Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Lors de la phase d’onboarding, vous pouvez migrer vos données d’un workspace Windows Analytics existants vers Desktop Analytics. Parmi les données migrées, on retrouve l’importance des applications, les propriétaires des applications. Cependant les décisions de mise à niveau, les plans de test et les résultats de test ne sont pas migrés. Il est à noter qu’il n’est pas de migrer plusieurs Workspace Windows Analytics et cette action ne peut être réalisée que lors de la phase d’onboarding. Vous ne pouvez pas le faire après la mise en place du service.
• Il est maintenant possible d’arrêter son service Desktop Analytics et fermer son compte. Vous avez ensuite jusqu’à 90 jours pour le rouvrir avant la suppression complète des données.

Plus d’informations sur : What’s new in Desktop Analytics

Il y a quelques jours, Microsoft annonçait la disponibilité générale de son service Windows Virtual Desktop. Pour rappel, Windows Virtual Destkop est un service de VDI/Bureau à distance hébergé dans Microsoft Azure. Il permet d’héberger des machines virtuelles Windows 10 Enterprise ou Windows 7 SP1 Enterprise (avec support étendu) afin notamment d’exécuter des applications soit pour des problèmes de compatibilité soit pour donner accès à des ressources à distance (telles qu’Office 365 ProPlus ou d’autres applications et services). Les entreprises qui ont acheté Windows 10 Enterprise peuvent toutes bénéficier de ce service sans surcout de licences. Le seul coût est au niveau du calcul, du stockage et de la bande passante généré par ces machines virtuelles.

Je souhaitais revenir sur cette annonce pour résumer les informations :

• Windows Virtual Desktop est disponible pour Windows 10 E3/E5 (par utilisateur,) Microsoft 365 Enterprise F1/E3/E5 mais aussi pour Microsoft 365 Business ou via ceux qui ont achetés des CALs Remote Desktop Services.
• Windows Virtual Desktop propose une disponibilité mondiale avec une amélioration significative des performances sur certaines instances locales dans les prochains mois.
• Windows Virtual Desktop supporte Windows 10 single et multi-session, Windows 7 avec mises à jour de sécurité étendue (sans coût additionnel), et Windows Server 2012 R2, 2016, et 2019.
• Windows Virtual Desktop est accessible par les clients Remote Desktop de Windows, iOS, Android, Mac et via le client HTML 5.
• Windows Virtual Desktop propose les technologies FSLogix permettant de fournir des conteneurs pour les profils et Office 365.
  Note : FSLogix est disponible pour les clients Microsoft 365, Windows 10 Enterprise et RDS.
• Windows Virtual Desktop s’intègre à Citrix et à VMware Horizon Cloud.

Vous pouvez utiliser le calculateur de prix de Microsoft Azure pour estimer le coût du service Windows Virtual Desktop.

D’un point de vue technique, Windows Virtual Desktop regroupe les caractéristiques suivantes :

• Les services d'infrastructure tels que la Gateway, le Broker, la gestion des licences, les diagnostics sont fournis comme un service Azure. Il n'est pas nécessaire de déployer et de maintenir une infrastructure sur site.
• Windows Virtual Desktop peut s'appuyer sur Azure Active Directory (Azure AD) en tant que fournisseur d'identité, ce qui permet d'utiliser l'authentification à facteurs multiples (MFA) ou l'accès conditionnel.
• Une fois qu'un utilisateur est connecté au service Windows Virtual Desktop, l'accès aux machines virtuelles (VMs) jointes à Active Directory est fourni en utilisant les identités Azure AD. Dans les environnements où Active Directory Federation Services (AD FS) est implémenté pour l'authentification unique (SSO), l'utilisateur n’est pas invité à fournir des informations d'identification lors de la connexion à la VM, offrant ainsi une expérience d'authentification transparente.
• La technologie de connexion inversée signifie que votre machine virtuelle de destination n'a pas besoin de ports d'entrée pour se connecter (même le port RDP par défaut, TCP/3389, n’est pas nécessairement ouvert). Au lieu de cela, un agent crée une connexion sortante en utilisant TCP/443. Azure est votre reverse proxy pour le trafic RDP.
• Les machines virtuelles de Windows Virtual Desktop ne sont pas exposées directement sur Internet. (La technologie de connexion inversée permet d'accéder aux machines virtuelles.)
• Windows Virtual Desktop introduit Windows 10 multi-session, vous permettant d'offrir une expérience Windows 10 Enterprise où plusieurs utilisateurs peuvent se connecter simultanément à la même machine virtuelle cliente Windows via RDP.
• L'accès à la technologie FSLogix, qui vous permet de vivre une expérience Office dans un environnement non persistant comme si vous utilisiez une machine classique.
• Windows Virtual Desktop supporte le bureau complet, RemoteApp, et les expériences persistantes ou non persistantes, dédiées ou multi-sessions.

En outre, Microsoft a publié un estimateur d’expérience permettant d’estimer le temps de connexion aller-retour (RTT) depuis sa connexion pour les différentes régions Azure où le service est proposé.

Accéder à l’estimateur d’expérience

Pour plus d’informations, vous pouvez accéder à la documentation : https://aka.ms/wvdgetstarted

Source : https://www.microsoft.com/en-us/microsoft-365/blog/2019/09/30/windows-virtual-desktop-generally-available-worldwide/

Il semble qu’un problème touche le déploiement de système d’exploitation (OSD) avec System Center Configuration Manager 1906. Le problème concerne Windows 7 où la séquence de tâches s’arrêterait après l’installation du client (Etape Setup Windows and ConfigMgr).

Il semble que le problème vienne du fait que l’image Windows 7 SP1 par défaut non patchée ne permettent pas le support de SHA-2. Or depuis ConfigMgr 1906, le client n’est plus signé en SHA-1 mais en SHA-2 pour des raisons de sécurité.

Deux solutions sont possibles :

• La première consiste à installer le client de System Center Configuration Manager 1902 qui était la dernière version signée en SHA-1. Il faut donc remplacer le package du client sur la tâche Setup Windows and ConfigMgr
• La seconde est beaucoup plus propre et revient à inclure les correctifs KB4474419 et KB4490628 permettant le support de SHA-2 dans l’image Windows 7.

Pour rappel, l’article suivant revient sur les prérequis pour SHA-2 : 2019 SHA-2 Code Signing Support requirement for Windows and WSUS

Source : Twitter

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Ouverture de nouvelles régions Azure en Allemagne opérées directement par Microsoft (et non plus par Deutsche Telekom). Elles répondent aux exigences du Cloud Computing Compliance Controls Catalogue (C5) attestation.
• Les instances réservées Azure (Azure Reserved Instances) peuvent être payées au mois et non plus dès la souscription.
• Mise à jour d’Azure Cost Management incluant :
  • Nouvelle vue de détail des factures afin de voir et filtrer une partie des comptes EA
  • Vous pouvez planifier des exports automatisés de rapports à travers les abonnements en utilisant les Management Group.
  • Des nouveautés dans Cost Management Labs afin de permettre le téléchargement des tableaux comme image, le support du mode sombre dans la partie Cost Analysis, et une nouvelle expérience de démarrage.
  • Vous pouvez sauvegarder et partager des vues personnalisées dans la partie Cost Analysis.

Azure Active Directory

• Les nouveautés d’Azure Active Directory en Septembre 2019.

Azure Computer

• Disponibilité Générale de Windows Virtual Desktop. Pour rappel, Windows Virtual Destkop est un service de VDI/Bureau à distance hébergé dans Microsoft Azure. Il permet d’héberger des machines virtuelles Windows 10 Enterprise ou Windows 7 SP1 Enterprise (avec support étendu) afin notamment d’exécuter des applications soit pour des problèmes de compatibilité soit pour donner accès à des ressources à distance. Les entreprises qui ont acheté Windows 10 Enterprise peuvent toutes bénéficier de ce service sans surcout de licences. Le seul coût est au niveau du calcul, du stockage et de la bande passante généré par ces machines virtuelles.
• Microsoft étend la série Mv2 de machines virtuelles destinées à SAP HANA pour obtenir des machines virtuelles avec 12TB de mémoire allouable. Ces dernières seront disponibles dans les régions US West 2, US East, US East 2, Europe North, Europe West et Southeast Asia.
• Extension de la disponibilité de la série M dans les régions suivantes : Brazil, France, Germany, South Africa et Switzerland

Azure Network

• Microsoft propose l’interconnexion de connectivité Satellite avec Azure ExpressRoute. Parmi les fournisseurs, on retrouve : SES, Intelsat, et Viasat.
• Preview d’Azure Private Link, un moyen sécurisé pour les entreprises de consommer des services Azure comme Azure Storage ou SQL ou d’autres services de manière privée depuis leur réseau virtuel Azure (VNet). La technologie est basée sur un modèle de fournisseur et de consommateur où le fournisseur et le consommateur sont tous deux hébergés chez Azure. Une fois établie, toutes les données qui circulent entre le fournisseur de services et le consommateur sont isolées d'Internet et restent sur le réseau Microsoft. Il n'est pas nécessaire de mettre en place de passerelles, de périphériques de traduction d'adresse réseau (NAT) ou d'adresses IP publiques pour communiquer avec le service. Le service est disponible sur un nombre limité de régions.
• Azure CDN permet de l’utilisation de vos propres certificats en utilisant Azure Key Vault.
• Azure CDN supporte les domaines APEX au travers des enregistrements alias d’Azure DNS.
• Azure Firewall est maintenant conforme Payment Card Industry (PCI), Service Organization Controls (SOC), et International Organization for Standardization (ISO) supportant ainsi SOC 1 Type 2, SOC 2 Type 2, SOC 3, PCI DSS, and ISO 27001, 27018, 20000-1, 22301, 9001, et 27017.

Azure Storage

• Disponibilité Générale du stockage redondant par zone (ZRS) pour le niveau de service Premium d’Azure Files. Azure Files premium tier avec la réplication ZRS permet des services de fichiers hautement performants et hautement disponibles, qui sont construits sur des disques SSD (Solid-State Drive).
• Publication de la version 1.10.0 d’Azure Storage Explorer apportant le support de la gestion des disques de machines virtuelles permettant par exemple la sauvegarde et la restauration aisée de ces dernières.
• Preview des snapshots incrémentaux pour les disques gérés Azure (Azure Managed Disk). Ces derniers sont une sauvegarde ponctuelle et économique. Contrairement aux snapshots actuels, qui sont facturés pour la taille réelle, les snapshots incrémentaux sont facturés pour les changements delta des disques depuis le dernier snapshot. La fonctionnalité est disponible sur la région West Central US.
• Preview d’un nouveau genre de token SAS : Les tokens SAS de délégation utilisateur permettant aux utilisateurs et services moins privilégiés de déléguer des sous-ensembles de leur accès aux clients, en utilisant ce nouveau type d'URL pré-autorisé. Les clients récupèrent une clé de délégation d'utilisateurs liée à leur compte Azure Active Directory (AD), puis l'utilisent pour créer des jetons SAS accordant un sous-ensemble de leurs propres droits d'accès.

Azure SQL

• Vous pouvez maintenant activer en preview la journalisation d’audit pour Azure Database for PostgreSQL.
• Disponibilité Générale de la bascule automatique en cas d’erreur catastrophique vers différentes régions pour les instances gérées Azure SQL Database.

Azure HPC

• Preview du service Azure HPC Cache afin de réduire la latence pour les applications où les données doivent être reliées à l'infrastructure existante du datacenter en raison de la taille des ensembles de données et de l'échelle opérationnelle. Azure HPC Cache fonctionne en mettant automatiquement en cache les données actives à la fois On-Premises et dans Azure, cachant efficacement la latence aux environnements NAS (Network Attached Storage) On-Premises, aux environnements NAS basés dans Azure en utilisant Azure NetApp Files ou Azure Blob Storage. Le cache offre un accès réseau transparent et performant au système de fichiers (NFSv3) aux fichiers dans les structures de répertoires conformes à l'interface POSIX (Portable Operating System Interface). Le cache peut également agréger plusieurs sources de données dans un espace de nom agrégé pour présenter une structure de répertoire unique aux clients. Les clients d'Azure compute peuvent alors accéder aux données comme si elles provenaient d'un seul déposant NAS.

Azure MarketPlace

• On retrouve 49 nouvelles offres dans l’Azure Marketplace :
  • Concernant les applications Web : AZULINK, BI for Dynamics 365F, Blender with Flamenco worker on Windows - ATLG, Build Agent PRO for Azure DevOps, Cisco Firepower Management Center Virtual (FMCv), Cobra - Commercial Broker Assistant, Data One, DataRoad Reflect, desknets NEO, Docker Community Edition with Ubuntu 18.04 Lts, EVE – cloud-based live captions for your event, FM Converge on Azure, Get Azure Ops Data into Splunk - in 3 minutes, Go timesheets, expense and leave software, Hyper-Q Express Edition for Teradata to SQL DW, Imredi Audit, iNAS, Indoorway InSite 4.0, IoT Core Services, Jenkins with CentOS 7.6, Lamp with CentOS 7.6, Lamp with Ubuntu Server 18.04 Lts, LANCOM vRouter, Mediant CE Session Border Controller (SBC), MinIO Helm Chart, Mojro Technologies Private Limited, Movie Viewer, NGINX Plus Developer Edition, Nginx with Ubuntu Server 18.04 Lts, Objectivity Metadata Connect, On-Net Integration Business Series, Opus Suite, OrangeHRM, ProScheduler WFM, PyTorch from NVIDIA, PyTorch Helm Chart, Remote Desktop Services 2019 RDS Farm, SecureBox, SFTP Gateway, SmartGov for Administration, Speech to Text, TensorFlow from NVIDIA, Theobald Software Xtract IS for Azure, Tidal Migrations - Premium Insights for Database, Total Access Control, Wanos WAN Optimization (SD-WAN), WISE-PaaS/RMM 3.3, et WordPress with Ubuntu Server 16.04 Lts

Operations Management Suite (OMS)

• Network Performance Monitor permet la supervision de l’usage de bande passante pour tous les réseaux virtuels Azure pairé avec ExpressRoute. En outre, le service est disponible dans la région China East 2.
• Network Watcher est disponible dans les régions UAE North, France Central, and France South.
• Update Rollup 40 pour Azure Site Recovery offrant une une meilleure validation de l'état de préparation au basculement pour les scénarios Azure vers Azure, et la prise en charge des paramètres IP statiques lors du basculement de test.

Azure Advisor

• Azure Advisor permet la créations d’alertes configurables par l’utilisateur afin d’être notifier quand des recommandations sont mis à disposition.

Azure Monitor

• Private Preview d’Azure Monitor pour les solutions SAP permettant la supervision des infrastructures SAP HANA.

Azure Data

• Disponibilité Générale du support d’HDInsight dans Azure CLI permettant de gérer les clusters HDInsights aisément avec le groupe de commandes az hdinsight.
• Azure Data Factory s’intègre avec Netezza.
• Azure Database for PostgreSQL est maintenant une destination prise en charge dans Azure Data Factory.

Azure Cosmos DB

• Disponibilité des notebooks Jupyter intégré.
• Introduction des recommandations automatiques et personnalisées pour Azure Cosmos DB proposant un large éventail de recommandations personnalisées incluant la mise à jour des SDKs, la correction des collections partitionnées, la taille des page de requête, les indexes composites, l’usage incorrect du SDK, les erreurs transitoires, etc.

Azure IoT

• Disponibilité Générale de l’intégration entre Azure IoT avec SAP Leonardo IoT offrant aux clients la possibilité de contextualiser et d'enrichir leurs données IoT avec des données métier SAP pour générer de nouveaux résultats métier.

Azure Blockchain

• Microsoft annonce aussi l’intégration du portfolio d’applications intégrée Blockchain de SAP avec les services Azure Blockchain.

Azure AI

• Microsoft Dynamics 365 fournit de nouvelles applicationsv basées sur Azure AI et notamment Azure Machine Learning pour analyser la télémétrie des produits, Azure Cognitive Services et Azure Bot Services pour fournir un agent virtuel pour le service consommateur, Azure Search pour trouver des informations critiques rapidement.
• Azure Media Services Video Indexer ajoute le support de la reconnaissance des personnages animés et la transcription multilingue des discours. En outre, on retrouve l’extractions des entités physiques ou des personnes connues à partir du transcript de discours ou des images.

Autres services

• Disponibilité Générale de SAP Data Custodian : une offre de gouvernance de risque et de conformité pour SAP.
• Disponibilité d’un nouveau Azure Blueprint SWIFT pour aider à la gestion des comptes, à la séparation des devoirs, la réduction des privilèges, etc.
• Azure Maps étend sa disponibilité dans de nouveaux pays et régions avec l’Argentine, l’Inde, le Maroc, et le Pakistan. En outre, on retrouve une amélioration du service REST avec la mise à jour des données des points d’intérêt (heures d’ouvertures, etc.), le renvoie de l’heure de coucher et de levée du soleil par l’API. On retrouve d’autres améliorations de rendu.
• Public Preview du chiffrement de données avec des clés gérées par l’entreprise (BYOK) pour Azure Event Hubs.

L’actualité concernant la partie Modern Workplace est très riche ! Il est parfois difficile de tout s’approprié. Cet article résume les différentes annonces :

Microsoft 365

• Disponibilité prochaine à tous les clients des sites Microsoft 365 Security Center et Microsoft 365 Compliance Center. Ces derniers ne seront plus que reservés qu’aux clients Microsoft 365 E3 et E5.
• Microsoft introduit Microsoft Compliance Score pour simplifier et automatiser les évaluations des risques et fournir des actions recommandées pour aider à gérer les risques.
• Les utilisateurs actuels de Compliance Manager ou du centre de conformité Microsoft 365 qui ont des rôles explicites auront accès à la fois à l'expérience actuelle de Compliance Manager et à l'expérience à venir de Microsoft Compliance Score. Les administrateurs devront attribuer un rôle explicite aux utilisateurs qui n'ont actuellement qu'un accès implicite afin d'assurer leur accès ininterrompu aux outils de conformité.

Enterprise Mobility + Security

Azure Active Directory

• Les nouveautés d’Azure Active Directory en Septembre 2019

Microsoft Intune

• Les nouveautés de mi-septembre 2019
• Les nouveautés de fin septembre 2019

Azure Information Protection

• Nouvelle version 2.0.12 de l’application Azure Information Protection sur iOS comprenant des corrections de bugs et la mise à jour du SDK intune avec la version 8.1.1.
• Mise à jour de la documentation avec les éléments suivants :
  • Mise à jour de la section Client devices pour inclure Windows Server 2019 en tant que système d'exploitation pris en charge, avec la clarification que pour les versions de Windows Server prises en charge, Server Core et Nano Server ne sont pris en charge pour aucune fonctionnalité Azure Information Protection.
  • Mise à jour de la version minimale supportée d'iOS avec la version 11.0.
  • Quickstart: Find what sensitive information you have in files stored on-premises : Mise à jour pour inclure la version de prévisualisation du scanner à partir du client d'étiquetage unifié.
  • Central reporting for Azure Information Protection : Mis à jour pour préciser que la case à cocher Enable deeper analytics into your sensitive data s'applique uniquement au client classique.
  • Deploying the Azure Information Protection scanner to automatically classify and protect files : Mise à jour complète pour inclure la Preview du scanneur à partir du client d'étiquetage unifié, ainsi que les nouvelles fonctionnalités et la configuration du scanneur.
  • The client side of Azure Information Protection : Mise à jour pour incorporer de nouvelles fonctions et fonctionnalités pour la nouvelle version Preview du client Unified Labeling.
  • Azure Information Protection unified labeling client - Version release history and support policy : Mis à jour pour la nouvelle Preview, qui inclut tous les détails de ce qui est pris en charge pour la Preview du scanner, et d'autres changements pour le client.
  • Azure Information Protection unified labeling client administrator guide: Mise à jour complète pour le scanneur, y compris les instructions si vous souhaitez mettre à niveau un déploiement existant du scanneur à partir du client classique. En outre, la section Réinitialiser les paramètres est mise à jour pour les fichiers qui sont supprimés lorsque vous sélectionnez cette action dans le client.
  • Admin Guide: Using PowerShell with the Azure Information Protection unified client : Nouvelle procédure pour la Preview du client Unfiied Labeling (et scanner) pour créer une application enregistrée dans Azure

Cloud App Security

• Preview d’une nouvelle détection vous alerte lorsqu'un rapport Power BI potentiellement sensible est partagé de manière suspecte en dehors de l’entreprise.
• Cloud App Security supporte la nouvelle API System Log publiée par Okta.
• Cloud App Security audite toutes les activités d'autorisation d'OAuth afin de vous fournir une surveillance et une investigation complètes des activités réalisées. Vous pouvez désormais exporter les détails des utilisateurs qui ont autorisé une application OAuth spécifique, vous fournissant ainsi des informations supplémentaires sur les utilisateurs, que vous pouvez ensuite utiliser pour une analyse plus approfondie.
• Preview du nouveau connecteur pour Workday afin de superviser les activités et protéger les utilisateurs et les données.
• On retrouve une évaluation granulaire du facteur de risque de la politique de mots de passe.
• Vous avez maintenant la possibilité de personnaliser le nom du rapport (Cloud Discovery executive report) avant de le générer.
• Vous pouvez désormais exporter un rapport d'aperçu des stratégies affichant des indicateurs d'alertes agrégés par stratégie pour vous aider à surveiller, comprendre et personnaliser vos stratégies afin de mieux protéger votre entreprise.

Azure ATP

• Les capteurs Azure ATP sont maintenant capables de lire et d'enrichir automatiquement les activités d'authentification NTLM avec les données du serveur auquel vous accédez lorsque l'audit NTLM est activé et que Windows Event 8004 est activé. Azure ATP analyse l'événement Windows Event 8004 pour les authentifications NTLM afin d'enrichir les données d'authentification NTLM utilisées pour l'analyse des menaces et les alertes ATP Azure. Cette capacité fournit les activités d'accès aux ressources via les données NTLM ainsi que des activités de connexion enrichies en cas d'échec, y compris l'ordinateur de destination auquel l'utilisateur a tenté mais n'a pas réussi à accéder.
• Les versions 2.94, 2.95, 2.96, et 2.97 incluent des améliorations et des corrections de bugs pour l'infrastructure interne des capteurs.

Microsoft Defender ATP

• Microsoft a ajouté en Public Preview le support des IOCs (Indicateurs de compromission) personnalisés pour les URLs, les adresses IP et les domaines par Microsoft Defender ATP. La fonctionnalité utilise Windows Defender Exploit Guard Network Protection pour bloquer les URLs, adresses IP et domaines définis.
• Disponibilité Générale de Live Response permettant de réaliser des actions à distance via un accès en terminal sur la machine. Ceci vous permet de réaliser des opérations d’investigation.
• Microsoft a mis à jour les alertes pour afficher les informations sur les techniques MITRE ATT&CK avec notamment l’identifiant associé.
• Preview de nouveaux rapports permettant de suivre la protection web avec les détections à travers le temps, le résumé de la protection contre les menaces web.
• Public Preview d’API Explorer, un outil qui permet d’explorer les différentes APIs Microsoft Defender ATP de manière interactive.
• Public Preview des applications connectées pour voir les applications Azure Active Directory qui s’intègrent à Microsoft Defender ATP (Power BI, Microsoft Flow, applications personnalisés et tierces, etc.)
• Disponibilité Générale du support de l’agent EDR Microsoft Defender ATP pour Windows Server 2008 R2

Office 365 et Office

• Pour rappel, Microsoft retire les protocoles hérités dans Exchange Online en Octobre 2020. Par la même occasion, ce sont les connexions clientes d’Office 2013 qui ne seront plus supportées. Ceci inclut les connexions aux services Exchange Online, SharePoint Online, et OneDrive for Business.
• Microsoft va intégrer nativement les labels de sensibilité d’Azure Information Protection dans les applications Office 365 ProPlus. Cette fonctionnalité sera disponible dans Office 365 Monthly Channel (1909). Pour les entreprises qui ont défini des labels de sensibilité et des stratégies de protection dans le centre de conformité Microsoft 365 : Un nouveau bouton Sensibilité apparaîtra dans le ruban avec des options de labels de sensibilité. Les stratégies définies par l'administrateur ou les modèles RMS ne seront pas répertoriés sur le bouton Chiffrer existant. Le bouton Chiffrer ne peut inclure que Chiffrer avec S/MIME, Chiffrer uniquement et Ne pas transférer. Pour les clients exécutant le module d'extension client Azure Information Protection, il continuera de fonctionner à la place de la fonctionnalité intégrée. La fonction Sensibilité sera automatiquement désactivée. Les administrateurs peuvent également choisir de bloquer l'add-in client Azure Information Protection par stratégie de groupe ou peuvent fournir des instructions directement à Office pour les utilisateurs Windows afin de désinstaller l'add-in. Cela affecte Excel, Outlook, PowerPoint et Word en même temps.
• Microsoft va retirer l’Upload Center d’Office à partir d’octobre 2019. Les utilisateurs ne pourront plus trouver les fichiers qui n'ont pas été sauvegardés avec succès dans le centre de téléchargement lorsque cette modification sera implémentée. Microsoft recommande plutôt l'utilisation de l'expérience Files Needing Attention dans Fichier > Ouvrir.
• Tout comme cela a été fait pour Windows et macOS, Microsoft va déployer les contrôles des expériences connectés et de confidentialité aux applications Office sur iOS en octobre.
• Office sur Windows va intégrer de nouveaux modèles 3D d’apprentissage à destination du monde de l’éducation.
• Concernant OneNote, on retrouve les nouveautés suivantes :
  • Les notes récentes (Sticky Notes) sont disponibles sur Mac et iPad.
  • L’application OneNote pour mac supporte le mode sombre (Dark mode)
• Concernant PowerPoint on the web, on retrouve :
  • Il est possible de générer un lien vers une diapositive spécifique sur PowerPoint sur le Web.
  • Public Preview de Presenter Coach permettant d’utiliser la puissance de l'intelligence artificielle (IA) pour donner aux utilisateurs des retours en temps réel à l'écran afin d'améliorer leurs aptitudes à parler en public.
• Concernant Outlook on the Web, Microsoft introduit les changements suivants :
  • Déploiement ciblé puis généralisé de Meeting Insights afin de faciliter la préparation des réunions. Lorsque les utilisateurs cliquent sur un événement de réunion dans leur Outlook sur le Web, Outlook leur proposera du contenu pertinent (comme des e-mails et des fichiers). Le contenu est adapté à chaque utilisateur et les utilisateurs ne verront que le contenu qu'ils sont autorisés à voir. Par conséquent, les participants à la réunion peuvent ne pas voir le même contenu suggéré.
  • PowerPoint sur le Web permettra l’utilisation de la fonction dessin.
  • Lorsque les utilisateurs créent des e-mails dans Outlook sur le Web, ils peuvent appliquer manuellement des labels de sensibilité Microsoft Information Protection. Le déploiement graduel est prévu jusqu’à fin octobre.
  • Microsoft a annoncé l’ajout supplémentaire de plusieurs types de fichiers bloqués sur Outlook sur le Web : ".py", ".pyc", ".pyo", ".pyw", ".pyz", ".pyzw", ".ps1", ".ps1xml", ".ps2", ".ps2xml", ".psc1", ".psc2", ".psd1", ".psdm1", ".psd1", ".psdm1", ".cer", ".crt", ".der", ".jar", ".jnlp", ".appcontent-ms", ".settingcontent-ms", ".cnt", ".hpj", ".website", ".webpnp", ".mcf", ".printerexport", ".pl", ".theme", ".vbp", ".xbap", ".xll", ".xnk", ".msu", ".diagcab", ".grp". Si vous souhaitez ne pas être impacté par ce changement, vous pouvez ajouter les extensions adéquates à la liste des types de fichiers autorisés.

Communications unifiées

• Amélioration du mécanisme de réplication des changements réalisés entre Exchange Online et Azure Active Directory. Actuellement, lorsque vous créez ou modifiez les propriétés d'un utilisateur de messagerie via Exchange Admin Center (EAC), Exchange Online PowerShell, ou toute autre API, le changement se réplique vers Azure Active Directory (AAD) via un mécanisme de synchronisation qui peut prendre du temps. Avec cette mise à jour, les modifications apportées par l'administrateur aux propriétés des utilisateurs de messagerie seront immédiatement écrites dans AAD, réduisant ainsi le temps de réplication. Vous pouvez voir des erreurs faisant référence à l'AAD lors de l'exécution de ces opérations de gestion lorsqu'il y a des problèmes de service transitoires. Vous devez traiter cette erreur comme n'importe quelle autre erreur de gestion ou de PowerShell et réessayer simplement l'opération.
• Mise à jour avec succès des services Auto Attendant et Call Queue introduisant :
  • Les tables de congés centralisées peuvent être réutilisées dans toutes les applications.
  • Vous pouvez assigner des numéros de routage direct à Auto Attendant et à Call Queue.
  • Vous pouvez attribuer un numéro hybride à AA/CQ
  • Vous pouvez attribuer plusieurs numéros à Auto Attendant ou à Call Queue.
  • L'option de routage Round Robin est introduite dans les Call Queues
• Les administrateurs globaux des tenant où le PSTN-calling est activé pourront (d’ici mi-octobre) consulter un rapport d'utilisation du PSTN dans le centre d'administration Microsoft Teams. Les administrateurs pourront consulter les activités d'appel détaillées pour les plans d'appel de Microsoft et pour le routage direct si vous utilisez votre propre opérateur téléphonique.
• Lorsqu'un utilisateur interne met un appel téléphonique externe en attente, le système téléphonique joue la musique par défaut définie par le service. Lors de la première version, cette fonctionnalité n'est pas configurable par l'administrateur. Ce changement sera effectif d’ici fin octobre.

• Les utilisateurs peuvent personnaliser d'autres paramètres de messagerie vocale à partir du client Teams, tels que la configuration des règles de réponse aux appels et le choix de la langue d'accueil.
• Généralisation de la fonctionnalité permettant aux managers d’accorder aux délégués la possibilité de modifier les paramètres d'appel et d'ajouter/supprimer d'autres délégués. L'apparence des lignes partagées fait partie de la fonction de délégation qui permet à un utilisateur de choisir un délégué pour répondre ou traiter les appels en son nom. Dans le contexte de l'apparence d'une ligne partagée, un manager est une personne qui autorise un délégué à faire ou à recevoir des appels en son nom, et un délégué peut faire et recevoir des appels au nom d'une autre personne.

• Microsoft retire le paramètre d'accès externe Skype for Business du centre d'administration de Microsoft 365 à partir de fin octobre. Au lieu d'utiliser ce paramètre, Microsoft recommande d'utiliser le paramètre dans : Teams admin center > Org-wide settings > External access.

• Le système Microsoft Phone System d'Office 365 affichera bientôt l'identification de l'appelant pour les appelants entrants PSTN ainsi que pour les numéros de téléphone dans Azure Active Directory (AAD)

• Disponibilité Générale de l’API Office 365 Service Communications.

Collaboration

• Concernant SharePoint et OneDrive, on retrouve les éléments suivants :
  • Button & Call To Action | Impliquez votre lecteur de page en fournissant un texte ciblé sur et au-dessus d'un bouton.
  • World Clock & Weather | ajoutez des villes individuelles ou un groupe de lieux pour mettre en évidence les heures et la météo locales.
  • Divider | placer une ligne entre les sections et les web parts, en choisissant la largeur et l'épaisseur.
  • Highlighted Content adds Custom Query| utiliser des requêtes CAML ou KQL personnalisées pour afficher des ensembles précis de contenu, avec la possibilité de combiner des filtres à l'aide des opérateurs AND, OR et NOT.
  • Microsoft vient de mettre à disposition OneDrive Personal Vault : Un répertoire OneDrive protégé par une authentification forte à facteurs multiples permettant de protéger les fichiers importants. Les expériences utilisateurs ont été mis à jour permettant par exemple de scanner un document et d’envoyer directement dans le dossier personnel, de restreindre le partage aux documents dans ce coffre-fort. En outre, OneDrive copie les éléments synchronisés vers une zone chiffrée par BitLocker. Avec les comptes personnels gratuits, Microsoft permet de stocker jusqu’à 3 documents. Avec Office 365 Personal et Home, il est possible de stocker un nombre infini de documents.
  • Microsoft met à disposition PC folder backup permettant de choisir les fichiers à sauvegarder automatiquement les fichiers à sauvegarder dans OneDrive.
  • L’application OneDrive sur iOS propose le mode sombre pour les périphériques iOS 13.
  • Disponibilité Générale du support de SharePoint Server 2010 par les outils de Migration SharePoint.
  • Microsoft commence le déploiement de SharePoint Online Site Swap pour les organisations de moins de 10 000 licences. Les administrateurs pourront échanger le site racine SharePoint avec un autre site à l'aide d'une nouvelle cmdlet PowerShell Invoke-SPOSiteSwap. Le site racine sera archivé automatiquement. Vous devez utiliser la version 16.0.8812.1200 ou ultérieure de SharePoint Admin PowerShell.
  • Démarrage du déploiement permettant aux propriétaires de sites SharePoint de gérer les paramètres de partage et de demande d'accès à partir du panneau de permissions du site en cliquant sur le lien "Modifier les paramètres de partage".
  • Les propriétaires de sites centraux auront la possibilité de créer des flux de travail d'approbation qui désignent qui peut approuver une demande d'association de sites SharePoint. Ceci permettra d’utiliser Flow pour ces approbations de jointure. Les administrateurs peuvent activer ou désactiver les approbations de jointure de hub pour tous les administrateurs de site SharePoint Online de leur locataire en utilisant les contrôles dans les paramètres du site du hub. Cette fonction est désactivée par défaut.
  • Je l’avais annoncé le mois précédent et le déploiement est terminé, il est maintenant possible de prévisualiser des fichiers AutoCAD (DWG) directement dans OneDrive ou SharePoint.
  • Mise à jour (2.0.1) de l’outil de diagnostic de page pour SharePoint (Page Diagnostics Tool for SharePoint). Cette version permet d’évaluer les pages classiques et modernes dans SharePoint.
  • Les propriétaires de sites SharePoint Online peuvent maintenant générer un CSV qui montre comment leur contenu est partagé, à l'intérieur et à l'extérieur de l'organisation.
  • Les administrateurs peuvent personnaliser la durée d'expiration par site pour les liens anonymes. Grâce à cette fonctionnalité, les administrateurs peuvent outrepasser la stratégie du tenant et définir une stratégie d'expiration plus ou moins restrictive pour des sites spécifiques.
  • Mise à jour des web parts avec :
• Concernant Microsoft Teams, on retrouve les annonces suivantes :
  • Si vous utilisez Microsoft Teams sur le Web avec Google Chrome, on retrouve maintenant le support des appels.
  • Une fonction Meet Now permet de ne pas envoyer d’invitation et d’aller directement dans une réunion depuis l’espace Calendar/Calendrier.
  • Vous pouvez maintenant personnaliser l’aperçu du meeting en attachant certains participant du meeting que vous voulez garder en vue.
  • Ajout d’une notification dans le fil d’activités de Teams si vous avez reçu une demande d’ajout à une réunion que vous avez manqué.
  • Microsoft publie un modèle d’application FAQ Plus pour créer un chat bot sans code et déployable en quelques minutes.
  • Sur la page Team Device, vous pouvez choisir une sonnerie secondairev. Cela vous permettra d'entendre la sonnerie de l'appel entrant Teams à partir de plus d'un périphérique (par exemple les hauts parleurs), même lorsqu'un casque d'écoute est branché.
  • Microsoft va déployer une fonctionnalité permettant aux utilisateurs d’attacher les canaux importants en haut de leur barre verticale. Ces derniers seront placés dans la catégorie ‘Pinned’
  • Décalage du déploiement de la fonctionnalité Canal privé (Private Channels) à fin Octobre. Cette fonctionnalité permet à un propriétaire de Teams de rendre privé un Teams.
  • L'application Lucidchart supporte les extensions de messagerie, le déploiement des liens avec prévisualisation et la gestion des autorisations des collaborateurs dans Microsoft Teams.
  • Les nouveaux filtres ajoutés dans Chat et Teams vous aident à filtrer votre activité.
  • Maintenant, tout comme dans le chat, vous pouvez couper le son d'une conversation dans un canal.
  • Plusieurs améliorations sur l’expérience Cloud VoiceMail avec le transfert direct d’appel vers Cloud Voicemail, l’ajout de paramétrages dans Teams incluant les règles de réponse d’appel, les langues d’accueil, etc.
  • Grâce aux nouvelles fonctionnalités allégée de jointure de réunions, les utilisateurs peuvent accéder directement à une réunion Teams dans les navigateurs Internet Explorer 11, Safari et Firefox et participer à la réunion.  L'audio de la réunion est diffusée via l'audioconférence.
• Concernant Yammer :
  • Amélioration de l’expérience Conversation sur Yammer Mobile.
• Microsoft Stream intègre une section pour les réunions Teams dans l’onglet Mon Contenu/My Content.
• Concernant Whiteboard :
  • Pour Whiteboard sur Surface Hub, vous devez vérifier que votre tenant est configurév comme attendu en activant éventuellement Easy Share permettant de partager depuis un Surface Hub sans se connecter.
  • Preview de nouveaux modèles/templates dans Whiteboard PC et iOS pour mieux collaborer et échanger : Brainstorming, Effective meeting, KANBAN sprint planning, SWOT analysis, Problem solving, Project planning, Retrospective, Project milestones, KWL (Know, Wonder, Learn) for education 
• Nouvelle version de Microsoft To Do proposant :
  • Un nouveau design proposant plusieurs options de personnalisation en changeant par exemple le fond de chaque liste.
  • Une vue My Day (Ma journée) vous suggère toutes les tâches que vous devez réaliser dans votre journée.
  • Une disponibilité sur MacOS, iOS, Android, Windows et sur le Web.
  • De voir les tâches qui vous ont été assignées par le biais de Microsoft Planner.
  • Des intégrations avec Cortana, Amazon Echo, Microsoft Launcher, etc.

Sécurité

• Disponibilité Générale de Security Policy Advisor pour Office 365 ProPlus. Ce service Cloud permet d’améliorer la sécurité des clients Office 365 ProPlus de l’entreprise en fournissant des recommandations de sécurité (stratégies, etc.), des données riches sur l’impact d’une stratégie de sécurité, etc.

Office 365 ATP

• Disponibilité Générale de la réponse automatisée aux incidents (Automated Incident Response) dans Office 365 ATP. Cette fonctionnalité permet d’initier automatiquement des playbooks ou des actions basées sur la levée d’alertes ou d’incidents. Ceci permet de réduire drastiquement le temps d’investigation et de réagir rapidement à des menaces. Les investigations automatiques initiées par des alertes surviennent lorsqu’un utilisateur a renvoyée un email de phishing, lorsqu’un utilisateur clic sur un lien malicieux déterminé par détonation, ou lorsqu’un malware est détecté après la délivrance du message ou enfin lorsqu’une attaque de phishing est détectée après coup. La fonctionnalité est disponible avec Office 365 ATP Plan 2, Office 365 E5, Microsoft 365 E5 Security.
• Il est maintenant possible de voir les en-têtes des emails et téléchargez le corps du courriel depuis le portail Security & Compliance Center.
• Microsoft met à jour ZAP (Zero-hour auto purge) pour mettre en quarantaine les messages de phishing et de spam identifiés après la livraison afin de mieux aligner l'action ZAP sur l'action de flux de messagerie définie dans la politique anti-spam.
• À partir de la mi-octobre, les fichiers qu'un administrateur télécharge et sauvegarde à partir d'Office 365 Quarantine seront nommés en fonction de l'Identifiant du message. Auparavant, le nom du fichier reflétait le contenu de la ligne objet, qui pouvait contenir des caractères non autorisés. En outre, les administrateurs qui ont activé les notifications de spam pour leurs utilisateurs, ces utilisateurs devront désormais naviguer vers le portail de quarantaine du Centre de sécurité et de conformité pour prendre des mesures en cas de courrier suspect, par exemple en envoyant un message dans leur boîte de réception.

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Septembre 2019.

Microsoft apporte les nouveautés suivantes :

• Public Preview de l’intégration entre Azure Active Directory avec SAP Cloud Platform Identity Authentication Service pour permettre une expérience de provisionnement utilisateur et du SSO à travers les applications SAP et non SAP.

• Nouvelle version 1.4.18.0 d’Azure AD Connect.
• 5 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Amazon Business, Civic Platform Accela, DarwinBox, Blink, Harness
• De nouvelles applications permettent le provisionnement par la création, la mise à jour et la suppression d’utilisateurs : 15Ffive, Druva, Elium, Flock, Oracle Fusion ERP

• Voilà qui va ravir de nombreuses personnes, l’application Microsoft Authenticator sur Android supporte la sauvegarde et la restauration Cloud.
• Microsoft a créé le rôle Global Reader pour aider à réduire le nombre d'administrateurs globaux dans l’entreprise. Ce rôle peut être affecté pour la planification, les audits ou les enquêtes. Global Reader fonctionne avec le nouveau centre d'administration Microsoft 365, le centre d'administration Exchange, le centre d'administration Teams, le centre de sécurité, le centre de conformité, le centre d'administration Azure AD et le centre d'administration Device Management.
• Intégration forte entre F5 et Azure AD permettant la protection des applications basées sur des authentifications héritées en appliquant des stratégies d’accès conditionnelles qui peuvent utiliser le moteur de protection d’identité. Cette intégration permet aussi de donner accès aux fonctions de Single Sign-On et d’authentification sans mot de passe. Ceci est possible par la publication dans la galerie d’applications Azure AD de F5-BIG IP Application Manager.
• Public Preview de la gestion en masse des groupes et des membres en utilisant des fichiers CSV dans le portail Azure AD. Ceci vous permettra d’ajouter/supprimer des membres d’un groupe, de télécharger la liste des groupes depuis l’annuaire, de télécharger la liste des membres pour un groupe spécifique.
• Microsoft a introduit le consentement administrateur pour prendre en charge le consentement dynamique pour les applications qui souhaitent utiliser le modèle de consentement dynamique sur la plate-forme Microsoft Identity.
• La nouvelle intégration entre l'application mobile Power BI et Azure AD Application Proxy vous permet de vous connecter en toute sécurité à l'application mobile Power BI et de visualiser les rapports de votre organisation hébergés sur le serveur de rapports Power BI On-Premises.

On retrouve les modifications de service suivantes :

• Vous devez réévaluer vos stratégies d’accès conditionnel Azure Active Directory avec l’arrivée d’iPadOS notamment si vous utilisez des conditions sur le type de système ou le type d’applications.

• Nouvelle version 8.0.2 d’Azure Multi-Factor Authentication (MFA) apportant les éléments suivants :
  • Correction d'un problème lorsque la synchronisation Azure AD change un utilisateur de Désactivé à Activé, un email est envoyé à l'utilisateur.
  • Correction d'un problème qui empêchait les clients de mettre à niveau tout en continuant à utiliser la fonctionnalité des balises.
  • Ajout de l'indicatif de pays du Kosovo (+383).
  • Ajout d'un journal d'audit de contournement unique dans le fichier MultiFactorAuthSvc.log.
  • Performances améliorées pour le Web Service SDK.
  • Correction d'autres bugs mineurs.
• L’expérience Mon Profil/MyProfil deviendra Mon compte/my Account. En plus du changement de nom et de quelques améliorations de conception, l'expérience mise à jour offrira une intégration supplémentaire avec la page du compte Microsoft Office. Plus précisément, vous pourrez accéder aux installations et abonnements Office à partir de la page Vue d'ensemble du compte.
• Nouvelle version Preview du module AzureADPreview incluant les cmdlets suivantes :
  • Add-AzureADMSFeatureRolloutPolicyDirectoryObject
  • Get-AzureADMSFeatureRolloutPolicy
  • New-AzureADMSFeatureRolloutPolicy
  • Remove-AzureADMSFeatureRolloutPolicy
  • Remove-AzureADMSFeatureRolloutPolicyDirectoryObject
  • Set-AzureADMSFeatureRolloutPolicy.

Plus d’informations sur : What’s new Azure AD

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Pour l’arrivée d’iPadOS, vous devez revoir vos éventuelles stratégies d’accès conditionnelle.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [iOS] Preview du mode User Enrollment, un nouveau type d'inscription pour les périphériques Apple. Microsoft intègre une interface permettant de déployer des types d'enregistrement aux utilisateurs ou périphériques.

Gestion du périphérique

• [iOS] Support d’iPadOS et iOS13.1.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Scott Duffey (Intune PM) a publié un très bon article pour expliquer les investissements futurs et le fonctionnement de l’affinité périphérique utilisateur dans Microsoft Intune. Cette notion d’affinité périphérique utilisateur est importante dans Microsoft Intune car c’est elle qui définit la liste des périphériques que l’utilisateur peut voir dans le portail d’entreprise et sur lesquels il peut lancer une opération d’effacement. Elle permet aussi à l’administrateur depuis la console de lister tous les périphériques d’un utilisateur en cliquant sur le lien associé.

Voici un tableau qui donne l’utilisateur principal assigné et le moment de l’assignation pour chaque méthode d’enregistrement et chaque plateforme :

Une des limitations passées était qu’il n’était pas possible sur un périphérique Windows 10 dans un mode partagé (Shared Device), d’utiliser le portail d’entreprise pour installer des applications ciblées sur l’utilisateur connecté. Ce n’est plus le cas depuis la version 10.3.4651.0.

Scott annonce aussi des possibilités futures permettant d’ajouter ou changer un utilisateur principal à partir du portail d‘administration ou même d’hérité de cette valeur depuis des sources externes telles que System Center configuration Manager.

Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-How-User-Device-Affinity-works-in-Intune/ba-p/708196

Je vous en avais déjà parlé au travers d’un article il y a quelques mois, l’équipe Azure Information Protection vient confirmer et donner plus de détails sur comment se préparer à l’éventualité de la sortie du service Azure Information Protection. L’article revient sur :

• La sortie d’une entreprise qui utilise des clés gérées par Microsoft
• La sortie d’une entreprise qui utilise ses propres clés (BYOK)
• Le déchiffrement en masse comme solution de sortie

Si ce sujet vous intéresse, je vous invite à lire attentivement l’article : How to prepare an Azure Information Protection “Cloud Exit” plan

Windows 10 1703 arrive en fin de support ce jour. Ainsi, le portail d’entreprise de Microsoft Intune ne sera plus supporté dans 90 jours ; c’est-à-dire le 26 décembre 2019. Microsoft recommande donc la mise à jour des périphériques Windows 10 1703 vers une version ultérieure pour continuer à être supporté par Microsoft Intune.

Vous pouvez pour cela utiliser :

• System Center Configuration Manager si le périphérique est cogéré en le mettant à jour via les plans de maintenance Windows 10 ou les séquences de tâches
• Microsoft Intune en créant des anneaux de mises à jour (Update Rings)

Source : https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet

Aujourd’hui signe la fin de support de Windows 10 1703. Ainsi, le Patch Tuesday d’Octobre 2019 était le dernier pour cette version et Microsoft ne publiera plus de mises à jour de sécurité. L’entreprise ne fournira plus d’assistance technique excepté en mode best efforts.

Microsoft recommande donc la mise à jour des périphériques Windows 10 1703 vers une version ultérieure pour continuer à être supporté par Microsoft Intune.

Vous pouvez pour cela utiliser :

• System Center Configuration Manager si le périphérique est cogéré en le mettant à jour via les plans de maintenance Windows 10 ou les séquences de tâches
• Microsoft Intune en créant des anneaux de mises à jour (Update Rings)

Plus d’informations sur : https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet

Microsoft vient de mettre à disposition la Technical Preview 1909 (5.0.8884.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1909 comprend les nouveautés suivantes :

Administration

• Un outil (ExtendMigrateToAzure.exe) vous permet d’étendre et migrer vos serveurs System Center Configuration Manager vers Microsoft Azure. L’outil vous permet de :
  • Vérifier les prérequis permettant de mettre en place la haute disponibilité du serveur de site afin de créer une instance passive dans Azure.
  • Lister les éléments nécessaires pour basculer le serveur de base de données dans Azure
  • Provisionner les rôles de système de site de l’infrastructure dans Azure
  • D’obtenir un script PowerShell de déploiement dans Azure.

• Amélioration de la gestion de BitLocker avec :
  • L’ajout de rapports intégré
  • Du portail à destination du HelpDesk/Support pour l’administration et la supervision des clés
  • Du portail en libre-service à destination des utilisateurs finaux pour récupérer les clés.

Les portails doivent être installés via un script d’installation dédié vous permettant de choisir les serveurs cibles.

 Inventaires

• Amélioration de CMPivot pour inclure les entités suivantes : Les journaux d’évenements Windows, Le contenu de fichier, les DLLs chargés par des processus, les informations Azure Active Directory, l’état Endpoint Protection.
• Amélioration de CMPivot avec la mis à jour des entités CcmLog() et EventLog() pour ne regarder que les messages des dernières 24 heures par défaut. Ce comportement peut être changé en passant dans un intervalle de temps optionnel. Par exemple, CcmLog('Scripts',1h) examinera les événements de la dernière heure.
• Amélioration de CMPivot et de l'entité File() pour collecter des informations sur les fichiers cachés et les fichiers système, et inclure le hachage MD5.
• Amélioration de CMPivot pour permettre l’ajout de commentaires dans les requêtes avec //
• CMPivot se connecte automatiquement au dernier site. Après avoir démarré CMPivot, vous pouvez vous connecter à un nouveau site si nécessaire.
• Amélioration de CMPivot et du menu Exporter avec la nouvelle option Query link to clipboard. Cette action copie un lien vers le presse-papiers que vous pouvez partager avec d'autres personnes.
• Amélioration de CMPivot pour permettre le lancement du portail en ligne Microsoft Defender Security Center dans les résultats de la requête si l'appareil est enregistré dans Microsoft Defender Advanced Threat Protection (ATP).

Gestion des mises à jour logicielles

• Microsoft a complétement revu la fonction Server Group qui permettait d’orchestrer l’installation des mises à jour logicielles. Cette dernière est renommée Orchestration Groups et permet d’offrir un meilleur contrôle sur le déploiement des mises à jour logicielles. Vous pouvez donc créer des collections qui définissent la façon dont les mises à jour logicielles doivent s’installer en fonction d’un pourcentage de disponibilité, d’un nombre de machines ou d’un ordre spécifique. La fonction vous permet d’exécuter des scripts de pré déploiement et de post installation. La création du groupe d’orchestration se fait depuis Assets and Compliance – Orchestration Group.
• J’en parlais il y a quelques jours, Vous pouvez maintenant maintenir et mettre à jour les périphériques exécutant des Builds Windows Insider avec Configuration Manager.
• La TP1908.2 a permis de gérer la disposition par défaut du clavier pendant le déploiement de l'OS. Cette version ajoute un contrôle supplémentaire sur la configuration de la langue au cours de ce processus avec notamment :
  • Localisation du système
  • Langue de l'interface utilisateur
  • Remplacement de la langue de l'interface utilisateur
  • Localisation de l'utilisateur

Office 365

• Microsoft publie un tableau de bord sur l’état de santé Office 365 ProPlus fournissant des éléments comme les problèmes de composants additionnels, les problèmes de macros, les problèmes généraux du périphérique.

Déploiement de système d’exploitation

• Le moteur de séquence de tâches peut télécharger des packages à la demande à partir d'une CMG ou d'un Cloud Distribution Point. Ce changement offre une flexibilité supplémentaire avec les déploiements de mise à niveau de Windows 10 vers des périphériques sur Internet.
• Amélioration du Task Sequence Debugger :
  • Une nouvelle variable de séquence de tâches TSDebugOnError permet de démarrer automatiquement le Debugger lorsque la séquence de tâches renvoie une erreur.
  • Si vous créez un point d'arrêt dans le Debugger, puis que la séquence de tâches redémarre l'ordinateur, le Debugger conserve les points d'arrêt après redémarrage.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1909

Depuis Windows 10 1903, on retrouve la capacité de protéger Microsoft Defender Antivirus dans une sandbox/un conteneur (tamper protection) rendant plus beaucoup plus difficile pour un attaquant de manipuler et d'exploiter la solution antivirus comme moyen de compromettre le périphérique lui-même.  Cette capacité empêche une application malicieuse d’effectuer les actions suivantes :

• Désactiver la protection contre les virus et les menaces
• Désactiver la protection en temps réel
• Désactiver la surveillance du comportement
• Désactiver la détection des fichiers suspicieux depuis internet (tel que IOfficeAntivirus (IOAV))
• Désactivation de la protection fournie par le cloud
• Supprimer des mises à jour du renseignement de sécurité (comprendre mises à jour de définition)

Le mécanisme intervient en empêchant le changement de paramétrages de sécurité via une des méthodes suivantes :

• Configuration des paramètres dans l'éditeur de registre sur la machine Windows
• Modification des paramètres à l'aide des cmdlets PowerShell
• Modification ou suppression des paramètres de sécurité par le biais de stratégies de groupe
• Etc.

Ce paramétage requiert les prérequis suivants :

• Licence Microsoft Defender ATP E5
• Windows 10 1903+
• Des mises à jour de définition (Mise à jour intelligente de sécurté) supérieur à 1.287.60.0
• Une version de la platefrome antimalware supérieure à 4.18.1906.3
• Une version du moteur antimalware supérieure à 1.1.15500.x.

Avant de procéder à la configuration dans Microsoft Intune, vous devez avoir procéder à l’interconnexion de Microsoft Intune avec Microsoft Defender ATP en naviguant dans Settings > Advanced features.

Pour configurer la protection contre la manipulation (Tamper Protection), vous devez créer une stratégie Endpoint Protection. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Configuration de l’appareil – Profils.

Procédez à la création du profil et sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil. Sélectionnez ensuite la catégorie Microsoft Defender Security Center.

Identifiez le paramétrage : Protection contre les manipulations (Tamper Protection).

Procédez à la création de la stratégie puis déployez là sur un groupe de machines ou d’utilisateurs.

Notez que ce paramétrage n'est pas disponible par stratégie de groupes (GPO) ou tout autre paramètre pouvant être utilisé pour modifier la protection contre les manipulations par l'administrateur ou les applications ou les logiciels malveillants ayant le privilège d'administrateur.

Microsoft et Marsh ont mené un sondage sur la perception des risques Cyber par les entreprises. Les résultats qui en ressortent est que la confiance dans la cyber résistance diminue bien que la conscience d’un cyber risque augmente.

Voici certains chiffres intéressants :

• 79% des sondés ont classé le risque cybernétique parmi les cinq principales préoccupations de leur entreprise, en hausse par rapport au 62% de 2017.
• La confiance a diminué dans chacun des trois domaines critiques de la cyberrésistance. Ceux qui disaient qu'ils n'avaient "aucune confiance" ont augmenté de :
  • 9 à 18% pour la compréhension et l'évaluation des cyber-risques.
  • 12 à 19% pour la prévention des cybermenaces.
  • 15 à 22% pour avoir réagi à des cyberévénements et s'en être remis.
• 77 % des sondés ont cité au moins une technologie opérationnelle innovatrice qu'ils ont adoptée ou envisagent d'adopter.
• 50% ont déclaré que le risque cybernétique ne constitue presque jamais un obstacle à l'adoption de nouvelles technologies, mais 23%- y compris de nombreuses petites entreprises - ont déclaré que pour la plupart des nouvelles technologies, le risque l'emporte sur les avantages commerciaux potentiels.
• 74 % évaluent les risques technologiques avant l'adoption, mais seulement 5 % disent évaluer les risques tout au long du cycle de vie de la technologie et 11 % n'effectuent aucune évaluation.
• 39% ont déclaré que le cyber-risque posé par leurs partenaires de la chaîne d'approvisionnement et leurs fournisseurs à leur entreprise était élevé ou assez élevé.
• Seulement 16% ont déclaré que le risque cybernétique qu'ils représentent eux-mêmes pour leur chaîne d'approvisionnement était élevé ou assez élevé.
• Les sondés étaient plus susceptibles d'établir des normes plus élevées pour les mesures de gestion des cyber-risques de leur propre entreprise que pour celles de leurs fournisseurs.
• 28% des entreprises considèrent que les réglementations ou lois gouvernementales sont très efficaces pour améliorer la cybersécurité.
• 37% des entreprises considèrent que les normes souples de l'industrie sont très efficaces pour améliorer la cybersécurité.
• 88% ont déclaré que le service informatique et la sécurité informatique est l'un des trois principaux propriétaires de la gestion du cyber risque, suivi du conseil d’administration (65%) et de la gestion du risque (49%).
• Seulement 17% des cadres disent avoir passé plus de quelques jours sur le cyber-risque au cours de la dernière année.
• 64% ont déclaré qu'une cyberattaque contre leur entreprise serait le principal facteur d'augmentation des dépenses liées aux cyber-risques.
• 30% des entreprises ont déclaré utiliser des méthodes quantitatives pour exprimer leur exposition aux cyber-risques, en hausse par rapport aux 17% en 2017.
• 83 % ont renforcé la sécurité des ordinateurs et des systèmes au cours des deux dernières années, mais moins de 30 % ont donné une formation en gestion ou modélisé des scénarios de cyberperte.

Pour plus de détails et d’informations, je vous invite à lire le rapport.

SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 18.3 a été mise à disposition et permet de se connecter de SQL Server 2008 à SQL Server 2019.

Cette nouvelle version apporte :

• Ajout des informations de classification des données aux propriétés de colonne de l'interface utilisateur (Information Type, Information Type ID, Sensitivity Label, et Sensitivity Label ID ne sont pas exposés dans l’interface SSMS).
• Support des fonctionnalités récemment ajoutées à SQL Server 2019.
• Ajout du support des scripts de support de la contrainte unique Azure SQL DW.
• Classification de données :
  • Ajout du support pour SQL version 10 (SQL 2008) et supérieure.
  • Ajout d'un nouvel attribut de sensibilité 'rank' pour SQL version 15 (SQL 2019) et plus et Azure SQL DB
• API SQL Assessment :
  • Ajout du versioning au format ruleset
  • Ajout de nouvelles vérifications
  • Ajout du support d’Azure SQL Database Managed Instance
  • Mise à jour des vues par défaut des cmdlets pour afficher les résultats comme une table
• Correction de bugs

Plus d’informations sur la Release Notes

Télécharger SQL Server Management Studio (SSMS) 18.3

Microsoft publie une nouvelle version (Septembre 2019) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

Cette version intègre les changements suivants :

• L'éditeur de requêtes prend désormais en charge le basculement du mode SQLCMD pour écrire et modifier des requêtes en tant que scripts SQLCMD.
• Query Editor Boost est une extension open source destinée à améliorer l'éditeur de requêtes Azure Data Studio pour les utilisateurs qui écrivent fréquemment des requêtes.
  • Enregistrer la requête courante sous forme d'extrait
  • Changer de base de données à l'aide de Ctrl+U
  • Nouvelle requête à partir du modèle
  • Améliorations des Notebooks SQL sur notamment les performances pour la prise en charge des fichiers plus volumineux des ordinateurs portables
• Mise à jour avec Visual Studio Code 1.38
• Corrections de bugs

Quand utiliser Azure Data Studio ?

• Vous devez utiliser macOS ou Linux
• Vous devez vous connecter sur un cluster big data SQL Server 2019
• Vous passez plus de temps à éditer ou exécuter des requêtes
• Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
• Vous avez un besoin minimal d’assistants
• Vous n'avez pas besoin de faire de configuration administrative profonde

Quand utiliser SQL Server Management Studio ?

• Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
• Vous avez besoin de faire une configuration administrative importante
• Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
• Vous utilisez les rapports pour SQL Server Query Store
• Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
• Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2019/09/10/the-september-release-of-azure-data-studio-is-now-available/  

Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

Télécharger Azure Data Studio

Microsoft a annoncé l’extension de fin de support étendu d’Exchange Server 2010 du 14 Janvier 2020 au 13 Octobre 2020. Notez que la nouvelle date correspond à la fin de support des protocoles hérités par Exchange Online. Cette extension s’aligne aussi sur la fin de support d’Office 2010 et SharePoint 2010.

Après le 13 octobre 2020, Microsoft ne fournira plus de support technique pour les problèmes qui peuvent survenir, y compris : les corrections de bugs pour les problèmes qui sont découverts et qui peuvent affecter la stabilité du serveur, les corrections de sécurité pour les vulnérabilités qui sont découvertes et qui peuvent rendre le serveur vulnérable aux violations de sécurité, et les mises à jour des fuseaux horaires.

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Microsoft-Extending-End-of-Support-for-Exchange-Server-2010-to/ba-p/753591

Aujourd’hui, je souhaitais vous partager un retour d’expérience lors du déploiement du connecteur de certificats PKCS ou SCEP de Microsoft Intune. Lors de la configuration du connecteur et après le processus de connexion, l’interface du connecteur (NDESConnectorUI) vous renvoie le message suivant :

An unexpected error has occurred

Si vous regardez le fichier de journalisation NDESConnector_YYYY-MM-DD_xxxxxx.svclogdans %programfiles%\Microsoft Intune\NDESConnectorSvc\Logs\Logs\, vous observez les erreurs suivantes :

NDES Connector certificate could not be found

<Source Name="NDESConnectorService" /><Correlation ActivityID="{<Correlation ActivityID>}" /><Execution ProcessName="NDESConnector" ProcessID="7364" ThreadID="50" /><Channel/><Computer>Computer_Name</Computer></System><ApplicationData>Writing registry SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus - IssueDetails with the value 0x80004003.

Ce problème survient si l’utilisateur/administrateur du service Intune qui se connecte, n’a de licence Microsoft Intune attribuée. Vous devez donc attribuer une licence.

Plus d’informations sur : "Unexpected error" and error 80004003 when you sign in to Intune NDES Connector UI

Microsoft vient de mettre à jour le pack d’administration (Management Pack) pour la brique Skype for Business Server 2015 en version 9319.562. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack apporte les fonctionnalités suivantes :

• Scénario de disponibilité de bout en bout à partir de plusieurs emplacements.
• Fiabilité et qualité des appels perçue par les utilisateurs
• Etat de santé et performance des composants

Ce Management Pack fonctionne avec System Center Operations Manager 2007 R2 ou System Center 2012 Operations Manager. Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger Skype for Business Server 2015, Management Pack

Michael Niehaus (MSFT) a publié un très bon billet informatif sur des problématiques entre Windows Autopilot pour les périphériques existants et Windows 10 1903. Ce scénario implique l’utilisation de System Center Configuration Manager pour descendre une image de Windows 10 et ensuite lancer le processus Windows Autopilot via un fichier JSON présent localement sur la machine.

La problématique est que dans Windows 10 1903, Microsoft a introduit la suppression du dossier C:\Windows\Provisioning\Autopilot lors de l’exécution de la commande sysprep /generalize.

Dans le même temps, la séquence de tâches proposée par Configuration Manager pour le scénario Windows Autopilot for existing devices comprend l’étape ‘Prepare Windows for Capture” qui exécute la commande sysprep /generalize. Le dossier est donc nettoyé. Or le fichier JSON pour ce scénario et utilisé pour démarrer Windows Autopilot est présent dans ce dossier.

Par conséquent, il recommande :

• La désactivation de la tâche Prepare Windows for Capture
• L’ajout d’une étape Run Command line avec la commande : c:\windows\system32\sysprep\sysprep.exe /oobe /reboot

Plus d’informations sur : A challenge with Windows Autopilot for existing devices and Windows 10 1903

Microsoft a revu l’iFrame permettant l’ajout d’une application/lien web/application métier provenant du Managed Google Play pour Microsoft Intune. Si vous utilisez Internet Explorer pour accéder au portail Intune soit via portal.azure.com ou devicemanagement.microsoft.com, vous pouvez observer le non chargement de l’iFrame et une fenêtre blanche :

Le problème n’est pas constaté pour Microsoft Edge, Microsoft Edge (Chromium), Google Chrome ou Mozilla Firefox.

Microsoft est au courant du problème et travaille à corriger ce dernier.

Microsoft vient de publier la version finale de la baseline de paramétrages de sécurité (v1908) pour Office 365 ProPlus. Ces dernières s’utilisent avec Security Compliance Manager (SCM), par GPO, ou via le nouveau service Office Cloud Policy. Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft. Les paramètres recommandés correspondent aux modèles d’administration publiés (Version 4909) en septembre 2019. Microsoft a fait une revue de tous les paramétrages proposés pour ne se concentrer que sur ce qui a une valeur pour ces nouvelles versions d’Office.

Parmi les changements mis en avant, on retrouve :

• La catégorisation des GPOs par composants pour que les réglages "difficiles" puissent être ajoutés ou supprimés unitairement.
• Blocage complet des formats de fichiers hérités
• Blocage de l'utilisation de Dynamic Data Exchange (DDE) par Excel
• L'option "Block macros from running in Office files from the Internet" est désormais prise en charge pour Access.
• Implémentation de nouveaux paramètres pour bloquer l'ouverture de certains fichiers non fiables et en ouvrir d'autres en mode Protégé.
• Activation du nouveau réglage "Macro Runtime Scan Scope".

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Microsoft-Security-Baselines/Security-baseline-for-Office-365-ProPlus-v1908-Sept-2019-FINAL/ba-p/873084

Téléchargez Security Compliance Toolkit

Microsoft vient de publier une mise à jour (4909.1000) des modèles d’administrations (ADMX, ADML) Active Directory et des outils de personnalisation (OCT) pour Office 2016, Office 2019 et Office 365 ProPlus. Les modèles d’administrations pour Active Directory permettent d’ajouter les paramètres permettant de personnaliser les options d’Office 2019. Cette mise à jour permet par exemple d’utiliser le paramètre pour forcer Office 365 ProPlus à utiliser une licence périphérique (Use a device-based license for Office 365 ProPlus)

Télécharger Administrative Template files (ADMX/ADML) and Office Customization Tool for Office 365 ProPlus, Office 2019, and Office 2016

Zscaler a nommé Microsoft partenaire technologique de l’année 2019 pour tous les investissements et intégrations qui ont été réalisés entre les solutions. Ceci inclut :

• Azure Active Directory avec l’intégration des stratégies d’accès conditionnel avec les applications Zscaler mais aussi le support du provisionnement d’utilisateurs dans les applications Zscaler.
• Microsoft Intune avec l’intégration permettant de déployer des profils de configuration VPN.
• Microsoft Cloud App Security pour permettre la découverte et la gestion des accès via les informations renvoyées par Zscaler pour identifier du ShadowIT, etc.

Source : https://www.microsoft.com/security/blog/2019/09/23/microsoft-awarded-zscaler-technology-partner-of-the-year-2019/

Je vous propose un billet pour parler d’une erreur 1625 renvoyée lors l’installation d’une application avec System Center Configuration Manager. Cette erreur concerne les machines Windows 10. Vous observez les messages suivants en ouvrant le fichier de journalisation appenforce.log :

+++ MSI application not discovered [MSI Product Code: {XXXXXXXx}, MSI Product version:
App enforcement environment:

               Context: Machine

               Command line: msiexec /i "XXXXXXXXX.msi" /q

               Allow user interaction: No

               UI mode: 0

               User token: null

               Session Id: 1

               Content path: C:\WINDOWS\ccmcache\5

               Working directory:

    Prepared working directory: C:\WINDOWS\ccmcache\5

Found executable file msiexec with complete path C:\WINDOWS\system32\msiexec.exe

    Prepared command line: "C:\WINDOWS\system32\msiexec.exe" /i " XXXXXXXXX.msi" /q /qn

Valid MSI Package path = C:\WINDOWS\ccmcache\5\ XXXXXXXXX.msi

    Advertising MSI package [C:\WINDOWS\ccmcache\5\ XXXXXXXXX.msi] to the system

AdvertisePackage - MsiAdvertiseProduct Failed : 0x80070659

AdvertisePackage failed (0x80070659).

Lowright users might fail to install this application if it requires higher privileges

    Executing Command line: "C:\WINDOWS\system32\msiexec.exe" /i " XXXXXXXXX.msi" /q /qn with user context

    Working directory C:\WINDOWS\ccmcache\5

    Post install behavior is BasedOnExitCode

    Waiting for process 6044 to finish.  Timeout = 120 minutes.

    Process 6044 terminated with exitcode: 1625

    Looking for exit code 1625 in exit codes table...

    Unmatched exit code (1625) is considered an execution failure.

L’erreur 1625 correspond au message : “This installation is forbidden by system policy. Contact your system administrator”.
Ceci est dû à l’activation de Windows Defender Application Control / Device Guard. Une stratégie est appliquée sur la machine Windows 10 et bloque les installations même si elles sont réalisées avec le compte système.

En l’occurrence ici, la stratégie est appliquée avec une stratégie de restriction du périphérique (Device Restriction) dans Microsoft Intune. Le périphérique est dans un mode Co-Management et l’installation de l’application a lieu avec System Center Configuration Manager.

Windows Defender Application Control permet normalement à l’outil d’administration de spécifier une exception appelée Managed Installers pour des outils de déploiement. Les solutions d’administration définies comme Managed Installers peuvent exécuter des installations d’applications et les applications installées sont automatiquement ajoutées à la liste des exceptions pour l’exécution.

En l’occurrence, Microsoft Intune (à date d’écriture – Août 2019) ne définit ni ses propres processus (Intune Management Extension) ni le client ConfigMgr comme Managed Installers. C’est pourquoi cette situation survient dans un mode de Co-Management.

A date, la seule option est de déployer la stratégie Windows Defender Application Control avec System Center Configuration Manager. En effet, ce dernier s’ajoute tout seul comme Managed Installer et peut ainsi exécuter l’installation des applications qu’il déploie. Notez qu’à date, la stratégie Windows Defender Application Control avec System Center Configuration Manager, ne définit par contre pas Microsoft Intune (Intune Management Extensions) comme Managed Installer et ce malgré la mise en place du Co-Management.

Microsoft travaille pour améliorer ces scénarios (notamment côté Intune)