Depuis plusieurs semaines, vous avez pu voir apparaître des stratégies d’accès conditionnel proposées par défaut dans Azure Active Directory. Actuellement en Preview, on retrouve notamment :

• Baseline policy: Require MFA for Admins
• Baseline policy: End user protection
• Baseline policy: Block legacy Authentication
• Baseline policy: Require MFA for Service Management

Je ne détaillerais pas chacune d’entre elle mais la première qui demande l’authentification à facteurs multiples pour les administrateurs, peut être dangereuse. Elle s’applique à tous les comptes qui disposent des rôles :

• Global Administrator
• SharePoint Administrator
• Exchange Administrator
• Conditional Access Administrator
• Security Administrator
• Helpdesk Administration/Password Administrator
• Billing Administrator
• User Administrator

La particularité de ces stratégies est qu’il n’est pas possible d’exclure des utilisateurs. Ainsi, elle s’applique à tous les utilisateurs ayant ces rôles. Ceci inclut : les comptes de service ou les comptes de secours (pour la reprise en main du tenant en cas de problème.

Je vous recommande d’être très précautionneux en activant cette stratégie et peut être créer votre stratégie qui vous permettra d’exclure certains comptes utilisateurs.

Microsoft vient d’annoncer un changement concernant la stratégie de mise à jour du client Microsoft Teams. Microsoft met à jour son client toutes les deux semaines sans pour autant impacter les utilisateurs qui ne réalisent pas correctement la mise à jour.

A partir de maintenant, Microsoft va devenir plus agressif par différents moyens :

• L’affichage d’une bannière incitant les utilisateurs à mettre à jour le client Teams s’il ne l’est pas
• Lorsque la version utilisée a plus de 3 mois, les utilisateurs arriveront sur une page bloquante proposant de mettre à jour le client maintenant, de contacter l’administrateur de l’entreprise, de continuer en utilisant Teams sur le Web.

Microsoft avertira les administrateurs par un message dans le Centre de Messages Office 365 si des utilisateurs rentrent dans un de ces deux scénarios.

Le client peut ne pas se mettre à jour automatiquement dans l’un des cas suivants :

• Logiciel antivirus (et autres applications) bloquant la mise à jour des équipes
• La lenteur ou la petite taille des liens réseau peuvent nécessiter des mises à jour manuelles/contrôlées.
• L’utilisateur lance le client Teams principalement pour les appels et les réunions - les mises à jour n’ont pas lieu pendant les appels et les réunions. Si l'utilisateur ferme Teams après des appels ou des réunions, le client ne peut pas se mettre à jour.
• Utilisation d’un chemin d'installation non standard : Ceci nécessite des mises à jour manuelles

Plus d’informations sur : Teams update process

Azure ATP étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.99 apporte des améliorations et des corrections de bugs sur les capteurs mais aussi l’ajout de notifications depuis l’interface utilisateur sur la chronologie d’alerte pour signaler la disponibilité du portail Cloud App Security.

• La version 2.98 apporte des améliorations et des corrections de bugs sur les capteurs mais aussi l’amélioration de l’alerte sur les attaques brutes forces suspectées avec l'utilisation d'analyses supplémentaires et d'une logique de détection améliorée pour réduire le nombre de résultats d'alertes bégnines True Positives (B-TP) et faux positifs (FP).

Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Microsoft annonce Azure Spring Cloud, un service complétement gérer pour déployer des microservices Spring Boot et Spring Cloud.
• Microsoft propose un livre blanc de l’International Data Corporation (IDC) démontrant les capacités de retour sur investissement (ROI) pour des clients qui doivent remplir des obligations légales, gouvernementales, de santé et financières.
• 113 services Microsoft Azure sont conformes pour leur capacité à traiter les informations officielles et protégées du gouvernement australien (PROTECTED). L’analyse a été réalisée par un programme Security Registered Assessor Program (IRAP).
• Microsoft publie un ebook sur confiance du Cloud afin d’aborder : Sécurité, Confidentialité, Conformité, Fiabilité et Résilience, et Propriété intellectuelle.
• SAP et Microsoft s’associent pour des offres de migration Cloud des solutions SAP sur Microsoft Azure.
• Mise à jour d’Azure Cost Management incluant :
  • Des nouveautés pour les partenaires en Novembre pour permettre de comprendre et analyser le coût directement dans le portail et séparer les coûts par clients, abonnements, etc. Ils pourront configurer un budget et être notifié ou lancer des actions quand le coût est dépassé. Ils pourront revoir les coûts sur les factures et activer la gestion des coûts en utilisant un taux pay-as-you go
  • Mise à jour du connecteur Power BI
  • Amélioration des recommandations utilisées pour bien dimensionner la taille des machines virtuelles.
  • Dans Cost Management Labs, on retrouve la une page d’accueil d’analyse du coût, une priorisation des comptes actifs et une optimisation des performances dans les tuiles de tableaux de bord et l’analyse de coût.

Azure Active Directory

• Les nouveautés d’Azure Active Directory en Octobre 2019.
• Arrivée de 16 nouveaux rôles dans Azure Active Directory permettant de gérer les droits d’accès aux différents services :
  • Authentication administrator : Affichez, définissez et réinitialisez les informations et les mots de passe des méthodes d'authentification pour tout utilisateur non administrateur.
  • Azure DevOps administrator : Gérer la politique et les paramètres d'organisation de DevOps Azure.
  • B2C user flow administrator : Créer et gérer tous les aspects des flux d'utilisateurs.
  • B2C user flow attribute administrator : Créez et gérez le schéma d'attributs disponible pour tous les flux utilisateur.
  • B2C IEF Keyset administrator : Gérer les secrets pour la fédération et le cryptage dans le cadre de l'Identity Experience Framework.
  • B2C IEF Policy administrator : Créer et gérer les politiques du cadre de confiance dans le cadre de l'expérience de l'identité.
  • Compliance data administrator : Créez et gérez des données et des alertes de conformité.
  • External Identity Provider administrator : Configurer les fournisseurs d'identité pour une utilisation en fédération directe.
  • Global reader : Affiche tout ce qu'un administrateur Global peut voir sans pouvoir modifier ou changer.
  • Kaizala administrator : Gérer les paramètres pour Microsoft Kaizala.
  • Message center privacy reader : Lisez les messages du centre de messagerie, les messages de confidentialité des données, les groupes, les domaines et les abonnements.
  • Password administrator : Réinitialiser les mots de passe pour les non-administrateurs et les administrateurs de mots de passe.
  • Privileged authentication administrator : Affichez, définissez et réinitialisez les informations de méthode d'authentification pour tout utilisateur (administrateur ou non administrateur).
  • Security operator : Crée et gère les événements de sécurité.
  • Search administrator : Créez et gérez tous les aspects des paramètres de recherche Microsoft.
  • Search editor : Créez et gérez le contenu éditorial tel que les signets, les questions et réponses, les emplacements, le plan d'étage.
• Disponibilité Générale des librairies d’authentification Microsoft (MSAL) pour Android, iOS et MacOS.

Azure Computer

• Une nouvelle option pour assurer la haute disponibilité de SQL Server avec des clusters failover SQL Server en utilisant les partages de fichiers Premium d’Azure. Les Premium File Shares sont des partages de fichiers à faible latence sur des disques SSD. Ces derniers peuvent être utilisé pour des cluster SQL Server 2012 hébergés sur Windows Server 2012 et plus.
• Disponibilité Générale des machines virtuelles de séries Mv2 avec 12TB de mémoire certifiées pour SAP HANA OLTP et OLAP.

Azure Network

• Vous pouvez utiliser Azure Standard Load Balancer dans Azure Kubernetes Services (AKS).

Azure Storage

• Disponibilité Générale de partages de fichiers standard plus larges et plus puissances pour Azure File Vous pouvez maintenant aller jusqu’à 100 TB, 10K IOPS et 300 MB/s de débit. Pour rappel, Azure Files est un stockage de fichiers Cloud sécurisé et entièrement géré avec une gamme complète d'options de redondance de données et de capacités hybrides utilisant Azure File Sync.
• Preview du chiffrement côté serveur avec des clés gérés par les clients pour les disques gérés Azure (Azure Managed Disks).
• Preview de l’upload direct vers les disques gérés Azure (Azure Managed Disks). Ceci permet la copie d’un disque VHD on-Premises directement comme un disque géré en l’uploadant sur des disques standard HDD, Standard SSD, et Premium SSD.
• Microsoft permet d’utiliser le chiffrement côté client pour chiffrer les données avant de les télécharger vers Azure Storage. Vous pouvez également demander à Azure Storage de gérer les opérations de chiffrement à l'aide du chiffrement côté serveur à l'aide de clés gérées par Microsoft ou de clés gérées par le client dans le coffre-fort Microsoft Azure Key. Aujourd'hui, Microsoft annonce l'amélioration du chiffrement côté serveur pour prendre en charge les paramètres de chiffrement granulaire sur le compte de stockage avec des clés hébergées dans n'importe quel magasin de clés.
• Disponibilité Générale des zones privées par Azure DNS.

Azure SQL

• Preview de l’intégration entre Azure SQL Data Warehouse/Azure SQL Database et Azure Data Share afin d’offrir le support du partage basé sur des snapshots.

Azure Key Vault

• Les références Key Vault peuvent être utilisées avec les applications App Service et Azure Functions sans demander de changement dans le code de l’application. La référence est définie dans les paramétrages de l’application pour faire référence à un secret géré dans Azure Key Vault.

Operations Management Suite (OMS)

• Nouvelle version de l’agent OMS Pour Linux (20119-10 ; 1.12.1-0). Cette version inclut une mise à jour de Ruby en version 2.6, le support de SSL 1.0.1+, l’amélioration de la télémétrie, le support de syslog unix domain socket et des corrections de bugs et de problèmes de performance.
• Azure Backup ajoute le support des disques gérés allant jusqu’à 32 TB et jusqu’à 256 TB pour tous les disques combinés d’une machine virtuelle.
• Les administrateurs ont maintenant une procédure hautement configurable pour les activités opérationnelle d’évaluation du failover. Cette expérience est pour l’instant disponible pour les machines virtuelles Azure protégées et le sera pour les machines physiques et VMware dans quelques temps.

Azure Monitor

• La rétention d’Azure Monitor Log Analytics est configuré par type de données avec un maximum de 730 jours.
• Application Insights d’Azure Monitor et la publication de l’ASP .NET Core 2.8.0 et .NET Core Worker Service 2.8.0 apportent le support de nouveaux types d’applications, de nouvelles métriques d’alertes, et le support d’ASP.NET Core 3.0
• Si vous avez utilisé la Preview d’Azure Monitor pour les machines virtuelles, Microsoft va opérer des changements importants pour préparer la disponibilité générale. Notamment les datasets de performance seront stockés dans la même table InsightsMetrics que les conteneurs. Les tables ServiceMap* seront déplacées vers un type de données dédié avec des tables portant le nom de VMComputer et VMProcess.

Azure Data

• Disponibilité Générale de la fonctionnalité Mapping Data Flows sur Azure Data Factory. Ce service d’intégration hybride permet aux utilisateurs un environnement sans code et sans serveur qui simplifie l'ETL dans le cloud et s'adapte à toutes les tailles de données, sans gestion d'infrastructure.

Azure IoT

• On retrouve l’arrivée de nouvelles fonctionnalités sur Azure IoT Central avec :
  • 11 nouveaux modèles d’applications focalisés sur l’industrie
  • Le support d’API pour le modelage de périphérique, le provisionnement, la gestion du cycle de vie, les opérations et les requêtes de données
  • Le support d’IoT Edge
  • Le support d’IoT Plug and Play.
• Microsoft annonce de nouvelles capacités sur Azure Time Series Insights.
• Annonce de la disponibilité générale d’Azure Sphere pour février 2020.

Azure Blockchain

• Annonce et Preview de Corda Enterprise sur Azure Blockchain Service. Le service Corda fait son apparition sous la forme d’un service PaaS pour créer des nœuds Corda.

Azure Stream Analytics

• Support des instances gérées SQL et des instances SQL Server sur des machines virtuelles par Azure Stream Analytics.
• De nouvelles fonctionnalités Preview vont être déployées début novembre avec notamment
  • La fonctionnalité online scaling permettant de changer l’allocation SU sans avoir à arrêter le travail.
  • Support de la désérialisation personnalisées en C#.
  • Stream Analytics est supporté (en Preview) sur Azure Stack via le runtime IoT Edge.
  • Support de l’authentification basée sur Managed Identity avec Power BI pour l’expérience de tableau de bord dynamique.

Autres services

• Microsoft annonce un partenariat avec AccuWeather pour lancer en Preview Weather Services sur Azure Maps. Ceci permet aux entreprises qui utilisent Azure Maps dans leurs applications de bénéficier d’un service de prévision météo sur les cartes. Vous pouvez avoir accès à un API, aux conditions météos actuelles, aux prévisions par minutes, aux prévisions par heure, aux prévisions de quart de journée, aux prévision journalières etc.
• Preview d’octobre 2019 du SDK Azure unifié pour .NET, Java, JavaScript and TypeScript, et Python.
• Disponibilité Générale de l’API Azure pour Fast Healthcare Interoperability Resource (FHIR).

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en octobre 2019.

Microsoft apporte les nouveautés suivantes :

• Public Preview du déploiement graduel de l’authentification Cloud pour permettre de passer d’un scénario fédéré (Exemple AD FS) vers PassThrough Authenticaton (PTA) ou Password Hash Synchronization. Pour ce faire, vous devez naviguez dans le portail Azure AD puis vous diriger dans la section Azure AD Connect :

               Vous pouvez ensuite activer le déploiement graduel pour vers PassThrough Authenticaton (PTA) (il vous faut au moins un agent pour celui-ci), Password Hash Synchronization, et Seemless Single Sign-On

               Vous pouvez ensuite ajouter les groupes choisis. Ces derniers ne doivent pas être des groupes dynamiques ou imbriqués.

• Public Preview de My Sign-Ins dans Azure Active Directory permettant à l’utilisateur de vérifier son historique de connexion pour voir les activités inhabituelles. Il voit donc toute l’activité récente depuis sa page de profil.

On retrouve les modifications de service suivantes :

• Dépréciation de l’API identityRIskEvent pour la détection des risques d’Azure AD Identity Protection. Cette API est remplacée par l’API risk Detection qui permet de faire des requêtes plus complexes.

Plus d’informations sur : What’s new Azure AD

Après le scanner, le client Office 365 ProPlus, voici qu’Outlook sur le Web (OWA) intègre les labels/étiquettes de confidentialité directement dans son interface pour permettre la classification et la protection via Azure Information Protection.

Une fois que l’entreprise a défini et configuré les labels/étiquettes et stratégies de confidentialité, les mêmes étiquettes sont publiées et mises à disposition dans OWA.

Microsoft prépare l’intégration sur le reste des applications Office sur le Web ainsi que sur l’application Outlook sur iOS.

Plus d’informations sur : https://support.office.com/en-us/article/apply-sensitivity-labels-to-your-documents-and-email-within-office-2f96e7cd-d5a4-403b-8bd7-4cc636bae0f9#ID0EAEAAA=Web

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Windows 10] Un nouveau paramétrage permet de n’afficher la page d’état de l’enregistrement (ESP) qu’aux périphériques provisionnés via l’expérience post installation (OOBE). Ceci permet d’éviter d’afficher cette page lorsqu’un nouvel utilisateur se connecte sur la machine. Ceci avait aussi un effet de bord de faire éventuellement tomber en timeout dans certaines conditions. Le paramétrage est disponible dans : Intune > Device enrollment > Windows enrollment > Enrollment Status Page > Create Profile > Settings > Only show page to devices provisioned by out-of-box experience (OOBE).

• [Windows 10] Microsoft vient d'intégrer les fonctionnalités permettant de mettre en oeuvre Windows Autopilot dans le monde de l'éducation directement depuis le portail Microsoft Intune for Education.
• [Android] Amélioration du design de la liste de vérification du portail d’entreprise. Cette dernière a été allégée et de nouvelles icônes sont présentes. Ceci permet d’aligner le design avec le portail d’entreprise sur iOS.
• [iOS] Le portail d’entreprise sur iOS dispose maintenant du mode sombre (Dark Mode). Ainsi l’application s’adapte au paramétrage défini dans iOS pour savoir si elle doit activer le mode sombre ou lumineux.Ceci est compatible pour les périphériques équipés d'iOS 13 ou plus. Microsoft ajoute aussi le support de ce mode sombre dans le SDK Intune pour OS.
• [iOS] Le portail d’entreprise et l’enregistrement ne supporte qu’iOS 11 ou ultérieur. Les versions plus anciennes ne sont pas supportées.

Configuration du périphérique

• [Windows 10] Un nouveau profile de configuration de périphérique permet de contrôler les paramétrages et les fonctionnalités du firmware UEFI (BIOS). Ce paramétrage s’applique à Windows 10 1809 ou plus sur des firmwares supportant DFCI.

Gestion des applications

• [Général] Vous pouvez créer une stratégie de protection des applications (APP/MAM) qui peut bloquer ou effacer sélectivement les données d'entreprise des utilisateurs en fonction de l’état du périphérique sans nécessiter l’enregistrement de ce dernier. L’état du périphérique est déterminé à l'aide d’une solution Mobile Threat Defense que vous avez choisie. Cette capacité existe aujourd'hui avec les périphériques enregistrés dans Intune en tant que paramètre de conformité des périphériques. Sur Android, cette fonctionnalité nécessite la dernière version du Portail d'entreprise. Sous iOS, cette fonctionnalité sera disponible lorsque les applications intégreront le dernier SDK Intune (v 12.0.15+).

• [Général] Les stratégies de protection des applications (APP/MAM) permettent maintenant de spécifier la version minimale attendue du portail d’entreprise. Ce paramètre de lancement conditionnel permet de bloquer l’accès, effacer les données ou simplement avertir. Le paramétrage ne s’applique que pour les utilisateurs qui ont à minima la version 5.0.4560.0. Il n’a donc pas d’effet sur les versions plus ancienne.
• [Windows 10] Vous pouvez maintenant configurer une date de mise à disposition et une date butoir pour les applications Win32 déployées de manière obligatoire. Lors de la mise à disposition (Start time), Microsoft Intune commencera à récupérer le contenu et à le stocker dans le cache. L’application sera donc disponible pour une installation lors de la date butoir. Pour les applications en libre-service, la date de mise à disposition est utilisée pour savoir quand l’application devient visible dans le portail d’entreprise.

• [Windows 10] Il est maintenant possible d’exiger un redémarrage après l’installation avec succès d’une application Win32.

• [Windows 10] Les stratégies supplémentaires Windows 10 S permettent de gérer le mécanisme Windows Defender Application Control. Ceci permet notamment d’installer et exécuter des applications Win32 sur des périphériques gérés en mode Windows 10 S. Pour ce faire, vous pouvez créer une ou plusieurs stratégies pour le mode S en utilisant les outils PowerShell de Windows Defender Application Control (WDAC). Vous devez ensuite signer les stratégies avec le portail de signature Device Guard, puis téléchargerr et distribuer les stratégies via Intune. Dans Intune, vous trouverez cette fonctionnalité en sélectionnant Client apps > Windows 10 S supplemental policies.

Sécurité du périphérique

• [Windows 10] Microsoft a ajouté en préversion la baseline de sécurité pour Microsoft Edge.

Autre

• [Général] Amélioration de l’administration proposée au travers du portail de gestion des périphériques Microsoft 365 (DMAC). On retrouve notamment :
  • Un premier niveau de navigation mis à jour pour refléter les fonctionnalités par groupe logique
  • Une capacité de filtrer par plateforme individuelle afin de ne voir que les stratégies et les applications de la plateforme choisie.

• • Une nouvelle page d’accueil permettant de visualiser l’état de santé du tenant, du service, l’actualité, etc.

• [Général] Le portail de gestion des périphériques Microsoft 365 (DMAC) voit l’apparition d’un nœud Endpoint Security regroupant les capacités suivantes :
  • Security Baselines : Les groupes de paramétrages préconfigurés selon les bonnes pratiques de Microsoft qui peuvent être déployés par l’entreprise
  • Secuirty Tasks : Regroupe les taches attribuées par le SoC issues de Microsoft Defender ATPs Threat and Vulnerability Management (TVM).
  • Microsoft Defender ATP.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

L’actualité concernant la partie Modern Workplace est très riche ! Il est parfois difficile de tout s’approprié. Cet article résume les différentes annonces :

Général

• Microsoft est nommé Leader par Forrester sur l’Endpoint Security Suite.
• Acquisition de Mover qui fournit des solutions permettant de migrer des données (Fichiers, etc.) à partir de fournisseurs Cloud tierces vers OneDrive et SharePoint.

Microsoft 365

• Disponibilité Générale de Windows Virtual Desktop pour les clients Microsoft 365 Business et publication d‘un estimateur d’expérience.

Desktop Analytics

• Les nouveautés de Desktop Analytics d’octobre 2019

Microsoft Defender ATP

• Disponibilité Générale de la protection contre la manipulation (Tamper Protection) de Windows Antivirus avec Microsoft Defender ATP. Plus d’informations sur mon billet.
• Public Preview du connecteur Microsoft Defender Advanced Threat Protection pour Azure Sentinel permettant d’envoyer les alertes dans la SIEM de Microsoft.
• La fonctionnalité d’experts sécurité à la demande Microsoft Threat Experts est en disponibilité générale. Microsoft intègre la fonction depuis plusieurs emplacements du portail Microsoft Defender ATP dont notamment le menu Help and Support, la page Machine, le menu d’action sur les alertes, le menu d’action sur les fichiers.
• La page des applications connectées permet d’afficher toutes les applications Azure AD qui se connecte à Microsoft Defender ATP (Graph Explorer, etc.). Cela permet par exemple d’identifier les applications qui accèdent aux données, etc.
• API Explorer vous permet de créer des requêtes API qui peuvent être tester sur les points de terminaison de l’API MDATP. Ceci est notamment utile dans des phases de développement pour les intégrations que vous pourriez opérer.

Enterprise Mobility + Security

Azure Active Directory

• Public Preview du déploiement graduel de l’authentification Cloud pour permettre de passer d’un scénario fédéré (Exemple AD FS) vers PassThrough Authenticaton (PTA) ou Password Hash Synchronization.
• Public Preview de My Sign-Ins dans Azure Active Directory permettant à l’utilisateur de vérifier son historique de connexion pour voir les activités inhabituelles. Il voit donc toute l’activité récente depuis sa page de profil.
• Dépréciation de l’API identityRIskEvent pour la détection des risques d’Azure AD Identity Protection. Cette API est remplacée par l’API risk Detection qui permet de faire des requêtes plus complexes.

Microsoft Intune

• Les nouveautés de mi-octobre 2019
• Les nouveautés de fin octobre 2019
• Windows Autopilot devient gérable depuis le portail Microsoft Intune for Education.
• Windows Autopilot et la page d’état de l’enregistrement (ESP) supporte Windows Hello for Business.  Le scénario était bloqué car la page d’état d’enregistrement attendait les certificats à installer avant que Windows Hello for Business soit configuré bloquant ainsi le processus. A partir de maintenant, les certificats utilisés par Windows Hello for Business seront délivrés après pour permettre la page d’état de l’enregistrement de s’exécuter.

Azure Information Protection

• Disponibilité Générale de la classification manuelle dans Outlook Web Access (Outlook on the Web).
• Mise à jour de la documentation avec les éléments suivants :
  • Mise à jour de FAQs: Classification and labeling in Azure Information Protection pour spécifier qu’Outlook on the web supporte nativement la classification.
  • Requirements for Azure Information Protection: Mise à jour de la section Applications avec l'information que la fonction Office Mail Merge n'est prise en charge pour aucune fonction Azure Information Protection.
  • Active Directory Requirements for Azure Information Protection Mise à jour de la section "La valeur UPN des utilisateurs ne correspond pas à leur adresse email" avec l'information que ce scénario ne supporte pas le single-sign on (SSO).
  • Applications that support Azure Rights Management data protectionMise à jour du tableau des applications enlightened RMS, pour inclure les extensions de noms de fichiers Visio pour Visio 2016 et versions ultérieures. Il ne s'agit pas de nouveaux types de fichiers pris en charge et ils ont été répertoriés dans les guides d'administration comme types de fichiers pris en charge, mais n'ont pas été inclus dans ce tableau.
  • Quickstart: Get started with Azure Information Protection in the Azure portal: Mise à jour pour inclure la publication de la stratégie globale avec les étiquettes/label par défaut dans le portail Azure, afin qu'elles soient disponibles pour le client classique.
  • Ajout de Office 2019 for Mac and Office 2016 for Mac: How to force a refresh for templates.
  • Central reporting for Azure Information Protection : Suppression de la limitation connue selon laquelle les types d'informations personnalisées n'étaient pas toujours affichés maintenant que cette fonctionnalité est prise en charge par la version actuelle du client Unified Labeling.

Cloud App Security

• Gartner nomme Microsoft leader dans la catégorie Cloud Access Security Broker (CASB)
• Nouveau parseur de journaux ContentKeeper pour Cloud Discovery. Pour rappel, Cloud App Security Cloud Discovery analyse un large éventail de journaux de trafic pour classer et noter les applications.
• On retrouve de nouvelles détections en Preview avec notamment :
  • Activité suspicieuse de suppression d’emails avertit lorsqu'un utilisateur effectue des activités inhabituelles de suppression d'e-mails. Cette politique peut vous aider à détecter les boîtes aux lettres des utilisateurs qui peuvent être compromises par des vecteurs d'attaque potentiels tels que les communications de commande et de contrôle (C&C/C2) par email.
  • Plusieurs partages inhabituels de rapports Power BI
  • Multiples activités de création de machine virtuelles pour détecter un nombre inhabituel de création de machines virtuelles. S’applique à Azure
  • Multiples activités de de suppression de stockage pour détecter un nombre inhabituel de suppression. S’applique à Azure

Azure ATP

• La version 2.99 apporte des améliorations et des corrections de bugs sur les capteurs mais aussi l’ajout de notifications depuis l’interface utilisateur sur la chronologie d’alerte pour signaler la disponibilité du portail Cloud App Security.
• La version 2.98 apporte des améliorations et des corrections de bugs sur les capteurs mais aussi l’amélioration de l’alerte sur les attaques brutes forces suspectées avec l'utilisation d'analyses supplémentaires et d'une logique de détection améliorée pour réduire le nombre de résultats d'alertes bégnines True Positives (B-TP) et faux positifs (FP)..

Office 365 et Office

• Annonce d’une nouvelle version de Microsoft Project avec un nouvel abonnement (Project Plan 1). Cette version de Project propose des intégrations fortes avec Microsoft Teams. Le nouvel abonnement permet de bénéficier de Project avec des fonctions limitées permettant de commencer à utiliser Project.
• A partir du 8 octobre 2019, si vous utilisez la nouvelle interface utilisateur du portail d'administration (aperçu activé), les messages qui contiennent des heures UTC seront convertis à votre heure locale. Les types de postes qui verront ce changement sont les suivants : Advisory post, postes d’Incident, et postes Message Center.
• A partir du 31 octobre, les mises à jour Office ne seront signées qu’avec l’algorithme SHA-2. Vous devez donc installer les mises à jour nécessaires sur les systèmes Windows hérités.
• Prochainement le tableau de bord de l’état de santé dans le centre d’administration Microsoft 365 supportera les notifications emails pour les incidents. Ces notifications peuvent être ciblées pour des services spécifiques.
• Outlook Mobile va permettre d’afficher la section What’s up next dans votre boite de réception pour afficher votre prochaine réunion dans le calendrier. Ce bandeau sera affiché quand vous avez une réunion planifiée dans les 30 minutes qui suivent.
• Microsoft va déployer une amélioration du calendrier sur Outlook pour iOS et Android avec le support des fuseaux horaires lors de la création d’une réunion et de Meeting Insights
• Déploiement Généralisé du support de S/MIME pour les clients Outlook pour Android et iOS.
• Disponibilité Générale de l’étiquetage/labelisation Mcrosoft Information Protection dans Outlook mobile sur iOS et Android.
• Il devient possible d’annoter des fichiers PDF dans les applications Office sur Android.
• Concernant Outlook on the Web, Microsoft introduit les changements suivants :
  • Amélioration de l’expérience de partage de fichiers dans Outlook Web App.
  • Vous pouvez configurer les labels/étiquettes de confidentialité (Sensitivity) afin de les appliquer automatiquement aux emails en fonction de groupes et de conditions. Ceci requiert Office 365 E5. Le déploiement de cette fonctionnalité est attendu d’ici la fin de l’année
  • Mise à jour d’Outlook sur le Web pour renommer le module et l’onglet Tâches dans My Day en renommant ce dernier To Do. L’expérience est déjà proposée via To Do.
  • Outlook va afficher un bouton RSVP dans la liste des messages permettant de répondre rapidement à une invitation. Le déploiement de cette fonctionnalité est attendu d’ici la fin de l’année

Communications unifiées

• Déploiement généralisé d’ici fin novembre du paramétrage par défaut pour les sous titres en direct dans la stratégie d’événements en direct. Les légendes et les sous-titres seront activés pour l'organisateur de l'événement dans leurs options de programmation. Les organisateurs d'événements peuvent désactiver cette fonction pour leurs participants.
• La partie Administration Voice de Teams comprend les nouveautés suivantes :
  • Rechercher et acquérir des numéros de téléphone en utilisant les plans d'appel de Microsoft et assigner ces numéros de téléphone ainsi que les adresses d'urgence aux utilisateurs finaux
  • Pour les clients qui ont besoin d'un plan de numérotation personnalisé, les administrateurs du tenant pourront créer, tester et gérer des plans de numérotation personnalisés.
  • Configurer des stratégies personnalisées pour le support du Dynamic E-911 et lier ces stratégies à une topologie réseau des régions, des sites et des sous-réseaux qui seront supportés

• De plus, des améliorations à la configuration Auto Attendants et des Call Queues sont en cours de publication, y compris une conception plus simple des Auto Attendants et la prise en charge de la composition des numéros de poste et du transfert aux numéros de téléphone RTC/PSTN.

• D’ici fin octobre, Microsoft va publier un rapport sur le pool des minutes PSTN/RTC vous donnant un aperçu de l'activité des audioconférences et des appels dans l’entreprise en vous indiquant le nombre de minutes consommées pendant le mois en cours. Vous pouvez voir une ventilation de l'activité, y compris la licence utilisée pour les appels, le nombre total de minutes disponibles, les minutes utilisées et l'utilisation de la licence par emplacement

Collaboration

• Concernant SharePoint et OneDrive, on retrouve les éléments suivants :
  • Les utilisateurs OneDrive peuvent maintenant gérer un rapport pour voir comment le contenu est partagé.
  • La synchronisation différentielle est maintenant compatible pour tous les types de fichiers stockés dans OneDrive et SharePoint.
  • Les administrateurs peuvent changer les URLs d’un site d’équipe classique, de communication et pour les sites d’équipes modernes.
  • La page d’accueil de SharePoint a été reconçue et s’appelle la page de démarrage.
  • Support de la sauvegarde dossiers PC par OneDrive pour des dossiers Desktop, Documents, et Pictures qui ne sont pas sur le volume du dossier OneDrive.
  • A partir du 29 Novembre, les mises à jour de OneDrive ne seront signées qu’avec l’algorithme SHA-2. Vous devez donc installer les mises à jour nécessaires sur les systèmes Windows hérités.
  • D’ici la fin de l’année, Microsoft mettre à jour à la logique utilisée pour localiser la langue des emails. La nouvelle logique traduiera les courriels dans la langue préférée des destinataires, telle que définie dans leurs paramètres AAD et Exchange, dans la mesure du possible. Dans le cas des courriels à destinataires multiples, lorsqu'il n'est pas possible de les localiser pour chaque préférence individuelle, la nouvelle logique sera localisée en utilisant la langue du contenu sous-jacent (par exemple, le fichier, le document ou la page SPO).
  • D’ici fin novembre, la personnalisation des formulaires Forms va permettre de ranger et rendre visible les champs dans les listes et librairies.
  • Aujourd'hui, tous les tenants partagent un domaine commun no-reply@sharepointonline.com pour différents scénarios de communication par e-mail. D’ici fin novembre, Microsoft séparera certains courriels des tenants par domaine afin de réduire le risque que les courriels soient triés dans le dossier des courriels indésirables d'un destinataire et de séparer les scores des pourriels des tenants. Microsoft fournira une nouvelle adresse par défaut pour l'adresse e-mail utilisée dans les messages de notification. Ces notifications proviendront désormais d'une boîte aux lettres spécifique au tenant, comme no-reply-sharepointonline@contoso.onmicrosoft.com.
• Concernant Microsoft Teams, on retrouve les annonces suivantes :
  • Microsoft déploie de nouvelles expériences de fichiers dans Microsoft Teams directement issue de SharePoint afin de permettre de synchroniser des fichiers sur le PC, d’avoir un aperçu sur plus de 320 types de fichiers, de créer des vues et travailler avec les métadonnées, de voir le cycle de vie d’un fichier, etc.
  • Microsoft va proposer une nouvelle expérience de partage dans Microsoft Teams qui est alignée sur l’ensemble des autres services et applications Office 365.
  • D’ici décembre 2019, Microsoft va permettre un accès en libre-service plus facile à Microsoft Teams pour les entreprises dans un mode hybride avec un des comptes partiellement synchronisés. Avec ce changement, les utilisateurs des domaines gérés qui n'ont pas encore été synchronisés avec Azure AD peuvent créer un compte dans le tenant Azure AD de leur organisation. Microsoft donnera une licence gratuite à Microsoft Teams
  • Une nouvelle fonctionnalité de publication à travers plusieurs canaux Microsoft Teams (Cross-Posting) a été déployée complètement fin octobre.
  • Microsoft Teams va maintenant connecter automatiquement l’utilisateur si ce dernier s’est déjà connecté avec son compte d’entreprise sur une autre application Office.
  • Microsoft va faire apparaître une bannière sur les clients Teams qui ne sont pas à jour. Après 3 mois, les utilisateurs feront face à une page bloquante afin de les forcer à mettre à jour leur machine, à contacter leurs administrateurs ou utiliser Outlook sur Le Web.
  • D’ici fin novembre, les sous-titres en direct (anglais US pour l’instant) donnent aux participants une autre façon de suivre une conversation. Ils peuvent rendre votre réunion plus inclusive pour les participants sourds ou malentendants, les participants ayant différents niveaux de compétence linguistique et les participants dans des endroits bruyants. Cette fonction sera disponible dans le menu de la réunion en sélectionnant : Turn on live captions(preview)
  • D’ici mi-décembre, Microsoft va retirer la capacité de désactiver Microsoft Teams par catégorie de licence pour l’ensemble des utilisateurs. Les utilisateurs qui étaient auparavant désactivés via cette option seront maintenant activés. Les administrateurs qui souhaitent continuer à désactiver ces utilisateurs devront le faire via l'option " Manage Product Licenses" du portail Microsoft 365.
  • Disponibilité Générale du renouvellement automatique des Teams en fonction d’activités réalisées par les utilisateurs. Auparavant, seul le propriétaire pouvait renouveler manuellement le Teams via la notification qu’il recevait.
• Concernant Yammer :
  • Changement du processus de traitement des demandes des personnes concernées par les données du GDPR à Yammer. Ce dernier est jugé compliqué. Vous n'aurez plus besoin de placer votre réseau en mode Hard Delete pour honorer une demande de la personne concernée par le GDPR. Lors de l'examen de messages individuels, un administrateur aura accès à un lien dans Network Data Export qui appellera l'API de suppression et supprimera définitivement le message, sans passer par les paramètres de conservation au niveau réseau.
  • A partir du 20 Décembre, Microsoft va retirer la notification créée dans All Company pour la création d’un groupe ou la jointure d’un nouvel utilisateur.
• Concernant Stream :
  • Il est possible de couper le début ou la fin d’une vidéo avec une nouvelle fonction intégrée. Ceci peut aussi s’appliquer aux enregistrements Teams et Live Events.
  • Vous pouvez maintenant remplacer un fichier vidéo tout en conservant le lien.

Sécurité

• Intégration entre Microsoft Secure Score et ServiceNow, Microsoft Teams et Microsoft Planner pour permettre le partage d’une information provenant du Secure Score vers ces services. Pour ServiceNow, l’action revient à créer un ticket en préremplissant la majorité des champs. Pour Microsoft Planner, l’action permet de créer une tâche. Pour Microsoft Teams, l’action de partage envoie des messages à une équipe.

Office 365 ATP

• Vous pouvez activer/désactiver la fonctionnalité malware Zero-hour Auto Purge depuis l’interface des stratégies antimalware du portail Security & Compliance Center. Auparavant, la capacité n’était disponible que par PowerShell.

Microsoft a publié il y a quelques semaines un billet à propos d’un problème touchant le provisionnement des profils Wi-Fi avec un package de provisionnement (PPKG) pour des machines Windows 10 1903 jointes à Azure Active Directory.

Le problème touche les packages de provisionnement créés avec l’application Set up School PCs en version 1000.17145.1.0 ou l’application Windows Configuration Designer en version 2019.520.0.0. Avec ces versions, les machines commenceront une boucle de redémarrage infinie lors de la phase Setup on devices.

Le problème a été corrigé pour l’application Set up School PCs en version 1000.17146.0.0.

Plus d’informations sur : Known issue: Provisioning error on Wi-Fi for Azure AD joined Windows 10 version 1903

Microsoft Ignite 2019 a lieu dans quelques jours et cet événement va catalyser un grand nombre d’annonces. On ne retrouve pas moins de 1600 session et je vous propose un aperçu de ma sélection des sessions à suivre sur la partie Modern Workplace et Sécurité. On retrouve notamment les grands thèmes autour du déploiement moderne, de la gestion moderne et de la sécurité

De nombreuses sessions couvrent l’ensemble de la stack de solution :

• Why Windows 10 Enterprise and Office 365 ProPlus? Security, privacy, and a great user experience (DEP10)
• Windows Autopilot: What's new, what’s coming, and tips for a smooth rollout (BRK3077)
• What's new in Microsoft Intune and Configuration Manager, including Desktop Analytics and Windows Autopilot (Part 1 of 2) (BRK2082)
• What's new in Microsoft Intune and Configuration Manager, including Desktop Analytics and Windows Autopilot (Part 2 of 2) (BRK3220)
• Windows security internals: containers for the win! (BRK4010)
• Windows Virtual Desktop overview (BRK2084)

Concernant la partie les sessions sur le déploiement moderne, vous pouvez suivre :

• Windows Autopilot: White glove pre-provisioning (THR3023)
• Modern Windows 10 and Office 365 deployment with Windows Autopilot, Desktop Analytics, Microsoft Intune, and Configuration Manager (DEP20)
• Streamlined deployment of specialized devices (86268)
• Ask the experts: modern deployment and device management (BRK3076)

On retrouve de nombreuses sessions sur le thème de la gestion moderne :

• Ask the experts: modern deployment and device management (BRK3076)
• Enterprise app management with MSIX (BRK2083)
• Stay current while minimizing network traffic: the power of Delivery Optimization In Cache (DOINC) (BRK3078)
• Keep it simple: Microsoft 365 device and app management (THR3026)
• Strategic and tactical considerations for ring-based Windows 10 deployments (BRK3080)
• Transforming update management with cloud controls (BRK3258)
• iOS and iPadOS device management with Microsoft Intune (BRK3219)
• Migrating from Device Admin to Android Enterprise with Microsoft Intune (THR3081)
• Insights-driven device management: Use the power of analytics to optimize the user experience and enhance productivity (BRK3086)
• Deploy and manage apps with MSIX (THR2031)
• Make the Windows update experience smooth and seamless—for your IT team and your end users (BRK3081)
• The benefits of Windows 10 Dynamic Update (THR3073)
• Configure Microsoft 365 devices for the best user experience and privacy with Microsoft Intune (BRK3084)
• The evolution of Windows feature update deployment (THR3117)
• Reducing Windows TCO through data-driven insights for management, servicing, and support (BRK3085)
• Android device management with Microsoft Intune (BRK3082)
• Reaching for the cloud: Group Policy transformation to MDM with Microsoft Intune (THR3027)
• Solving Windows 10 feature updates in a multilingual deployment (THR4002)
• Streamline and stay current with Windows 10 and Office 365 ProPlus (DEP30)
• Supercharge PC and mobile device management: Attach Configuration Manager to Microsoft Intune and the Microsoft 365 cloud (DEP40)
• Why Microsoft 365 is essential to your zero-trust device management strategy (DEP50)
• Protected, productive mobile browsing with Microsoft Edge mobile and Microsoft Intune (BRK3253)
• Provide a great end user update experience by utilizing Windows Update management policies (THR3024)
• MacOS device management with Microsoft Intune (THR3028)
• How to manage Windows 7 Extended Security Updates (ESUs) for on-premises and cloud environments (BRK3079)
• MSIX App Attach: The future of app delivery in virtual environments (THR3074)

Sur Office 365, vous retrouvez :

• Best practices for deploying and managing Microsoft Office 365 ProPlus (BRK3087)
• What's new in the Office Customization Tool (THR3039)
• Get to know the new Office Cloud Policy Service (THR3038)
• The future of Office: The insiders view and how we're making it easier for IT admins and organizations to deploy and use Office 365 ProPlus (BRK3298)
• Best practices for compatibility assessment and Microsoft Office 365 ProPlus upgrades using Office Readiness in Configuration Manager (BRK3090)

Plus globalement, vous retrouvez un résumé des sessions sur les services d'Office 365 sur :

• Ignite 2019 guide to SharePoint, OneDrive, Yammer, Stream and related technology sessions
• The Microsoft Teams Guide to Ignite 2019

Sur les enjeux de sécurité, je vous recommande :

• Extend mobile threat protection to bring-your-own-device (BYOD) users (THR3134)
• Advanced threat and security management: Connecting Microsoft ATP with Microsoft Intune and Configuration Manager (BRK3083)
• Microsoft Security for your entire environment (BRK011)
• Real customers, real challenges, and the real power of Microsoft 365 Threat Protection (BRK1040)
• Built in and cloud powered - elevate your endpoint security with Microsoft Defender ATP (BRK1041)
• Security in overdrive: best practices for configuring Microsoft Defender ATP (BRK3156)
• We've got your back! Team up with Microsoft's security experts to respond to critical threats (BRK2109)
• Bringing IT and security together: How Microsoft is reinventing threat and vulnerability management  (BRK2110)
• Unleash the hunter in you: Advanced hunting in Microsoft Defender ATP (THR3056)
• Securing AWS and Google Cloud Platform (THR3053)
• Integrating CASB into IAM for a comprehensive identity security strategy (BRK3154)
• Top CASB use cases to boost your cloud security strategy (BRK2108)
• Security solutions from Microsoft, but not just for Microsoft services (BRK2107)
• Protecting any app – in the cloud and on-premises (THR3054)
• Discover shadow IT across all your SaaS, IaaS, and PaaS resources (THR2058)
• Detecting cloud native attacks and automating remediation (THR3052)
• Secure your enterprise with a strong identity foundation (SECO10)

Accéder au catalogue des sessions

Microsoft Ignite 2019 a lieu dans quelques jours et cet événement va catalyser un grand nombre d’annonces. On ne retrouve pas moins de 1600 session et je vous propose un aperçu de ma sélection des sessions à suivre sur Windows Server. On retrouve de nombreuses sessions sur Windows Admin Center.

• BRK2129 “What’s New and What’s Next” (Monday, 3:15pm – 4:00pm)
• BRK3182 “Windows Server Deep Dive: Demopalooza” (Monday, 4:30pm – 5:15pm)
• THR2146 “Stop paying someone else to do it – automatically monitor, secure, and update your on-premises servers from Azure with Windows Admin Center” (Tuesday, 9:00am – 9:20am)
• BRK3184 “Automate and manage your Windows Server environment using Azure Management Services” (Tuesday, 10:30am – 11:15am)
• WRK3003 “Power your hybrid environment with Windows Admin Center and Azure” (Tuesday, 10:45am – 12:00pm)
• BRK3244 “Azure Guest Configuration, the evolution of Group Policy” (Tuesday, 11:45am – 12:30pm)
• THR1084 “How to re-use your Windows Server licenses in Azure with Azure Hybrid Benefit” (Tuesday, 1:15pm – 1:35pm)
• BRK2145 “Windows Virtual Desktop Overview” (Tuesday, 3:30pm – 4:15pm)
• THR2135 Be a Windows Admin Center expert: best practices for deployment, configuration, and security (Tuesday, 5:00 – 5:20pm)
• THR2176 “Windows Admin Center: Better together with System Center and Azure” (Wednesday, 9:00am – 9:20am)
• BRK3192 “Seamless connectivity to Azure with Windows Server and Hybrid Networking” (Wednesday, 9:15am – 10:00am)
• BRK3252 “Windows Server on Azure Overview: Lift-and-Shift Migrations for Enterprise Workloads” (Wednesday, 10:30am – 11:15am)
• BRK3165 “Windows Admin Center: Unlock Azure Hybrid Value” (Wednesday, 11:45am – 12:30pm)
• BRK3228 “Files are critical to your business: Modernize your file services with Windows Server 2019 and Azure” (Wednesday, 1:00pm – 1:45pm)
• THR2155 “Clustering in the Age of HCI and Hybrid!” (Wednesday, 1:15-1:35pm)
• BRK3166 “OS Internals (for nerds only)” (Wednesday, 2:15pm – 3:00pm)
• WRK3003 “Power your hybrid environment with Windows Admin Center and Azure” (Wednesday, 2:15pm – 3:30pm)
• BRK3174 “SCOM 2019: Customer Success stories and what’s next” (Wednesday, 3:30pm – 4:15pm)
• BRK3183 “Accelerate your RDS and VDI migration to Windows Virtual Desktop” (Thursday, 9:15am – 10:00am)
• BRK3193 “Maximize security with Windows Server 2019 and Azure” (Thursday, 10:30am – 11:15am)
• BRK2048 “Windows Admin Center: What’s New and What’s Next” (Thursday, 11:45am – 12:30pm)
• BRK3173 “Hyper-V Roadmap” (Thursday, 1:00pm – 1:45pm)
• BRK2147 “Modernize your IT environment and Applications with Windows Containers” (Thursday, 2:15pm – 3:00pm)
• THR2191 Navigate common pitfalls encountered when containerizing Windows Server applications (Friday, 10:10-10:30am)
• BRK3257 “Protect Access to Office 365/Azure with new features in Active Directory Federation Services in Windows Server 2019 ” Samuel P19 (Friday, 10:30am – 11:15am)
• BRK2208 “Hybrid management and operations for Windows Server” (Friday, 10:30 – 11:15am)
• BRK3251 “What’s next for software-defined storage and networking for Windows Server” (Friday, 10:45am – 12:00pm)
• BRK3177 “VMM 2019 and DPM 2019: Customer success stories and what’s next” (Friday, 11:45am – 12:30pm)

Accéder au catalogue des sessions

Samsung vient de rapporter un problème connu concernant la reconnaissance par empreinte digitale sur certains périphériques Samsung Galaxy.  Ce problème survient par la reconnaissance des motifs tridimensionnels apparaissant sur certains écrans en silicone protégeant les périphériques en tant qu'empreintes digitales des utilisateurs. Ceci constitue donc une faille potentielle de sécurité.

Le problème concerne les Samsung Galaxy Note 10/10+ et Samsung Galaxy S10/S10+/S10 5G.

Samsung recommande aux utilisateurs qui utilisent la cover de la retirer, d’effacer toutes les empreintes digitales précédentes et enregistrer leurs empreintes digitales à nouveau. Samsung travaille à un correctif logiciel.

Microsoft recommande de changer la stratégie pour forcer l’utilisateur à utiliser le code PIN et non pas l’empreinte digitale pour déverrouiller le périphérique.

Plus d’informations sur : https://news.samsung.com/global/statement-on-fingerprint-recognition-issue

Source: https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Samsung-known-issue-Use-PIN-for-MDM-and-APP-instead-of/ba-p/918962

Avec la fin de support prochaine (14 janvier 2020) de Windows Server 2008 et Windows Server 2008 R2, Microsoft va bientôt rendre impossible l’utilisation de ces systèmes pour héberger des points de distribution dans System Center Configuration Manager. Ceci inclut les nouveaux points de distribution que vous souhaiteriez installer ou les points de distribution existants qui pourraient à termes vous bloquer dans la mise à niveau de votre infrastructure vers des versions ultérieures.

Je ne saurais que vous recommander de migrer vos points de distribution dans cette situation. Deux options s’offrent à vous :

• Monter un nouveau point de distribution sur une version de système plus récente (Windows Server 2016 ou 2019) puis basculer vos clients via les Boundary Groups sur celui-ci.
• Faire une mise à niveau du serveur en utilisant l’ISO.

Source : Supported operating systems for Configuration Manager site system servers

L’équipe du support Microsoft Intune vient de publier un billet concernant un problème qui touche la sauvegarde des paramétrages Login Items d’un profil Device Features pour macOS. En effet, la sauvegarde ne fonctionne pas et l’erreur suivante est renvoyée :

Unable to save due to invalid data. Update your data then try again. Property autoLaunchItems in payload has a value that does not match schema.

Microsoft a trouvé un correctif au problème et planifie de le corriger pour la version de novembre du service (1911). En attendant, l’équipe vous recommande d’utiliser GraphAPI avec Graph Explorer :

• Avec une méthode POST sur https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations
• Et un contenu de requête : {displayName":"login item ","description":"","roleScopeTagIds":[],"@odata.type":"#microsoft.graph.macOSDeviceFeaturesConfiguration","autoLaunchItems":[{"path":"/Applications/Teams.app"}]}
  Vous devez remplacer les valeurs displayName et path avec vos attentes

Plus d’informations sur : Known issue: Intune macOS profile setting not saving as expected

Je vous avais déjà partagé au travers de deux billets le cas de la sortie d’AIP, mais un autre scénario va devenir de plus en plus fréquent avec le déploiement d’Azure Information Protection, ce sont les acquisition ou fusions d’entreprises. Quelle marche à suivre quand deux entreprises utilisent Azure Information Protection ? L’équipe AIP tend à répondre à ces questions et l’on peut résumer les options comme suit :

• Si les deux entreprises utilisaient/utilisent uniquement les labels/étiquettes et n’applique pas de protection sur les documents ? Il est possible de partager les étiquettes/labels à travers les deux tenants afin que les utilisateurs des deux entreprises puissent voir la classification configurée. Pour plus d’informations, vous pouvez lire : Cross-Tenant Label Visualization
• Dans le cadre d’une acquisition/fusion, si les entreprises ont appliqué des stratégies de protection associées aux labels/étiquettes, alors on retrouve plusieurs pistes :
  1. Garder l’ancien tenant AIP dans une configuration en lecture seule. Les utilisateurs sont alors migrés et des licences sont associées sur le nouveau tenant. L’administrateur transfert le DNS de l’ancien tenant vers le nouveau. Les contenus protégés par des modèles définis par l’administrateur ou avec des permissions définies par l’utilisateur ou des emails protégé via la fonction Do Not Forward, continuent d’être protégés.
  2. Exporter /Supprimer la clé de l’ancien tenant et l’importer dans le nouveau tenant. Vous devez exporter la clé fournie par Microsoft ou dans un mode BYOK si elle a été apportée par une infrastructure AD RMS.
  3. La dernière option est de retaper tout le contenu en déprotégeant et en reclassant/protégeant avec le nouveau tenant
  4. Créer un cluster AD RMS en mode lecture seule avec la clé de l’ancien tenant.
• Dans le cadre d’une filiale, si les entreprises ont appliqué des stratégies de protection associées aux labels/étiquettes, alors on retrouve plusieurs pistes :
  1. Garder des étiquettes/modèles avec des permissions prédéfinies accessibles aux utilisateurs de la filiale.
  2. La dernière option est de retaper tout le contenu en déprotégeant et en reclassant/protégeant avec le nouveau tenant
  3. Créer un cluster AD RMS en mode lecture seule avec la clé de l’ancien tenant.

Pour plus d’informations sur les solutions pour les acquisitions/fusions et les filiales, vous pouvez lire : Mergers and Spinoffs

Je me permets de partager bon billet de l’équipe des PFE Microsoft décrivant comment renommer un périphérique Windows 10 Hybrid Azure AD Join, déployé par Windows Autopilot et Microsoft Intune. Il existe nativement dans Microsoft Intune une fonctionnalité permettant de renommer les périphériques. Celle-ci s’applique à iOS, macOS, et Windows 10 mais uniquement ceux Azure AD Join.

Le mode Hybrid n’est donc pas supporté et vous êtes donc contraint d’utiliser les règles de nommage de Windows Autopilot qui sont pour l’instant assez limitées. Néanmoins, si vous mettez en place du Co-Management et que vous déployez le client System Center Configuration Manager par Microsoft Intune, vous pouvez facilement utiliser une séquence de tâches pour renommer la machine selon la convention de nommage que vous souhaitez.

C’est l’objet du billet que je vous partage : Rename Hybrid Joined Computers deployed via Autopilot

Récemment un client a commencé à voir apparaître des erreurs lors de l’enregistrement automatique par la GPO de machines Windows 10 Hybrid Azure AD Join dans Microsoft Intune. Ces machines s’enregistraient jusqu’alors sans problème. Après vérification via la commande dsregcmd /status, la machine a correctement réalisé son opération d’Hybrid Azure AD Join. On peut observer la récupération de l’Azure AD PRT nécessaire à l’opération d’enregistrement.

Si vous ouvrez l’observateur d’événements et que vous naviguez dans Applications and Services Logs – Microsoft - Windows – DeviceManagement-Enterprise-Diagnostics-Provider puis Admin, vous pouvez observer les événements suivants :

Event ID : 52
MDM Enroll: Server Returned Fault/Code/Subcode/Value=(MessageFormat) Fault/Reason/Text=(Device based token is not supported for enrollment type OnPremiseGroupPolicyCoManaged).

EventID : 71
Inscription GPM : échec (Unknown Win32 Error code: 0x80180001)

EventID : 76
Inscription GPM automatique : informations d’identification de l’appareil (0x1), échec (Unknown Win32 Error code: 0x80180001)

Le premier événement donne une piste intéressante, indiquant un problème avec le token utilisé pour s’enregistrer. Après avoir vérifié, le client avait mis à jour ses fichiers ADMX avec la dernière version Windows 10 1903. Il s’avère que cette version d’ADMX met à jour le paramètre existant : Auto MDM Enrollment with AAD Token utilisé pour réaliser l’enregistrement automatique. Celui-ci est renommé Enable automatic MDM enrollment using default Azure AD credentials et ajoute une sous option permettant de spécifier le mode d’authentification choisi. L’administrateur peut choisir User Credential ou Device Credential.

La configuration réalisée sur la stratégie du client était définie sur Device Credential.

En passant l’option sur User Credential, les machines se sont mises à réaliser l’enregistrement automatique dans Microsoft Intune correctement.

L’effet pervers semble être que lors de la mise à jour de l’ADMX, ceci met à jour le paramétrage et assigne automatiquement la valeur Device Credential puisqu’elle est la première de la liste. Or le comportement jusqu’alors est d’utiliser les identifiants de l’utilisateur (User Credential).

Note : Device Credential n’est censé être applicable que pour les machines Windows 10 1903 et les anciennes versions sont censées utilisée User Credential quelque soit le paramétrage définit. Néanmoins, les observations que nous avons pu réaliser, contredisent ceci.

Vous pouvez vérifier la configuration d’un poste en allant regarder le registre : HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\MDM\UseAADCredentialType

• User Credential : 1
• Device Credential : 2

Microsoft vient de publier les versions 1.54.33.0 du client Azure Information Protection et 2.5.33.0 du client Azure Information Protection Unified Labeling.

La version 1.54.33.0 du client AIP classique comprend des corrections de stabilité et de performance ainsi que la version 1.0.4008.0813 du client RMS.

La version 2.5.33.0 du client AIP Unified Labeling comprend les fonctionnalités suivantes:

• La version Preview du Scanner Unified Labeling pour inspecter, labéliser/étiqueter les documents sur les serveurs internes.
• Set-AIPAuthentication a de nouveaux paramètres : AppId, AppSecret, TenantId, DelegatedUser, et OnBehalfOfOf
• Nouvelle cmdlet, Export-AIPLogs, pour rassembler tous les fichiers journaux de %localappdata%\Microsoft\MSIP\Logs et les enregistrer dans un seul fichier compressé qui a un format.zip.
• Nouveau paramétrage avancé de stratégie pour l’étiquetage PowerShell afin d’étendre les règles de migration de label aux propriétés SharePoint.
• Le label/étiquette applique affiche la couleur configurée pour le label/l’étiquette, si une couleur a été configurée.
• Lorsque vous ajoutez ou modifiez des paramètres de protection à un label/étiquette, le client applique à nouveau le label/étiquette avec ces derniers paramètres de protection lors du prochain enregistrement du document.
• Support des ordinateurs déconnectés en exportant les fichiers d'un client et en les copiant manuellement sur l'ordinateur déconnecté.
• Les types d'informations sensibles personnalisés correspondants sont envoyés à Azure Information Protection Analytics.

La version 2.5.33.0 du client AIP Unified Labeling comprend les corrections de bugs suivantes:

• Le problème de cache MIP SDK récemment découvert a un impact sur les clients AIP Unified Labeling. Ce problème peut empêcher les clients AIP UL de télécharger les mises à jour des polices.
• Vous pouvez ouvrir avec succès un fichier protégé à l'aide de l'Explorateur de fichiers et cliquez avec le bouton droit de la souris après avoir supprimé un mot de passe pour le fichier.
• Les fichiers sans droits d'exportation peuvent maintenant être ouverts avec la visionneuse.

• Réinitialiser les paramètres supprime maintenant les dossiers %LocalAppData%\Microsoft\MSIP\mip\<ProcessName.exe> au lieu du dossier %LocalAppData%\Microsoft\MSIP\mip\<ProcessName>\mip.
• Get-AIPFileStatus inclut maintenant l'ID du contenu d'un document protégé.

Télécharger Microsoft Azure Information Protection

Il y a quelques semaines, Microsoft publiait l’arrivée d’une nouvelle fonctionnalité proposée avec Windows 10 Insider 18970 permettant de réaliser sa réinitialisation depuis le Cloud. Vous pouvez ainsi lancer une réinitialisation de votre machine et récupérer les sources de réinstallation de Windows en les téléchargeant directement depuis chez Microsoft. L’option est disponible depuis le système d’exploitation ou en mode de dépannage depuis Windows RE.

On peut se demander quel est l’intérêt sachant que cette fonctionnalité téléchargera la version de Windows 10 équivalente à celle déjà installée. En réalité, cette option rend le processus de réinitialisation beaucoup plus rapide lorsque vous avez accès à une très bonne connexion à Internet.

Dans le cas de la réinitialisation classique (à partir des sources du système d’exploitation local), le processus reconstruit le système d'exploitation composant par composant à partir du dossier WinSXS à l'aide de la Servicing Stack. Ceci requiert un traitement très important qui n’est pas seulement une simple lecture et une écriture séquentielle.  Ce processus génère en lui-même entre 4 et 10 fois le nombre d'entrées-sorties nécessaires pour écrire et appliquer une image.

Ceci justifie ainsi que le processus réinitialisation depuis le Cloud puisse être 4 à 10 fois plus rapide.

Plus d’informations sur : Optimize Windows 10 PC reset using the cloud

Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Vous pouvez migrer vos données d’un workspace Windows Analytics existants vers Desktop Analytics après la phase d’Onboarding. Parmi les données migrées, on retrouve l’importance des applications, les propriétaires des applications. Cependant les décisions de mise à niveau, les plans de test et les résultats de test ne sont pas migrés. Il est à noter qu’il n’est pas de migrer plusieurs Workspace Windows Analytics et cette action ne peut être réalisée que lors de la phase d’onboarding. Vous ne pouvez pas le faire après la mise en place du service.
• Desktop Analytics fournit désormais des détails supplémentaires lorsqu'il détecte que la mise à niveau de Windows supprimera complètement ou partiellement une application ou un driver/pilote.

Plus d’informations sur : What’s new in Desktop Analytics

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender Advanced Threat Protection (ATP) introduit dans le mois.

• Disponibilité Générale de la protection contre la manipulation (Tamper Protection) de Windows Antivirus avec Microsoft Defender ATP. Plus d’informations sur mon billet.

• La fonctionnalité d’experts sécurité à la demande Microsoft Threat Experts est en disponibilité générale. Microsoft intègre la fonction depuis plusieurs emplacements du portail Microsoft Defender ATP dont notamment le menu Help and Support, la page Machine, le menu d’action sur les alertes, le menu d’action sur les fichiers.

• La page des applications connectées permet d’afficher toutes les applications Azure AD qui se connecte à Microsoft Defender ATP (Graph Explorer, etc.). Cela permet par exemple d’identifier les applications qui accèdent aux données, etc.

• API Explorer vous permet de créer des requêtes API qui peuvent être tester sur les points de terminaison de l’API MDATP. Ceci est notamment utile dans des phases de développement pour les intégrations que vous pourriez opérer.

• Public Preview du connecteur Microsoft Defender Advanced Threat Protection pour Azure Sentinel permettant d’envoyer les alertes dans la SIEM de Microsoft.

Plus d’informations sur : What’s new in Microsoft Defender ATP

Microsoft vient de proposer une nouvelle capacité intéressante pour éliminer peu à peu TLS 1.0 au profit de TLS 1.2. Cette fonctionnalité apparait avec la KB4490481 de Windows Server 2019 qui permet de bloquer des versions de TLS en fonction de certificats spécifiques. En gros, vous pouvez désigner une liste de certificat qui continuent de fonctionner avec TLS 1.0 alors que les autres fonctionneront avec TLS 1.2+.

Les modifications sont implémentées dans HTTP.sys et, en conjonction avec l'émission de certificats supplémentaires, permettent au trafic d'être acheminé vers le nouveau terminal avec la version TLS appropriée.

Plus d’informations sur : TLS version enforcement capabilities now available per certificate binding on Windows Server 2019

L’arrivée de Windows Virtual Desktop risque de changer la donne mais pour les entreprises qui font du Virtual Desktop Infrastructure (VDI) On-Premises, voici un script qui permet d’optimiser la configuration de Windows 10 pour le VDI.

Le script n’est ni plus ni moins que la configuration automatique des bonnes pratiques listées dans la documentation : Optimizing Windows 10, Build 1803, for a Virtual Desktop Infrastructure (VDI) role

On retrouve notamment :

• Un nettoyage des packages App-X
• Un nettoyage de OneDrive
• Une modification de certains éléments du registre (ajout, suppression, etc.)
• L’application de stratégies de groupes locales
• La désactivation de certaines tâches planifiées
• La désactivation de certains services

Note : Le script a une dépendance sur LGPO.exe

Télécharger le script W10_1803_VDI_Optimize

Microsoft a publié un billet résumant la situation concernant la mise en œuvre du Co-Management entre System Center Configuration Manager Current Branch et Microsoft Intune. Microsoft se donne pour objectif de basculer toutes les charges de travail d’ici à un an.

Voici le résumé de l’état :

• 220 000 périphériques co-gérés dont
  • 200 000 périphériques Hybrid Azure AD Joined
  • 20 000 périphériques Azure AD Joined
• La charge complètement basculée sont les stratégies de conformité (Compliance Policies)
• Microsoft est en train de mener un pilot avec les éléments de sécurité (Endpoint Protection) et les stratégies d’accès aux ressources (Resource access policies).
• Les autres charges de travail n’ont pas été touchée : Device Configuration, Client Apps, Office Click-to-Run apps, Windows Update for Business.

Source : https://techcommunity.microsoft.com/t5/Device-Management-in-Microsoft/Co-Management-at-Microsoft/ba-p/902597

Microsoft publie une nouvelle version (Octobre 2019) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

Cette version intègre les changements suivants :

• Extension Query History permettant de stocker des requêtes SQL précédemment exécutée.
• Nouvelle expérience de copier/coller de la grille de résultats en permettant la sélection de colonnes choisies.
• Nouvelle version de l’extension PowerShell (v2019.9.0).
• Corrections de bugs

Quand utiliser Azure Data Studio ?

• Vous devez utiliser macOS ou Linux
• Vous devez vous connecter sur un cluster big data SQL Server 2019
• Vous passez plus de temps à éditer ou exécuter des requêtes
• Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
• Vous avez un besoin minimal d’assistants
• Vous n'avez pas besoin de faire de configuration administrative profonde

Quand utiliser SQL Server Management Studio ?

• Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
• Vous avez besoin de faire une configuration administrative importante
• Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
• Vous utilisez les rapports pour SQL Server Query Store
• Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
• Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2019/10/02/the-october-2019-release-of-azure-data-studio-is-now-available/

Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

Télécharger Azure Data Studio