Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Général

Enregistrement des périphériques

Gestion du périphérique

  • [Général] Changement du point de terminaison principal de Remote Help de https://remoteassistance.support.services.microsoft.com à https://remotehelp.microsoft.com.
  • [Windows] Sur Remote Help toujours, résolution de plusieurs bugs dans la version 5.1.1214.0, y compris un problème avec l'accès conditionnel. Si un tenant avait une stratégie de conditions d'utilisation activée pour Office 365, Remote Help ne savait pas comment répondre et présentait à la place un message d'erreur d'authentification à l'utilisateur.
  • [Windows] Sur Remote Help, Microsoft a activé un raccourci pour ouvrir les menus contextuels avec le raccourci clavier "Alt + Espace".
  • [Windows 11] Vous pouvez maintenant déployer ou expédier des mises à jour non relatives à la sécurité incluant les mises à jour hors cycle (OOBs) avec les profils de mises à jour de qualité sur les machines Windows 11+. Les périphériques doivent avoir la mise à jour KB4023057 - Update for Windows 10 Update Service components.

  • [Windows] Microsoft introduit une action à distance pour mettre en pause l'intervalle d'exécution du rafraîchissement de la configuration (Config Refresh). Si un administrateur a besoin d'apporter des modifications ou d'exécuter une remédiation sur un appareil à des fins de dépannage ou de maintenance, il peut demander une pause à Intune pour une période donnée. À l'expiration de cette période, les paramètres seront à nouveau appliqués. Pour rappel, Config Refresh permet de définir une cadence pour les périphériques Windows afin de réappliquer les paramètres de stratégie précédemment reçus, sans qu'il soit nécessaire que les appareils se connectent à Intune. L'appareil rejouera et renforcera les paramètres basés sur la politique précédemment reçue afin de minimiser les risques de dérive de configuration.

Configuration du périphérique

  • [Général] Vous pouvez filtrer vos filtres d'affectation existants par plate-forme et par type de filtre Applications gérées ou Périphériques gérés. Lorsque vous avez de nombreux filtres, cette fonction facilite la recherche des filtres spécifiques que vous avez créés.

  • [Windows] Des nouveaux paramétrages sont disponibles pour gérer le cas du téléchargement sur les serveurs de cache Delivery Optimization (Microsoft Connected Cache) lorsque l’utilisateur est en VPN. Vous pouvez activer le paramétrage et ensuite définir des mots clés à utiliser pour détecter lorsque la machine est connectée en VPN. La version minimale de Windows est Windows 11 22H2 avec la mise à jour de septembre 2023 (10.0.22621.2361).

  • [Windows] Des nouveaux paramétrages spécifiant les conditions d’analyse des fichiers archive par Microsoft Defender Antivirus ont fait leur apparition incluant :

  • [Windows] Un paramétrage définit l’agressivité de la protection par chiffrement à distance de Defender. Ce paramétrage permet de bloquer une adresse IP selon des critères de confiance.
  • [Windows] De multiples paramétrages pour Defender Antivirus sont apparus pour :
    • Prendre en compte les exclusions dans les analyses rapides
    • Activer le délestage de segmentation Udp
    • Activer la décharge de réception Udp
    • Désactiver la télémétrie du service Core
    • Gérer le mode de réputation de la protection réseau
    • Programmer la journée et l’heure de mise à jour Security Intelligence
  • [iOS/iPadOS] De nouveaux paramétrages sont disponibles avec notamment :
    • Declarative Device Management (DDM) > Passcode:
      • Maximum Passcode Age In Days
      • Minimum Complex Characters
      • Require Alphanumeric Passcode
    • Restrictions: Allow Marketplace App Installation

  • [macOS] De nouveaux paramétrages sont disponibles avec notamment :
    • Declarative Device Management (DDM) > Passcode:
      • Change At Next Auth
      • Custom Regex
      • Failed Attempts Reset In Minutes
      • Maximum Passcode Age In Days
      • Minimum Complex Characters
      • Require Alphanumeric Passcode
    • Full Disk Encryption > FileVault: Recovery Key Rotation In Months

Gestion des applications

  • [Général] Les applications protégées suivantes sont disponibles :
    • Cerby by Cerby, Inc.
    • OfficeMail Go by 9Folders, Inc.
    • DealCloud by Intapp, Inc.
    • Intapp 2.0 by Intapp, Inc.
  • [Android] Microsoft introduit de nouvelles capacités pour le mode Personally Owned with Work Profile pour :
    • Rendre les applications disponibles pour les groupes d'appareils via le Managed Google Play Store. Auparavant, les applications ne pouvaient être mises à la disposition que des groupes d'utilisateurs.
    • Configurer la priorité de mise à jour des applications sur les appareils dotés d'un profil professionnel.
    • Rendre les applications requises disponibles pour les utilisateurs via le Managed Google Play Store. Les applications qui font partie des stratégies existantes s'affichent désormais comme étant disponibles.
  • [Windows] Microsoft a ajouté le support des filtres d’assignation pour les stratégies MAM Windows et les stratégies de configuration des applications de Windows.

Sécurité du périphérique

  • [Général] Intune prend désormais en charge le formatage HTML dans les notifications par e-mail de non-conformité pour toutes les plateformes. Vous pouvez utiliser les balises HTML prises en charge pour ajouter un formatage tel que l'italique, les liens URL et les listes à puces aux messages de votre organisation.
  • [Général] Lorsque les prérequis sont remplies, vous avez désormais la possibilité d'utiliser un conteneur Podman sans racine pour héberger un serveur Microsoft Tunnel. Cette fonctionnalité est disponible lorsque vous utilisez Podman pour Red Hat Enterprise Linux (RHEL) version 8.8 ou ultérieure, pour héberger Microsoft Tunnel. Lors de l'utilisation d'un conteneur Podman sans racine, les services mstunnel s'exécutent sous un utilisateur de service non privilégié. Cette implémentation peut aider à limiter l'impact d'une fuite de conteneur. Pour utiliser un conteneur Podman sans racine, vous devez lancer le script d'installation du tunnel en utilisant une ligne de commande modifiée.
  • [Windows] Endpoint Privilege Management dispose d'un nouveau type d'élévation de fichier, Support Approved. Une élévation approuvée par le support offre une troisième option pour la réponse d'élévation par défaut et le type d'élévation pour chaque règle. Avec les élévations approuvées par le support, les utilisateurs peuvent demander l'autorisation d'élever une application qui n'est pas explicitement autorisée par les règles automatiques ou approuvées. Cela prend la forme d'une demande d'élévation qui doit être examinée par un administrateur Intune qui peut approuver ou refuser la demande d'élévation. Lorsque la demande est approuvée, les utilisateurs sont informés que l'application peut désormais être exécutée en tant qu'application élevée, et ils disposent de 24 heures à compter de l'approbation pour le faire avant que l'approbation d'élévation n'expire.

  • [Windows] Microsoft a publié une nouvelle security baseline pour Windows 23H2 afin d’aider à maintenir les meilleures pratiques de configuration pour les périphériques Windows. Cette ligne de base utilise la plateforme de paramètres unifiée vue dans les Settings Catalog qui présente une interface utilisateur et une expérience de reporting améliorées, des améliorations de cohérence et de précision liées au tatouage des paramètres, et la nouvelle capacité à prendre en charge les filtres d'affectation pour les profils.

  • [Windows] Un nouveau paramètre d'inscription à Windows Hello for Business, Enable enhanced sign in security, est disponible dans le portail Intune. Ce paramétrage empêche les utilisateurs malveillants d'accéder aux données biométriques d'un utilisateur par le biais de périphériques externes.

  • [Windows] Microsoft a amélioré et simplifié l'expérience et les détails des rapports pour l'intégration des appareils à Microsoft Defender lors de l'utilisation de stratégie Endpoint Detection & Response (EDR) d'Intune. Ces changements s'appliquent aux appareils Windows gérés par Intune et par le scénario tenant-attach. Ces améliorations comprennent des changements apportés au nœud EDR, aux tableaux de bord et aux rapports pour améliorer la visibilité des chiffres de déploiement de Defender EDR. On retrouve une nouvelle option de déploiement d'une stratégie EDR préconfigurée qui rationalise le déploiement de Defender for Endpoint sur les appareils Windows concernés et des modifications apportées à la page Overview du nœud Endpoint Security d'Intune.

  • [Android] Un nouveau paramètre de conformité appelé Check strong integrity using hardware-backed security features vous permet de vérifier l'intégrité de l'appareil à l'aide d'une attestation de clé adossée au matériel. Si vous configurez ce paramètre, l'attestation d'intégrité forte est ajoutée à l'évaluation du verdict d'intégrité de Google Play. Les appareils doivent respecter l'intégrité de l'appareil pour rester conformes. Microsoft Intune marque les appareils qui ne prennent pas en charge ce type de vérification de l'intégrité comme non conformes. Ce paramètre est disponible dans les profils pour Android Enterprise fully managed, dedicated, et corporate-owned work profile.
  • [Android] Vous pouvez désormais ajouter des exigences de conformité pour les mots de passe des profils de travail (Work Profile) sans avoir d'impact sur les mots de passe des appareils. Si le mot de passe d'un profil de travail ne répond pas aux exigences, le portail d'entreprise marque l'appareil comme non conforme. Les paramètres de conformité Intune sont prioritaires sur les paramètres respectifs d'un profil de configuration de périphérique Intune. Par exemple, si la complexité du mot de passe dans votre profil de conformité est définie sur moyenne et que celle de votre profil de configuration est définie sur élevée, Intune donnera la priorité et appliquera le paramètre de conformité. Tous les nouveaux paramètres de Microsoft Intune sont disponibles dans les profils de conformité pour les profils de travail Android Enterprise détenus personnellement sous System Security > Work Profile Security, et comprennent :
    • Require a password to unlock work profile
    • Number of days until password expires
    • Number of previous passwords to prevent reuse
    • Maximum minutes of inactivity before password is required
    • Password complexity
    • Required password type
    • Minimum password length

RBAC

  • [Général] À partir du 11 avril 2024, Microsoft met à jour les exigences relatives à la configuration des restrictions de plate-forme des appareils d'inscription. Les administrateurs devront disposer de l'autorisation de contrôle d'accès basé sur les rôles (RBAC) "Intune Service Administrator" pour mettre à jour cette stratégie.
  • [Général] Microsoft a mis à jour les permissions RBAC dans la zone Enrollment pour Windows Hello for Business. Les paramètres d'inscription liés à Windows Hello for Business sont en lecture seule pour tous les rôles, à l'exception d’Intune Service Administrator.

 

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Facebook Like