Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.
Les fonctionnalités suivantes sont ajoutées :
Général
Pour aligner sur l'annonce de Microsoft Endpoint Manager à l’Ignite, Microsoft a changé l'URL du portail Microsoft Endpoint Manager (anciennement Microsoft 365 Device Management) en https://endpoint.microsoft.com. L'ancienne URL (https://devicemanagement.microsoft.com) continuera à fonctionner, mais Microsoft recommande de commencer à accéder au portail Microsoft Endpoint Manager en utilisant la nouvelle URL.
Enregistrement des périphériques
- [iOS/Android] Vous pouvez configurer si l’enregistrement des périphériques au portail d'entreprise sur les périphériques Android et iOS est disponible avec des invites, disponible sans invites, ou non disponible pour les utilisateurs. Pour trouver ces paramètres, naviguez dans le portail Microsoft Endpoint Manager et sélectionnez Tenant administration > Customization > Edit > Device enrollment. La prise en charge du paramètre d'inscription des périphériques nécessite que les utilisateurs finaux disposent de ces versions du portail de l'entreprise :
- Portail d'entreprise sur iOS : version 4.4 ou supérieure
- Portail d'entreprise sur Android : version 5.0.4715.0 ou supérieure.
- [Android] Microsoft a publié un workflow permettant de passer du mode Device Administrator vers Android Enterprise Work Profile. Ce nouveau paramètre de conformité est à destination des périphériques enregistrés en mode Device Administrator. Ce paramètre vous permet de rendre un périphérique non conforme s'il est géré en mode Device Administrator. Sur ces périphériques non conformes, sur la page Mettre à jour les paramètres de l'appareil, les utilisateurs verront le message "Move to new device management setup". S'ils appuient sur le bouton Résoudre, ils seront guidés avec les étapes suivantes :
- Désinscription du mode Device Administrator
- S'inscrire à la gestion Android Enterprise Work Profile
- Résoudre les problèmes de conformité
Google réduit le support du mode Device Administrator dans les nouvelles versions d'Android afin de passer à une gestion moderne avec Android Enterprise. Intune ne fournira un support complet au mode Device Administrator sous Android 10 et plus jusqu'au deuxième trimestre 2020. Les périphériques Android 10 ou + en mode Device Administrator (sauf Samsung) ne pourront pas être entièrement gérés après cette période.
- [iOS] Les utilisateurs peuvent désormais enregistrer leurs périphériques, trouver des applications et obtenir une assistance informatique en utilisant l'orientation d'écran de leur choix. L'application détectera et ajustera automatiquement les écrans pour qu'ils correspondent au mode portrait ou paysage, à moins que les utilisateurs ne verrouillent l'écran en mode portrait.
Gestion du périphérique
- [Windows 10] Preview : Vous pouvez changer l'utilisateur principal (Primary User) pour les périphériques hybrides Windows et Azure AD Joined. Pour ce faire, allez dans Intune > Devices > All devices > choisir un périphérique > Properties > Primary User. Une nouvelle autorisation RBAC (Managed Devices / Set primary user) a également été créée pour cette tâche. Cette autorisation a été ajoutée aux rôles intégrés, notamment Helpdesk Operator, School Administrator, et Endpoint Security Manager.
- [Android] Microsoft a ajouté un rapport au portail Microsoft Endpoint Manager dans la page d'aperçu des périphériques Android qui affiche le nombre de périphériques Android inscrits dans chaque solution de gestion des périphériques. Ce tableau (comme le même tableau déjà présent dans la console Azure) indique le nombre de périphériques Full Devices > Android > Overview.
Configuration du périphérique
- [General] Microsoft a mis à jour l'interface utilisateur pour la création de stratégies de conformité (Devices > Compliance policies > Policies > Create Policy) avec une nouvelle expérience suivant un processus de type assistant pour créer la politique de conformité.
- [General] Microsoft a mis à jour l'interface utilisateur pour la création des profils de configuration (Devices > Configuration profiles > Create profile) avec une nouvelle expérience suivant un processus de type assistant. Ceci s’applique aux profils suivants : Derived credential, Email, PKCS certificate, PKCS imported certificate, SCEP certificate, Trusted certificate, VPN, et Wi-Fi.
- [Général] Microsoft a une nouvelle action pour les périphériques non conformes que vous pouvez ajouter à n'importe quelle stratégie, pour retirer le périphérique non conforme. La nouvelle action, Retirer le périphérique non conforme, entraîne la suppression de toutes les données de l'entreprise sur le périphérique, et empêche également le périphérique d'être géré par Intune. Cette action s'exécute lorsque la valeur configurée en jours est atteinte et à ce moment-là, le périphérique devient éligible pour être retiré. La valeur minimale est de 30 jours. L'approbation explicite de l'administrateur sera nécessaire pour retirer les périphériques en utilisant la section Retire Non-compliant devices, où les administrateurs peuvent retirer tous les périphériques éligibles.
- [Windows 10] Sur la base des retours, Microsoft a reconstruit l'expérience du profil des modèles administratifs (Administrative Template) avec une vue par dossier. Cette vue se rapproche de l’expérience existante de la console GPMC. Microsoft n’a apporté aucune modification aux paramètres ou aux profils existants. Ainsi, les profils existants resteront les mêmes et seront utilisables dans la nouvelle vue. Il est toujours possible de naviguer dans toutes les options de paramétrage en sélectionnant All Settings et en utilisant la fonction de recherche. L'arborescence est divisée en deux parties : Configuration de l'ordinateur et Configuration de l'utilisateur. Vous trouverez les paramètres de Windows, Office et Edge dans leurs dossiers associés.
- [Android] Lorsque vous créez un profil pour les périphériques Android ou Android Enterprise, l'expérience le portail Endpoint Management est mise à jour. Ce changement a un impact sur les profils de configuration des périphériques suivants (Devices > Configuration Profiles > Create profile > Android device administrator ou Android Enterprise pour plateforme) :
- Device Restrictions: Android device administrator
- Device Restrictions: Android Enterprise device owner
- Device Restrictions : Android Enterprise work profile
- [Android Enterprise] Microsoft optimise l'inscription pour les périphériques Android Enterprise dédiés (Dedicated Devices) et facilite l'application des certificats SCEP associés au Wi-Fi pour les périphériques dédiés inscrits avant le 22 novembre 2019. Pour les nouveaux enregistrements, l'application Intune continuera à s'installer, mais les utilisateurs finaux n'auront plus besoin d'exécuter l'étape "Enable Intune Agent" lors de l'inscription. L'installation se fera automatiquement en arrière-plan et les certificats SCEP associés au Wi-Fi peuvent être déployés et définis sans interaction de l'utilisateur final.
- [Android Enterprise] Sur les appareils Android Enterprise, il est possible désormais de supprimer des bundles et des bundle arrays à l'aide du Configuration designer dans Intune.
- [iOS/iPadOS/macOS] Amélioration de l'expérience de l'interface utilisateur lors de la création de profils de configuration sur les périphérique iOS/iPadOS et macOS. Ce changement a un impact sur les profils de configuration des périphériques suivants (Devices > Configuration Profiles > Create profile > iOS/iPadOS or macOS pour plateforme) :
- Custom: iOS/iPadOS, macOS
- Device features: iOS/iPadOS, macOS
- Device restrictions: iOS/iPadOS, macOS
- Endpoint protection: macOS
- Extensions: macOS
- Preference file: macOS
- [iOS/iPadOS] Il est possible de créer un profil VPN qui utilise une connexion IKEv2 (Devices > Configuration profiles > Create profile > iOS/iPadOS comme plateforme > VPN pour type de profil). Maintenant, il est possible de configurer une connexion IKEv2 permanente. Une fois configurés, les profils VPN IKEv2 se connectent automatiquement et restent connectés (ou se reconnectent rapidement) au VPN. Il reste connecté même lorsqu'il passe d'un réseau à l'autre ou les périphériques sont redémarrés. Sous iOS/iPadOS, le VPN Always ON est limité aux profils IKEv2.
- [iOS/iPadOS] L'équipe AD a créé une extension de redirection de l'application à connexion unique (SSO) pour permettre aux utilisateurs d'iOS/iPadOS 13.0+ d'accéder aux applications et sites web de Microsoft avec une seule connexion. Toutes les applications qui avaient auparavant négocié l'authentification avec l'application Microsoft Authenticator continueront à obtenir le SSO avec la nouvelle extension SSO. Avec la version de l'extension SSO d'Azure AD, vous pouvez configurer l'extension SSO avec le type d'extension SSO de redirection (Devices > Configuration profiles > Create profile > iOS/iPadOS pour plateforme > Device features comme type de profil > Single sign-on app extension).
- [iOS/iPadOS] Il est possible de créer un profil de restrictions de périphériques (Devices > Configuration profiles > Create profile > iOS/iPadOS pour plateforme > Device restrictions comme type de profile). Le paramètre de modification des paramètres de confiance de l'application Enterprise est supprimé par Apple, et est retiré d'Intune. Si vous utilisez actuellement ce paramètre dans un profil, il n'a aucune incidence et est supprimé des profils existants. Ce paramètre est également supprimé de tout rapport dans Intune.
- [iOS] Les profils Wi-Fi d'entreprise pour iOS prennent désormais en charge le champ de type de sécurité. Pour le type de sécurité, vous pouvez sélectionner soit WPA Enterprise, soit WPA/WPA2 Enterprise, puis spécifier une sélection pour le type EAP. (Devices > Configuration profiles > Create profile et séléctionnez iOS/iPadOS pour plateforme et Wi-Fi comme profil).
- [macOS] Vous pouvez ajouter et déployer des scripts sur les périphériques macOS. Ce support étend la capacité à configurer les périphériques macOS au-delà de ce qui est possible en utilisant les capacités natives MDM (sans Jamf Pro).
- [macOS] Lorsque vous créez un profil de configuration device features sur les périphériques macOS, il y a un nouveau paramètre de configuration Hide from user configuration (Devices > Configuration profiles > Create profile > macOS pour plateforme > Device features comme profil > Login items). Cette fonction permet de cocher la case "Masquer l'application" dans la liste des applications des éléments de connexion des utilisateurs et des groupes sur les périphériques macOS. Les profils existants montrent ce paramètre dans la liste comme étant non configuré. Pour configurer ce paramètre, les administrateurs peuvent mettre à jour les profils existants. Lorsque ce paramètre est défini sur Cacher, la case à cocher de l'application est cochée et les utilisateurs ne peuvent pas la modifier. L'application est également cachée aux utilisateurs après que ceux-ci se soient connectés à leur périphérique.
Gestion des applications
- [Général] L'icône de notification pour une stratégie MAM en attente sur la tuile de dépannage a été remplacée par une icône d'information.
- [Général] Microsoft a mis à jour le volet d'Intune qui s'appelait "Branding and customization" en y apportant des améliorations, notamment :
- Renommage du volet "Personnalisation".
- Amélioration de l'organisation et de la conception des paramètres.
- Amélioration du texte des paramètres et des infobulles.
- [Windows 10] Vous pouvez configurer l'agent Delivery Optimization pour télécharger le contenu des applications Win32 en arrière-plan ou en avant-plan selon l'affectation. Pour les applications Win32 existantes, le contenu continuera à être téléchargé en mode arrière-plan. Dans le portail Microsoft Endpoint Manager, sélectionnez Apps > All apps > sélectionnez l'application Win32 > Properties. Sélectionnez Edit à côté d’Assignments. Modifiez l'affectation en sélectionnant Include sous Mode dans la section Required. Vous trouverez le nouveau paramètre dans la section App settings.
- [iOS/macOS] Le volet Profil du portail d'entreprise macOS et iOS a été mis à jour pour inclure un bouton de déconnexion. En outre, des améliorations ont été apportées à l'interface utilisateur du volet "Profil" du portail d'entreprise macOS.
- [iOS] Les clips web nouvellement déployés (applications web épinglées) sur les appareils iOS qui doivent s'ouvrir dans un navigateur protégé, s'ouvriront dans Microsoft Edge plutôt que dans le navigateur Intune Managed Brownser. Vous devez recibler les clips web préexistants pour vous assurer qu'ils s'ouvrent dans Microsoft Edge plutôt que dans le Managed Browser.
- [macOS] Une nouvelle fonctionnalité permet aux utilisateurs de récupérer leur clé de récupération personnelle FileVault pour les périphériques mac chiffrés via l'application du portail d’entreprise Android ou via l'application Android Intune. L'application du portail d'entreprise et l'application Intune comportent toutes deux, un lien qui ouvre un navigateur Chrome vers le portail d'entreprise Web où l'utilisateur peut voir la clé de récupération FileVault nécessaire pour accéder à ses périphériques Mac.
- [Android] Microsoft Edge pour Android est désormais intégré à l'outil de diagnostic Intune. Comme pour Microsoft Edge pour iOS, il suffit d'entrer "about:intunehelp" dans la barre d'URL (la boîte d'adresse) de Microsoft Edge sur l'appareil pour lancer l'outil de diagnostic Intune. Cet outil fournira des journaux détaillés. Les utilisateurs peuvent être guidés pour collecter et envoyer ces journaux à l’administrateur, ou consulter les journaux MAM pour des applications spécifiques.
Supervision et Dépannage
- [Général] Le Data Warehouse fournit l'adresse MAC en tant que nouvelle propriété (EthernetMacAddress) dans l'entité du périphérique pour permettre aux administrateurs d'établir une corrélation entre l'adresse de l'utilisateur et celle du mac hôte. Cette propriété permet d'atteindre des utilisateurs spécifiques et de dépanner les incidents survenant sur le réseau. Les administrateurs peuvent également utiliser cette propriété dans les rapports Power BI afin de créer des rapports plus riches.
- [Général] Des propriétés supplémentaires d'inventaire des périphériques sont disponibles en utilisant le Data Warehouse. Les propriétés suivantes sont maintenant exposées via la collection périphérique :
- Modèle" - Le modèle de l'appareil.
- Office365Version" - La version d'Office 365 qui est installée sur l'appareil.
- PhysicalMemoryInBytes' - La mémoire physique en octets.
- TotalStorageSpaceInBytes - Capacité totale de stockage en octets.
- [Général] Microsoft a mis à jour la page d'aide et de support dans le portail Microsoft Endpoint Manager où vous pouvez maintenant choisir le type de gestion que vous utilisez parmi : Configuration Manager (inclut Desktop Analytics), Intune, CoManagement
Sécurité
- [Général] Preview d’un nouveau nœud Endpoint Security dans le portail Microsoft Endpoint Manager regroupant des stratégies. En tant qu'administrateur de la sécurité, vous pouvez utiliser ces nouvelles stratégies pour vous concentrer sur des aspects spécifiques de la sécurité des périphériques. À l'exception de la nouvelle politique antivirus pour Microsoft Defender Antivirus, les paramètres de chaque nouvelle politique et de chaque nouveau profil de prévisualisation sont les mêmes que ceux que vous pouvez déjà configurer par le biais des profils de configuration. Voici les nouveaux types de stratégies, ainsi que les types de profils disponibles : Antivirus (macOS, Windows 10), Windows Security experience (Windows 10), Disk Encryption (macOS : FileVault, Windows 10 : BitLocker), Firewall (macOS, Windows 10 : Microsoft Defender Firewall), Endpoint detection and response (Windows 10), Attack Surface Reduction (Windows 10), Account Protection (Windows 10)
Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new