintenance. Cette maintenance sera planifiée en dehors des heures ouvrées, afin de minimiser tout impact sur les entreprises.

Michael Niehaus (MSFT) tient maintenant un rendez-vous mensuel pour vous permettre de répondre à vos questions sur Windows Autopilot. Le prochain rendez-vous aura lieu le jeudi 26 septembre à 17h00 (heure française).

Pour rejoindre la réunion, vous devez utiliser Microsoft Teams

Source : https://oofhours.com/2019/09/21/time-for-another-qa-session/

Microsoft vient d’annoncer la disponibilité générale de Microsoft Azure Sentinel. Pour rappel Azure Sentinel est une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel, une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.

Azure Sentinel propose un modèle de coût basé sur ce que vous consommez. Ainsi, vous payez au GB ingéré et analysé par le service. Le prix sur la région West Europe est de 2,20€/GB. Vous pouvez obtenir des prix dégressifs en faisant appel à des réservations. Vous pouvez obtenir plus de détails sur le calculateur de prix.

Microsoft propose un WebCast sur Azure Sentinel le 26 septembre de 20h à 21h (heure française).

Plus d’informations sur : https://www.microsoft.com/security/blog/2019/09/24/azure-sentinel-cloud-native-siem-empowers-defenders-generally-available/

Essayez gratuitement Azure Sentinel

Microsoft a publié une nouvelle version (2.2.21.0) du client Unified Labeling d’Azure Information Protection. Cette version apporte les éléments suivants :

• Lorsque vous utilisez le paramètre avancé OutlookDefaultLabel pour définir un label par défaut différent pour Outlook, et que le label que vous spécifiez n'a pas de sous-label pour la stratégie de labelisation, le label est correctement appliqué.
• Lorsque le client Azure Information Protection est utilisé dans une application Office, un utilisateur possédant un compte Active Directory qui n'est pas configuré avec du SSO est invité à s'authentifier pour Azure Information Protection. Une fois l'authentification réussie, le statut du client passe correctement en ligne, ce qui permet la fonctionnalité de labelisation.

Le client Unified Labeling couvre pour l’instant les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

Plus d’informations sur la version du client AIP Unified Labeling

Cette version est disponible aussi dans le catalogue Microsoft Update.

Télécharger Azure Information Protection unified labeling client

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Pour l’arrivée d’iPadOS, vous devez revoir vos éventuelles stratégies d’accès conditionnelle.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Général] Le portail de l'entreprise est en cours de mise à jour. Vous pourrez utiliser plusieurs filtres sur la page Apps du Portail d'entreprise. La page Détails du périphérique est également en cours de mise à jour afin d'améliorer l'expérience de l'utilisateur.
• [Android] Les nouveaux tenants (les tenants existants ne sont pas impactés) auront Android Enterprise activé par défaut en lieu et place d’Android Device Administrator (Legacy). Cette configuration peut être réactivée en allant dans : Intune > Device enrollment > Android enrollment > Personal and corporate-owned devices with device administration privileges > Use device administrator to manage devices.
• [Android Enterprise] Mise à jour de l’application Microsoft Intune pour Android Enterprise Fully Managed (COBO) afin d’inclure :
  • Mise à jour et amélioration de la mise en page pour inclure la navigation en bas pour les actions les plus importantes.
  • Ajout d'une page supplémentaire qui affiche le profil de l'utilisateur.
  • Ajout de l'affichage des notifications dans l'application, telles que la nécessité de mettre à jour les paramètres de l'appareil.
  • Ajout de l'affichage des notifications poussées personnalisées, alignant l'application avec le support récemment ajouté dans l'application Portail d'entreprise pour iOS et Android.
• [iOS/macOS} Vous pouvez maintenant voir une liste des périphériques Apple Automated Device Enrollment Program (DEP) qui sont associés à un profil en naviguant dans Intune > Device enrollment > Apple enrollment > Enrollment program tokens > choisir un token > Profiles > choisir un profil > Assigned devices (sous Monitor).

• [iOS] Vous pouvez personnaliser l’écran de confidentialité lors du processus d’enregistrement dans le portail d’entreprise. Plus précisément, vous pourrez personnaliser la liste des éléments que votre entreprise ne peut pas voir ou faire sur l'appareil.  

Gestion du périphérique

• [Général] Vous pouvez maintenant sélectionner un seul périphérique, puis utiliser une action de périphérique distant pour envoyer une notification personnalisée uniquement à ce périphérique.

• [iOS] Microsoft Intune supporte iOS 13.
• [macOS] Microsoft Intune supporte macOS 10.15.
• [Android Enterprise] Disponibilité Générale de la gestion des périphériques Android Enterprise dans un mode Fully Managed (COBO).
• [Android Enterprise] Comme pour le mode Work Profile, Le déploiement des certificats SCEP est supporté pour les périphériques Android Enterprise Fully Managed (COBO). Ces profils peuvent être utilisés pour l’authentification via des profils Wi-Fi, VPN, Email.

• [Android Enterprise] Il est maintenant possible de choisir les applications systèmes activées pour les périphériques Android Enterprise Fully Managed (COBO). Ceci peut être réalisé en naviguant dans Client apps > Apps > Add. Dans la liste des types d’application, selectionnez Android Enterprise system app.

• [Android Enterprise] Vous pouvez créer une stratégie de conformité qui comprend le niveau d’attestation Google SafetyNet pour les Android Enterprise Fully Managed (COBO).
• [Android Enterprise] Les fournisseurs Mobile Threat Defense (MTD) sont supportés par Android Enterprise Fully Managed (COBO). Ceci vous permet de spécifier le niveau de menaces accepté dans les stratégies de conformité.

• [Android Enterprise] L'application Microsoft Launcher peut maintenant être configurée via des stratégies de protection d'applications pour permettre une expérience utilisateur standardisée sur des périphériques Fully Managed. L'application Microsoft Launcher peut être utilisée pour personnaliser le périphérique Android.

• [iOS] Le mode User Enrollment est un nouveau type d'inscription pour les périphériques Apple. Dans ce mode, les actions à distance : Effacement (Wipe) et Réinitialiser du code PIN ne seront pas disponibles pour ces périphériques.

Configuration du périphérique

• [Général] Mise à jour de l’interface de configuration du connecteur Exchange On-Premises pour mettre tous les contrôles au même endroit.

• [Android Enterprise] Autoriser ou restreindre l'ajout de widgets applicatifs à l'écran d'accueil sur les périphériques Android Enterprise Work Profile. Ceci peut se faire en naviguant dans Device configuration > Profiles > Create profile > Android Enterprise comme plateforme > Work profile only > Device restrictions pour type de profile.

• [iOS/macOS] Device features, device restrictions, et extension profiles pour les paramètres iOS et macOS sont affichés par type d’enregistrement. On retrouve la séparation suivante :
  • iOS
    • User enrollment
    • Device enrollment
    • Automated device enrollment (supervised)
    • All enrollment types
  • macOS
    • User approved
    • Device enrollment
    • Automated device enrollment
    • All enrollment types

• [iOS/macOS] il y a de nouveaux paramètres Single Sign-On pour les périphériques iOS 13+ et macOS 15 (Device configuration > Profiles > Create profile > iOS ou macOS pour plateforme > Device features comme type de profile). Ces paramètres configurent le SSO, en particulier pour les applications et les sites Web qui utilisent l'authentification Kerberos. Vous pouvez choisir entre une extension d'application d'authentification unique générique et l'extension Kerberos intégrée d'Apple.

• [iOS] Vous pouvez créer des profils VPN pour le client VPN natif iOS en utilisant le protocole IKEv2. Ces profils VPN configurent le client VPN natif, de sorte qu'aucune application client VPN n'est installée ou poussée vers des périphériques gérés. Cette fonction nécessite que les périphériques soient enregistrés dans Intune (inscription MDM). Ceci peut se faire en naviguant dans Device configuration > Profiles > Create profile > iOS comme plateforme > VPN pour type de profile > Connection Type.

• [iOS] Nouveaux paramètres de commande vocale pour les périphériques iOS 13.x ou ultérieurs supervisés fonctionnant en mode kiosque.

• [iOS] Intune vous permet déjà de créer des stratégies pour afficher ou masquer les applications sur vos périphériques iOS supervisés dans Device configuration > Profiles > Create profile > iOS pour plateforme > Device restrictions comme type de profile > Show or hide apps. Vous pouviez entrer l'URL de l'App Store d'iTunes. Dans cette mise à jour, les applications et itunes peuvent être utilisées dans l'URL, par exemple :
  • https://itunes.apple.com/us/app/work-folders/id950878067?mt=8
  • https://apps.apple.com/us/app/work-folders/id950878067?mt=8
• [macOS] Associer des domaines aux applications sur macOS 10.15+ pour contrôler le partage des informations d'identification avec les sites Web liés à votre application et pour être utilisées avec l'extension de SSO, les liens universels et le remplissage automatique de mot de passe d'Apple. L’option est disponible dans Device configuration > Profiles > Create profile > macOS pour plateforme > Device features comme type de profile.

•  [Windows 10] Les valeurs du type de mot de passe de la stratégie de conformité de Windows 10 sont plus claires et correspondent à celles du CSP. Dans Device compliance > Policies > Create policy > Windows 10 and later pour plateforme > System Security.
  • Les valeurs du type de mot de passe sont plus claires et mises à jour pour correspondre au CSP DeviceLock/AlphanumericDevicePasswordRequired.
  • Le paramètre Expiration du mot de passe (jours) est mis à jour pour permettre des valeurs comprises entre 1 et 730 jours.

Gestion des applications

• [Android Enterprise] Intune permet maintenant de publier des applications métiers privées Android sur Google Play via un iframe intégré dans la console Microsoft Intune. Auparavant, les administrateurs devaient publier les applications métiers directement sur la console de publication Google Play. Cette nouvelle expérience permet de publier facilement des applications métiers avec un minimum d'étapes, sans avoir besoin de quitter la console Intune. Les administrateurs n’ont plus besoin de s'inscrire manuellement en tant que développeur auprès de Google et n’ont plus à payer les frais d'inscription Google de 25$. Tous les scénarios de gestion Android Enterprise qui utilisent Managed Google Play peuvent bénéficier de cette fonctionnalité (Work Profile, Dedicated Devices, Fully Managed et non enregistrés). Dans Microsoft Intune, naviguez dans Client apps > Apps > Ajouter. Ensuite, sélectionnez Managed Google Play dans la liste Type d'application.

• [Android Enterprise] Microsoft Intune permet d'ajouter et de gérer des liens Web directement dans la console Intune via l'iframe Managed Google Play. Cela permet aux administrateurs de soumettre une URL et une icône graphique, puis de déployer ces liens vers des périphériques comme les applications Android classiques. Tous les scénarios de gestion Android Enterprise qui utilisent Managed Google Play peuvent bénéficier de cette fonctionnalité (Work Profile, Dedicated Devices, Fully Managed et non enregistrés). Dans Microsoft Intune, naviguez dans Client apps > Apps > Ajouter. Ensuite, sélectionnez Managed Google Play dans la liste Type d'application.

• [Android Enterprise] Vous pouvez installer des applications métiers Android de manière silencieuse sur les périphériques Zebra, Sélectionnez Client apps > Apps > Ajouter. Dans le volet Ajouter une application, sélectionnez Application métier (Line-of-business app). Actuellement, une fois l'application métiée téléchargée, une notification de succès de téléchargement apparaît sur le périphérique de l'utilisateur. La notification ne peut être annulée qu'en appuyant sur Effacer tout. Ce problème de notification sera corrigé dans une prochaine version, et l'installation sera complètement silencieuse et sans indicateur visuel.
• [macOS] Support du déploiement de liens vers des applications Web sur macOS. Le lien est installé au Dock en utilisant le portail d’entreprise lorsque l’utilisateur clique sur Install.
• [macOS] Support des applications VPP pour macOS. Les applications qui ont été achetées avec Apple Business Manager sont affichées dans la console lorsque les tokens VPP sont synchronisés dans Intune. Vous pouvez attribuer, révoquer et réassigner des licences de péripéhriques et d'utilisateurs pour des groupes à l'aide du portail Intune. On retrouve un Reporting des informations de licence à partir de l'app store, et le suivi du nombre de licences que vous avez utilisées.
• [iOS] Le SDK Intune App pour iOS utilise des clés de chiffrement de 256 bits lorsque le chiffrement est activé par les stratégies de protection d'application. Toutes les applications devront disposer d'un SDK version 8.1.1 pour permettre le partage de données protégées.

Sécurité du périphérique

• [Windows 10] Support de la rotation de clé de restauration par le client pour BitLocker. Ce paramètre lance un rafraîchissement du mot de passe de récupération piloté par le client après la récupération d'un lecteur système (soit en utilisant bootmgr ou WinRE) et le déverrouillage du mot de passe de récupération sur un lecteur de données fixe. Ce paramètre rafraîchit le mot de passe de récupération spécifique qui a été utilisé et les autres mots de passe inutilisés sur le volume restent inchangés. Ce paramètre est disponible dans la catégorie Endpoint Protection pour les périphériques qui exécutent Windows 1909+.

• [Windows 10] Ajout du paramétrage Tamper Protection pour Windows Defender Antivirus. Vous pouvez définir la protection contre l'altération pour activer les restrictions de protection contre l'altération.

• [Windows 10] Disponibilité Générale des paramétrages de configuration du pare-feu Windows. Vous pouvez utiliser ces règles pour spécifier le comportement entrant et sortant des applications, des adresses réseau et des ports.

Dépannage

• [Général] L’interface utilisateur du tableau de bord Etat du tenant (Tenant Status) a été mis à jour afin d’être alignée sur les systèmes d’interface utilisateur d’Azure.

Autre

• [Général] Les applications peuvent appeler l'API Intune Graph API avec des opérations de lecture et d'écriture en utilisant l'identité de l'application sans les identifiants utilisateur.
• [Général] Les stratégies de conditions générales (Chartes/Terms of Use) supportent les balises d’étendue (Scope Tags).

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft a publié un article pour annoncer la nécessité de revoir vos paramètres si vous utilisez des stratégies d’accès conditionnel d’Azure Active Directory. En effet, Apple a annoncé l’arrivée d’iPadOS pour le 30 septembre 2019. Microsoft a découvert un problème pour les clients qui utilisent l’accès conditionnel. Les iPads qui se mettront à jour vers iOS 13+ se verront taggués comme iPadOS. Même si le système fonctionnera de la même manière, certaines applications fonctionneront différemment comme par exemple Safari. Safari se présentera comme étant macOS afin de s’assurer que les sites Internet renvoie une expérience de navigation de type bureau.

Vous comprenez maintenant que ce changement opéré par Apple, peut avoir un impact sur vos stratégies d’accès conditionnel si vous avez utiliser le système d’exploitation comme condition.

Ce changement affecte les applications qui utilisent l'accès conditionnel et qui s'identifient comme applications macOS au lieu des applications iOS. Vous devez donc revoir vos stratégies d'accès conditionnel en choisissant si vous souhaitez fournir une expérience d'application différente entre macOS et iOS. De plus, vous devez revoir les stratégies d'accès conditionnel qui utilisent les catégories d'applications affectées.

Le changement concerne les applications suivantes :

• L’accès aux applications Web via Safari
• L’accès aux Email via l’application native Apple Mail
• L’accès aux applications natives qui utilisent Safari View Controller

Dans ces cas, l'accès conditionnel Azure AD traite toute demande d'accès comme une demande d'accès macOS.

Il n’y a néanmoins aucun impact dans les scénarios suivants :

• Tous les accès aux applications natives Microsoft (telles que Outlook, Word ou Edge)
• L’accès aux applications Web à l'aide d'un autre navigateur que Safari (comme Chrome)
• Les applications qui utilisent l'outil d’encapsulation Intune App SDK/App ou les bibliothèques d'authentification iOS/Microsoft identity platform v2.0 ou v1.0.

Je vous invite donc chaudement à lire en détail l’article suivant et adaptez vos stratégies en conséquence  : Action Required: Evaluate and update Conditional Access policies in preparation for iPadOS launch

Si vous utilisez Chrome Bêta, Google a publié une nouvelle version le 19/09/2019 pour la Build 78. Cette version inclut un problème sur la façon dont les cookies sont traités qui aura un impact sévère sur de nombreuses applications et services, y compris les services Microsoft cloud. Ce changement empêche la connexion aux services par les utilisateurs et les sessions utilisateur sont laissées actives après la déconnexion.

Microsoft recommande de ne pas utiliser le navigateur Chrome en version Bêta pour l’accès aux services. Microsoft travaille pour adresser la situation avant la disponibilité générale.

Plus d’informations

Voilà une grande nouvelle annoncée par Microsoft qui va faciliter la vie des entreprises. La création d’un package MSIX comporte de nombreux avantages mais demande l’utilisation d’un certificat de signature de code pour assurer l’intégrité de l’application. Ce prérequis a pu freiner des entreprises (notamment petites structures). Microsoft vient d’annoncer qu’il va bientôt pouvoir être possible d’utiliser un tenant Azure Active Directory pour signer ses packages MSIX.

La fonctionnalité est proposée par l’outil de signature (Signtool) dans la version 18945 du SDK Windows Insider. Il vous faudra néanmoins deployer un certificat intermédiaire sur les machines ce qui peut être aisément réalisé par Microsoft Intune ou System Center Configuration Manager.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Plus d’informations sur : https://docs.microsoft.com/en-us/windows/msix/package/signing-package-device-guard-signing

Source : https://techcommunity.microsoft.com/t5/MSIX-Blog/Improvements-for-enterprises-signing-MSIX-packages-Insider/ba-p/772386

Microsoft a signalé un problème qui concerne iOS 12.2 ou ultérieur avec les chartes et conditions sur Microsoft Intune. Le problème fait suite à ces mises à jour d’iOS et concerne tous les fabricants MDM. Les périphériques gérés par MDM utilisant des applications VPP sous licence utilisateur, les utilisateurs ne pourront pas accepter ou annuler les chartes et conditions lors de leur premier accès à une application VPP. Ainsi, les installations d'applications qui nécessitent des chartes et conditions peuvent échouer, car elles n'obtiennent pas une réponse d'acceptation ou d'annulation de la part de l'utilisateur sur l'appareil.

Comme solution de contournement, Microsoft recommande l’usage de licence de périphérique lors du déploiement d'applications VPP au lieu d'une licence utilisateur. Les licences d'utilisation d'appareils ne sont pas soumises à des conditions générales.

Il semble qu’Apple ait corrigé le problème à partir d’iOS 13 Beta 5

Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Known-Issue-iOS-12-2-Terms-and-Conditions/ba-p/668980

J’avais loupé l’annonce, Microsoft a annoncé la version finale des baselines de paramétrages de sécurité pour Windows 10 1903 (19H1) et Windows Server 1903. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

Voici les différences avec la baseline pour Windows 10 1809 :

• Activation de la nouvelle stratégie "Enable svchost.exe mitigation options", qui renforce la sécurité des services Windows hébergés dans svchost.exe, y compris que tous les binaires chargés par svchost.exe doivent être signés par Microsoft, et que le code généré de façon dynamique est interdit. Veuillez porter une attention particulière à celui-ci car il pourrait causer des problèmes de compatibilité avec le code tiers qui tente d'utiliser le processus d'hébergement svchost.exe, y compris les plugins tiers pour cartes à puce.
• Configuration du nouveau paramètre de confidentialité de l'application, "Let Windows apps activate with voice while the system is locked", afin que les utilisateurs ne puissent pas interagir avec les applications utilisant la parole lorsque le système est verrouillé.
• Désactivation de la résolution des noms multicast (LLMNR) pour atténuer les menaces d'usurpation d'identité des serveurs.
• Restriction du NetBT NodeType au nœud P, en interdisant l'utilisation de la diffusion pour enregistrer ou résoudre des noms, également pour atténuer les menaces d'usurpation de serveur.
• Correction d'un oubli dans la baseline du contrôleur de domaine en ajoutant les paramètres d'audit recommandés pour le service d'authentification Kerberos.
• Abandon des stratégies d'expiration des mots de passe qui nécessitent des changements périodiques de mots de passe. Concernant plus de détails sur les motivations pour cet abandon, je vous invite à lire l’article oirginal.
• Suppression de la méthode de chiffrement spécifique du lecteur BitLocker et des paramètres de l’algorithme de chiffrement. Pour plusieurs raisons, le chiffrement par défaut est de 128 bits, et les experts en cryptographie de Microsoft disent qu'il n'y a aucun danger connu qu'il soit cassé dans un avenir prévisible. Sur certains matériels, il peut y avoir une dégradation notable des performances allant de 128 à 256 bits. Enfin, de nombreux périphériques tels que ceux des Microsoft Surface activent BitLocker par défaut et utilisent les algorithmes par défaut. La conversion en 256 bits nécessite d'abord de déchiffrer les volumes, puis de les rechiffrer, ce qui crée une exposition temporaire à la sécurité ainsi qu'un impact sur les utilisateurs.
• Arrêt des paramétrages de l'explorateur de fichiers "Turn off Data Execution Prevention for Explorer" et "Turn off heap termination on corruption", car il s'avère qu'ils ne font que renforcer le comportement par défaut.

Plus d’informations sur l’article suivant : https://techcommunity.microsoft.com/t5/Microsoft-Security-Baselines/Security-baseline-FINAL-for-Windows-10-v1903-and-Windows-Server/ba-p/701084

Télécharger Microsoft Security Compliance Toolkit 1.0

Microsoft a publié un très bon livre blanc pour apprendre comment protéger des périphériques déconnectés en utilisant Windows et les technologies de sécurité Microsoft. En effet, la stratégie de Microsoft est plutôt de fournir des services intelligents et connectés au Cloud (comme Microsoft Defender ATP, etc.) mais ce livre blanc donne une ligne directrice à suivre.

On retrouve par exemple les technologies de protection suivantes :

Lire Windows security on disconnected devices whitepaper

Microsoft a publié un billet concernant un problème connu avec Windows 10 1809 lors de l’utilisation de Windows Autopilot et de l’option pour nommer les machines selon une convention de nommage.

Ce paramétrage se situe au niveau du profil de déploiement Windows Autopilot et permet de spécifier un nom allant jusqu’à 15 caractères.

Si vous utilisez la variable %RAND:x% permettant de créer une valeur aléatoire, vous devez vous assurer que le nom ne fasse pas plus de 14 caractères sinon le nommage ne fonctionnera pas.

Microsoft travaille sur un correctif.

Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Known-issue-for-Windows-10-1809-when-using-Account-CSP-for/ba-p/737137

System Center Configuration Manager 1802 est sorti il y a 18 mois et cette version atteint sa fin de support pour le Dimanche 22 septembre 2019. Passé cette date, Microsoft ne fournira plus de correctifs de sécurité. Vous devez donc passer vers la dernière version en date.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates#bkmk_Baselines

Microsoft vient de publier un outil graphique de diagnostic pour Windows Virtual Desktop. Ce dernier vient compléter les cmdlets PowerShell qui étaient disponibles mais parfois difficiles à appréhender.

Cet outil a les capacités suivantes :

• Consulter les activités de diagnostic (gestion, connexion ou feed) pour un seul utilisateur sur une période d'une semaine.
• Rassembler des informations sur l'hôte de session pour les activités de connexion à partir de votre workspace Log Analytics.
• Passer en revue les détails de performance de la machine virtuelle (VM) pour un hôte particulier.
• Voir quels utilisateurs sont connectés à l'hôte de session.
• Envoyer un message aux utilisateurs actifs d'un hôte de session spécifique.
• Déconnectez les utilisateurs d'un hôte de session.

L’outil requiert les prérequis suivants :

• Les permissions suivantes :
  • Propriétaire de l’abonnement Azure
  • Permission de créer des ressources dans l’abonnement Azure
  • Permission de créer des applications Azure aD
  • Les droits de Contributeur ou Propriétaire RDS
• Les modules PowerShell suivants :
  • Azure PowerShell module
  • Azure AD module

Plus d’information sur le déploiement de l’outil de diagnostic

Microsoft a étendu la date de fin de support

A partir du 1^er décembre, l’application mobile Adobe Acrobat Reader for Intune atteindra la fin du support et ne sera plus supportée par les stratégies de protection des applications (APP) de Microsoft Intune. En lieu et place, Microsoft recommande l’utilisation de l’application Acrobat Reader dans les stratégies puisque cette application s’est pleinement intégrée avec le SDK Intune.

Si vous aviez déjà des stratégies ciblant Adobe Acrobat Reader for Intune, vous remarquerez qu'elles sont maintenant ciblées sur 'Acrobat Reader'. Microsoft a fait ce changement au niveau du backend pour vous. D'ici le 1er décembre 2019, vous ne pourrez plus cibler Adobe Acrobat Reader for Intune, et les utilisateurs finaux ne recevront plus la stratégie de protection des applications pour cette application particulière sur les périphériques.

Si vous êtes dans ce cas, vous devez vous assurer de ne plus déployer Adobe Acrobat Reader for Intune mais de privilégier Acrobat Reader en lieu et place.

Plus d’informations sur : https://helpx.adobe.com/acrobat/kb/intune-app-end-of-life.html  

Après le SDK Microsoft Information Protection, Adobe intègre les capacités de protection applicative (MAM/APP) portée par Microsoft Intune directement dans ses applications par défaut. C’est une belle victoire pour Microsoft puisqu’Adobe Reader n’est maintenant gérable qu’avec les stratégies de protection applicative (APP/MAM) de Microsoft Intune.

L’utilisateur reçoit des stratégies de protection lorsqu’il se connecte avec ses identifiants d’entreprise à Adobe Reader. Pour ce faire, vous devez utiliser les versions :

• Google Play Store for Android—version 19.6 and above.
• Apple app store for iOS—version 07.00 and above.

Ainsi Adobe va retirer l’application dédiée : Adobe Acrobat Reader for Intune et l’application courante est intégrée nativement à Microsoft Intune.

Plus d’informations sur : Adobe Acrobat chooses Microsoft 365 for built-in app protection

Mise à jour Janvier 2020 : Microsoft confirme que les équipes Active Directory et Windows continuent de travailler à la correction du problème.

Microsoft Intune propose une fonction permettant de renommer les périphériques Windows 10 directement depuis la console d’administration de Microsoft Intune. L’équipe Microsoft Intune travaille sur le problème depuis plusieurs mois pour corriger le problème.

La fonction peut ne pas être opérationnelle dans l’un des scénarios suivants :

• Machines jointes à Active Directory
• Machines en mode Hybrid Azure AD Join
• Machines jointes à Azure Active Directory avec du Co-Management System Center Configuration Manager

Lors du renommage, le nom peut ne pas être reflété dans Active Directory rengendrant des problématiques d’ouverture de session ou des erreurs de Single Sign-On.

La fonction de renommage a été désactivée pour ces scénarios de jointure.

Note : la fonction est toujours disponible pour des machines jointes à Azure AD et géré par Microsoft Intune uniquement.

Source : Known issue with “Rename device” setting for Windows 10 devices in the Intune console

Si vous avez été confronté au déploiement du client Office 365, vous avez peut-être fait face à une limitation qui vient d’être levé. Par exemple, si vous souhaitiez déployer le client Office 365 avec des scénarios comme suit :

• Ne pas installer certains composants (Skype for Business, Teams, Access) pour éventuellement les installer par la suite sur demande ou parce que vous souhaitez ouvrir ces services
• Désinstaller certains composants (Skype for Business au profit de Teams)

Dans ces cas de figure, la configuration du fichier xml (Config.xml) avec les actions adéquates et l’exécution (Setup.exe /configure) avait pour impact de relancer l’installation d’Office 365 ProPlus et de potentiellement mettre à jour la version en cours d’utilisation (par exemple 1803) avec la dernière version disponible (Par exemple 1808).

Avec la dernière version (16.0.11615.33602) des outils de déploiement Office (ODT), Microsoft a introduit une propriété (MatchInstalled) à utiliser dans les configurations XML pour conserver la version d’origine. Elle doit être utilisée en lieu et place du numéro de version qui pouvait être spécifié.

Vous devez donc :

• Utiliser l’Office Deployment Tool 16.0.11615.33602 ou ultérieure
• Utiliser MatchInstalled avec la propriété Version pour une installation existante. Si une nouvelle installation d’Office est déroulée alors la propriété est ignorée et la détection normale intervient.
• Si vous n’utilisez pas l’Office CDN comme source d’installation, vous devez avoir les fichiers d’installation correspondant dans le chemin spécifié.

Par exemple pour installer Project :

<Configuration>

  <Add Version="MatchInstalled">

   <Product ID="ProjectProRetail">

   <Language ID="MatchInstalled" TargetProduct="All" />

   </Product>

  </Add>

 </Configuration>

Pour installer un pack de langues :

<Configuration>

  <Add Version="MatchInstalled">

   <Product ID="LanguagePack">

    <Language ID="fr-fr"/>

   </Product>

  </Add>

 </Configuration>

Voici un article qui explique comment créer des packages le plus dynamiques possibles dans ce scénario : Building dynamic, lean & universal packages for Office 365 ProPlus

Source : https://techcommunity.microsoft.com/t5/Office-365-Blog/New-feature-Make-changes-to-Office-deployments-without-changing/ba-p/816482

Si vous utilisez Windows Update for Business pour mettre à jour vos machines Windows 10 Pro, il existe une petite subtilité pour ne pas que les machines se retrouvent bloquer sur une version non supportée de Windows 10. En effet, vous devez déterminer le nombre de jours entre la date de publication de la prochaine version et la date de fin de service de la version que vous utilisez actuellement.

Par exemple pour Windows 10 1709, il y avait 273 jours entre la date de publication de Windows 10 1803 (10 juillet 2018) et la date de fin de support de Windows 10 1709 (9 Avril 2019). Si vous configurez vos stratégies Windows Update for Business au-delà de 274 jours, les machines resteront sur Windows 10 1709 après la date du 9 avril 2019. Microsoft ne supportant plus cette version, les machines ne se verront plus proposer de mises à jour cumulatives de sécurité après cette date.

Normalement cet écart de jour devrait s’approcher des 365 jours disponibles via les stratégies Windows Update for Business. Néanmoins, comme Microsoft ne s’engage pas sur une date de publication précise pour une version de Windows 10. Il se peut que le scénario se retrouve dans le temps.

Microsoft recommande de ne pas dépasser 180 jours de période d’ajournement si vous utilisez Windows 10 Pro afin de ne pas se retrouver sans support.

Voici un billet très intéressant de Nandan Sheth (MSFT) qui explique comment installer un composant exclu initialement lors de l’installation d’Office 365 ProPlus que vous souhaiteriez proposer à l’utilisateur après coup. On retrouve différents cas :

• Mettre à disposition Access ; les entreprises ont tendance à l’exclure mais il se peut qu’une petite population souhaite l’utiliser
• Mettre à disposition Teams ; certaines entreprises ont pu choisir de l’exclure du déploiement car elles n’étaient pas prêtes à son intégration dans le système d’information.
• Plus rare, mettre à disposition OneDrive sur Windows 7 ; ce dernier ayant été exclu du déploiement initial.

Normalement, vous auriez reconstruit votre fichier XML et relancez l’installation d’Office 365 ProPlus avec le paramètre /configure. Néanmoins, l’installeur continue d’utiliser une clé de registre qui a été déposé à l’installation. Ceci permet au processus de garder un état équivalent lors des mises à niveau du client Office 365 ProPlus.

Dans le cas de cette procédure, il suffit de réécrire cette clé de registre avec les applications que vous souhaitez exclure :
Par exemple pour exclure l’ancien client OneDrive (Groove), Lync et OneDrive (New Generation) :
reg.exe add HKLM\SOFTWARE\Microsoft\Office\ClickToRun\Configuration /v O365ProPlusRetail.ExcludedApps /d REG_SZ /v groove,lync,onedrive /f

Notez que si vous utilisez Office 365 Business, vous devez mettre à jour le nom de la valeur en conséquence.

Je "pense" même (je n’ai pas personnellement testé ce cas) que vous pouvez modifier la clé et à la prochaine mise à jour d’Office 365, le produit apparaîtra sur la machine de l’utilisateur.

Plus d’informations sur : Office 365 ProPlus - How To: Add previously excluded components

Certains clients reviennent vers moi concernant les canaux de déploiement de Windows 10. Or depuis Windows 10 1903, Microsoft a supprimé la notion de Semi-Annual Channel Targeted (SAC-T ou anciennement Current Branch) ainsi que Semi-Annual Channel (SAC ou anciennement Current Branch for Business). Cette suppression fait suite à plusieurs erreurs de communication qui ont mené à une incompréhension du concept par les entreprises. En réalité, ces deux éléments ne représentaient que « l’état de maturité » d’une version de Windows 10. Ce n’était en aucun cas deux versions distincts.

Ainsi cette suppression a un impact sur vos outils de déploiement et vos habitudes.

Si vous gérez vos mises à niveau de Windows 10 avec System Center Configuration Manager ou Windows Server Update Services (WSUS), alors vous ne verrez plus qu’une seule mise à jour de fonctionnalités publiée. Cette mise à jour de fonctionnalité sera republiée au fur et à mesure de la maturité de la version. Les plans de maintenance doivent être mis à jour en conséquence.

Si vous utilisez Windows Update for Business (WUfB) pour mettre à niveau vos machines Windows 10, vous aviez auparavant deux paramétrages pour gérer vos déploiements :

• La branche de déploiement (Semi Annual Channel Targeted ou Semi Annual Channel)
• La période d’ajournement (Deferral period) spécifiant le nombre de jours à attendre après que la date de publication correspondante à la branche

Avec Windows 10 1903, la notion de branches ayant été supprimée, l’administrateur n’a qu’à configurer toutes les machines avec la branche Semi- Annual Channel et le nombre de jours correspondant à la période d’ajournement souhaité. La période d’ajournement sera toujours basée sur la date de publication de la version de Windows 10 concernée. Ainsi, si vous avez plusieurs vagues de déploiement, vous n’avez qu’à gérer ceci en fonction de la période d’ajournement.

Ces changements vous demandent donc d’adapter vos paramètres Windows Update for Business et notamment la période d’ajournement (dans Microsoft Intune par exemple)

Michael NIehaus a publié un billet pour décrire les permissions nécessaires à la création d’un rôle RBAC dans Microsoft Intune pour la gestion de Windows Autopilot.

Voici les permissions :

• Enrollment programs : Create device, delete device, read device, sync device, assign profile, create profile, delete profile, read profile, update profile.
• Audit Data : Read
• Organization : Read