Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

[SCCM/Intune] Changement sur la sécurité des stratégies de conformité avec accès conditionnel – ACTIONS NECESSAIRES

Mise à jour en date du 17-02-18.

L’équipe du support Microsoft Intune a publié un article sur son blog à propos de l’introduction de changements sur les stratégies de conformité utilisées avec l’Accès conditionnel. Ceux-ci impliquent des actions pour éviter que les utilisateurs perdent l’accès aux emails.

Jusqu’à maintenant, les périphériques sans stratégie de conformité étaient considérés comme conformes. A partir de fin novembre, Microsoft change ce design et les postes sans stratégie de conformité, seront considérés comme non conformes. Ainsi, l’accès conditionnel bloquera l’accès aux services (comme les emails).

Microsoft lance un rapport “Devices without compliance policy” permettant d’identifier ces machines dans votre environnement. Vous devez ensuite leur assigner une stratégie de conformité sans contraintes avant mi-novembre. Vous aurez aussi la possibilité d’assigner une stratégie de conformité à l’ensemble des utilisateurs (All Users).

Le rapport est disponible sur le portail Azure dans Intune – Device Compliance. Vous pouvez voir le nombre depuis la partie Overview et voir le détail en cliquant dessus.

Si vous utilisez Configuration Manager dans un mode hybride couplé à Microsoft Intune, le changement s’applique aussi et l’équipe donne des requêtes SQL permettant d’identifiant les postes en question :

SELECT UMR.UniqueUserName AS UserName, CDR.Name AS DeviceName, CDR.DeviceOS, CDR.SiteCode, CDR.LastActiveTime, CDR.ManagementAuthority, CDR.SMSID, CDR.SerialNumber, CDR.IMEI

FROM vSMS_CombinedDeviceResources CDR LEFT JOIN v_UserMachineRelationship UMR ON CDR.MachineID = UMR.MachineResourceID

WHERE CDR.ClientType = 3 AND CDR.ArchitectureKey = 5 AND CDR.MachineID NOT IN

(SELECT DISTINCT MachineResourceID FROM v_UserMachineRelationship WHERE UniqueUserName IN (SELECT DISTINCT SMSID FROM vCollectionMembers WHERE CollectionID IN (SELECT DISTINCT TargetCollectionID FROM vCI_CIAssignments WHERE AssignmentType = 8)))

Vous pouvez ensuite créer une stratégie de conformité sans contraintes qui cible la collection All Users.

Si vous utilisez le MDM pour Office 365, le changement s’applique aussi. C’est notamment le cas si vous utilisiez l’option  “Allow access even if the device does not meet the requirements of the policy”. Vous devez identifier les utilisateurs impactés et créer une stratégie sans contraintes qui cible “all existing users who have a policy targeted” en sélectionnant “Block access and report violation”.

Plus d’informations sur : https://blogs.technet.microsoft.com/intunesupport/2017/10/11/upcoming-security-enhancements-in-the-intune-service-your-action-is-required/

Facebook Like
Anonymous