Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune. Comme vous pouvez le constater, les nouveautés sont limitées du fait des vacances de Noël mais ceci n’est peut-être que le calme avant la tempête. Par le passé, les mois qui ont suivi ont été très riches en annonces.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

  • [General] La tuile Troubleshoot permet de voir les restrictions d’enregistrement qui affecte chaque utilisateur en sélectionnant Enrollment restrictions depuis la liste Assignements.
  • [Android] Si votre entreprise utilise Android for Work, vous devrez approuver manuellement l'application du portail d'entreprise pour Android afin qu'elle continue à recevoir des mises à jour automatiques de la boutique Google Play.
  • [Android] Empêcher les utilisateurs finaux d'ajouter ou de supprimer manuellement des comptes dans le profil de travail (Work Profile). Lorsque vous déployez l'application Gmail dans un profil Android for Work, vous pouvez désormais empêcher les utilisateurs finaux d'ajouter ou de supprimer manuellement des comptes dans le profil de travail en utilisant le paramètre Add and remove accounts dans Android for Work Device restrictions profile.
  • [iOS] De nouvelles options pour l’authentification utilisateur lors de l’enregistrement en masse Apple. Il est maintenant possible d’authentifier le périphérique avec le portail d’entreprise pour le programme Apple Device Enrollment Program (DEP), Apple School Manager, Apple Configurator. Ceci ouvre la voix à l’authentification à facteurs multiples sans bloquer ces méthodes d’enregistrement. Cette nouvelle méthode permet aussi d’associer l’affinité périphérique utilisateur.
  • [iOS] Intune support maintenant plusieurs comptes Apple Device Enrollment Program (DEP) et Apple School Manager. La limite est fixée jusqu’à 100 tokens différents permettant d’associer des profils d’enregistrement par token et par compte. Après la migration vers ce nouveau modèle, l’API Graph en bêta permettant de gérer Apple DEP ou ASM ne seront plus fonctionnels.
  • [iOS] La page d’aperçu affiche des alertes pour les tokens expirés ou qui expireront prochainement.

Gestion des périphériques

  • [Général] Deux nouveaux paramétrages de vie privées sont disponibles :
    • Publish User Activities permet lorsqu’il est configuré à Block d’empêcher les expériences partagées et la découverte des ressources utilisées récemment.
    • Local activities only permet lorsqu’il est configuré à Block d’empêcher les expériences partagées et la découverte des ressources utilisées récemment basées uniquement sur les activités locales.
  • [macOS] L’administrateur peut envoyer une commande à distance d’effacement (Erase) pour les périphériques macOS. Cette commande ne peut être inversée et doit être utilisée avec précaution car elle supprime toutes les données, y compris le système d'exploitation, d'un périphérique. Il supprime également le périphérique de la gestion Intune. Aucun avertissement n'est donné à l'utilisateur et l'effacement se produit immédiatement après l'émission de la commande
  • [Windows 10] Des rapports affichant l’état de santé et des menaces pour Windows Defender. Vous pouvez ainsi voir les périphériques qui ont besoin de mettre à jour les signatures, de redémarrer, d’une intervention manuelle, d’une analyse complète et les autres états de l’agent demandant une intervention.
  • [Windows 10] Deux nouveaux paramétrages sont disponibles pour le navigateur Edge : Path to favorites file et Changes to Favorites.

Gestion des applications

  • [Général] Microsoft vient de modifier son processus de déploiement et d’assignement des applications via Microsoft Intune pour permettre d’offrir une option d’exclusion de groupes. Auparavant pour exclure un groupe, il fallait assigner l’application et marquer le type de déploiement comme étant non applicable (Not applicable). Cette option ne sera plus disponible et sera remplacée par la capacité de spécifier des groupes exclus (Excluded Group).
  • [Général] Vous pouvez maintenant créer des exceptions à la stratégie de transfert de données d'Intune Mobile Application Management (MAM) pour ouvrir des applications non gérées spécifiques. Ces applications doivent être connues de l'IT. Hormis les exceptions que vous créez, le transfert de données reste limité aux applications gérées par Intune lorsque votre stratégie de transfert de données est définie sur les applications gérées uniquement. Vous pouvez créer les restrictions en utilisant des protocoles (iOS) ou des paquets (Android).
  • [Général] Intune dans le portail Azure prend désormais en charge les ensembles de licences d'application connexes comme un seul élément d'application dans l'interface utilisateur. De plus, toutes les applications sous licence hors ligne synchronisées à partir de Microsoft Store for Business seront regroupées en une seule entrée d'application et tous les détails de déploiement des paquets individuels seront migrés vers l'entrée unique. Pour afficher les licences d'applications associées dans le portail Azure, sélectionnez Licences d'applications depuis la lame Applications mobiles.
  • [Windows 10] Support des applications hors ligne depuis le Microsoft Store for Business. Les applications hors ligne que vous avez achetées sur le Microsoft Store for Business sont maintenant synchronisées avec le portail Azure. Vous pouvez déployer ces applications dans des groupes de périphériques ou d'utilisateurs. Les applications hors ligne sont installées par Intune, et non pas par le store.
  • [Windows 10] Intune dispose maintenant d'une extension du mode d'apprentissage Windows Information Protection (WIP). En plus d'afficher des informations sur les applications compatibles WIP, vous pouvez afficher un résumé des périphériques qui ont partagé des données de travail avec les sites Web. Grâce à ces informations, vous pouvez déterminer quels sites Web doivent être ajoutés aux politiques WIP des groupes et des utilisateurs.
  • [Windows 10] Un paramètre de la stratégie Windows Information Protection (WIP) vous permet maintenant de contrôler si les données chiffrées WIP sont incluses dans les résultats de recherche Windows. Définissez cette option de stratégie de protection des applications en sélectionnant Allow Windows Search Indexer to search encrypted items dans les paramètres avancés de la stratégie Windows Information Protection. La stratégie de protection de l'application doit être définie sur la plate-forme Windows 10 et la stratégie d'application Enrollement state doit être définie sur With enrollment.
  • [Windows 10] Vous pouvez configurer une application MSI connue pour ignorer le processus de vérification de version. Cette capacité est utile pour éviter d'entrer dans une situation rare. Par exemple, ceci peut se produire lorsque l'application mise à jour automatiquement par le développeur de l'application est également mise à jour par Intune. Les deux pourraient essayer d'appliquer une version de l'application sur un client Windows, ce qui pourrait créer un conflit. Pour ces applications MSI mises à jour automatiquement, vous pouvez configurer le paramètre Ignore app version dans la tuile App Information. Lorsque ce paramètre passe à Oui, Microsoft Intune ignore la version de l'application installée sur le client Windows.
  • [iOS/Android] Un nouveau type de déploiement permet de déployer les applications Office 365 sur les périphériques iOS et Android. Ceci inclut Word, Excel, PowerPoint, et OneDrive.
  • [iOS] Vous pouvez révoquer des licences pour toutes les applications iOS VPP d’un token VPP donné.
  • [iOS] Pour un périphérique donné qui possède une ou plusieurs applications iOS Volume-Purchase Program (VPP), vous pouvez révoquer la licence d'application basée sur le périphérique associée. La révocation d'une licence d'application ne désinstalle pas l'application VPP correspondante à partir du périphérique. Pour désinstaller une application VPP, vous devez modifier l'action d'affectation à Uninstall.
  • [iOS] Les stratégies de protection des applications Intune prennent désormais en charge un paramètre qui contrôle FaceID sur les périphériques iOS. Ce paramètre concerne les périphériques qui prennent en charge la fonctionnalité FaceID (actuellement, seul l'iPhone X est pris en charge). Ce réglage est indépendant des commandes TouchID actuellement prises en charge. Les entreprises ont la possibilité de choisir de faire confiance ou non à FaceID en tant qu'invite PIN valide comme alternative aux contrôles TouchID.

Configuration des périphériques

  • [Général] Vous pouvez affecter une stratégie de configuration d'application à un groupe d'utilisateurs et de périphériques en combinant les affectations d'inclusion et d'exclusion. Les affectations peuvent être choisies soit comme une sélection personnalisée de groupes, soit comme un groupe virtuel. Un groupe virtuel peut inclure tous les utilisateurs, tous les périphériques ou tous les utilisateurs + tous les périphériques.
  • [Général] Lorsqu'un e-mail est envoyé pour signaler un périphérique non conforme, des détails sur le périphérique non conforme sont inclus.
  • [iOS/Android] Les solutions d’impression mobiles sans fil de PrinterOn permetteront aux utilisateurs d’imprimer depuis n’importe où à travers un réseau sécurisé. PrinterON s’intégrera avec le SDK Microsoft Intune App pour iOS et Android. Vous serez en mesure de cibler les stratégies de protection des applications sur cette application. Les utilisateurs finaux pourront télécharger l'application PrinterOn for Microsoft via le Play Store ou iTunes.
  • [Windows 10] Un paramètre de la stratégie de Windows Information Protection (WIP) vous permet maintenant de spécifier quelles extensions de fichier sont automatiquement chiffrées lors de la copie à partir d'un partage SMB à l'intérieur des limites de l'entreprise, comme défini dans la stratégie WIP.
  • [Windows 10] Vous pouvez créer une stratégie de mise à niveau de l'édition Windows 10 qui met à niveau les périphériques Windows 10 vers Windows 10 Education, Windows 10 Education N, Windows 10 Professional, Windows 10 Professional N, Windows 10 Professional Education et Windows 10 Professional Education N.
  • [Windows 10] Vous pouvez maintenant configurer à distance les paramètres du compte de ressources pour les Surface Hub. Le compte de ressources est utilisé par un Surface Hub pour s'authentifier sur Skype/Exchange afin qu'il puisse rejoindre une réunion. Vous voudrez créer un compte de ressources unique pour que le Surface Hub puisse apparaître dans la salle de conférence. Par exemple, un compte de ressources tel que la Conference Room B41/6233.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Facebook Like