Microsoft vient de publier une mise à jour (4909.1000) des modèles d’administrations (ADMX, ADML) Active Directory et des outils de personnalisation (OCT) pour Office 2016, Office 2019 et Office 365 ProPlus. Les modèles d’administrations pour Active Directory permettent d’ajouter les paramètres permettant de personnaliser les options d’Office 2019. Cette mise à jour permet par exemple d’utiliser le paramètre pour forcer Office 365 ProPlus à utiliser une licence périphérique (Use a device-based license for Office 365 ProPlus)

Télécharger Administrative Template files (ADMX/ADML) and Office Customization Tool for Office 365 ProPlus, Office 2019, and Office 2016

Zscaler a nommé Microsoft partenaire technologique de l’année 2019 pour tous les investissements et intégrations qui ont été réalisés entre les solutions. Ceci inclut :

• Azure Active Directory avec l’intégration des stratégies d’accès conditionnel avec les applications Zscaler mais aussi le support du provisionnement d’utilisateurs dans les applications Zscaler.
• Microsoft Intune avec l’intégration permettant de déployer des profils de configuration VPN.
• Microsoft Cloud App Security pour permettre la découverte et la gestion des accès via les informations renvoyées par Zscaler pour identifier du ShadowIT, etc.

Source : https://www.microsoft.com/security/blog/2019/09/23/microsoft-awarded-zscaler-technology-partner-of-the-year-2019/

Je vous propose un billet pour parler d’une erreur 1625 renvoyée lors l’installation d’une application avec System Center Configuration Manager. Cette erreur concerne les machines Windows 10. Vous observez les messages suivants en ouvrant le fichier de journalisation appenforce.log :

+++ MSI application not discovered [MSI Product Code: {XXXXXXXx}, MSI Product version:
App enforcement environment:

               Context: Machine

               Command line: msiexec /i "XXXXXXXXX.msi" /q

               Allow user interaction: No

               UI mode: 0

               User token: null

               Session Id: 1

               Content path: C:\WINDOWS\ccmcache\5

               Working directory:

    Prepared working directory: C:\WINDOWS\ccmcache\5

Found executable file msiexec with complete path C:\WINDOWS\system32\msiexec.exe

    Prepared command line: "C:\WINDOWS\system32\msiexec.exe" /i " XXXXXXXXX.msi" /q /qn

Valid MSI Package path = C:\WINDOWS\ccmcache\5\ XXXXXXXXX.msi

    Advertising MSI package [C:\WINDOWS\ccmcache\5\ XXXXXXXXX.msi] to the system

AdvertisePackage - MsiAdvertiseProduct Failed : 0x80070659

AdvertisePackage failed (0x80070659).

Lowright users might fail to install this application if it requires higher privileges

    Executing Command line: "C:\WINDOWS\system32\msiexec.exe" /i " XXXXXXXXX.msi" /q /qn with user context

    Working directory C:\WINDOWS\ccmcache\5

    Post install behavior is BasedOnExitCode

    Waiting for process 6044 to finish.  Timeout = 120 minutes.

    Process 6044 terminated with exitcode: 1625

    Looking for exit code 1625 in exit codes table...

    Unmatched exit code (1625) is considered an execution failure.

L’erreur 1625 correspond au message : “This installation is forbidden by system policy. Contact your system administrator”.
Ceci est dû à l’activation de Windows Defender Application Control / Device Guard. Une stratégie est appliquée sur la machine Windows 10 et bloque les installations même si elles sont réalisées avec le compte système.

En l’occurrence ici, la stratégie est appliquée avec une stratégie de restriction du périphérique (Device Restriction) dans Microsoft Intune. Le périphérique est dans un mode Co-Management et l’installation de l’application a lieu avec System Center Configuration Manager.

Windows Defender Application Control permet normalement à l’outil d’administration de spécifier une exception appelée Managed Installers pour des outils de déploiement. Les solutions d’administration définies comme Managed Installers peuvent exécuter des installations d’applications et les applications installées sont automatiquement ajoutées à la liste des exceptions pour l’exécution.

En l’occurrence, Microsoft Intune (à date d’écriture – Août 2019) ne définit ni ses propres processus (Intune Management Extension) ni le client ConfigMgr comme Managed Installers. C’est pourquoi cette situation survient dans un mode de Co-Management.

A date, la seule option est de déployer la stratégie Windows Defender Application Control avec System Center Configuration Manager. En effet, ce dernier s’ajoute tout seul comme Managed Installer et peut ainsi exécuter l’installation des applications qu’il déploie. Notez qu’à date, la stratégie Windows Defender Application Control avec System Center Configuration Manager, ne définit par contre pas Microsoft Intune (Intune Management Extensions) comme Managed Installer et ce malgré la mise en place du Co-Management.

Microsoft travaille pour améliorer ces scénarios (notamment côté Intune)

Voici un excellent billet de l’équipe du support Microsoft Intune qui résume les options disponibles pour mettre des périphériques Android et iOS dans un mode Kiosk. On retrouve donc :

• Le mode Kiosk via Android Device Administrator couplé à Samsung KNOX (non recommandé dans le temps)
• Le mode Kiosk d’Android Enterprise Dedicated Device
• Le mode Kiosk d’iOS et son mode supervisé
• L’utilisation d’une restriction de périphérique détournée sur iOS

Pour plus de détails, je vous invite à lire : Enabling kiosk mode on Android and iOS devices

Microsoft a publié la Public Preview (v2.4.38.0) du nouveau client et scanner Unified Labeling d’Azure Information Protection.  Cette version couvre les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. C’est aussi la première version du scanner basée sur l’Unified Labeling. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Pour les fonctionnalités proposées par le Scanner, on retrouve :

• Plusieurs scanners peuvent partager la même base de données SQL Server lorsque vous configurez les scanners pour utiliser le même profil d’analyse.
• Vous devez spécifier un profil lorsque vous installez le scanner et que la base de données du scanner s'appelle AIPScannerUL_<profile_name>. Le paramètre Profil est également obligatoire pour Set-AIPScanner.
• Vous pouvez définir un label par défaut sur tous les documents, même si les documents sont déjà labelisés.
• Vous pouvez supprimer les labels existants de tous les documents et cette règle inclut la suppression de la protection si elle a déjà été appliquée par un label. La protection appliquée indépendamment d'un label est préservée.
• Comme avec le scanner du client classique, le scanner protège les fichiers Office et les fichiers PDF. Actuellement, vous ne pouvez pas configurer d'autres types de fichiers à protéger par cette version du scanner.

Concernant le client Unified Labeling, on retrouve les changements suivants :

• La cmdlet PowerShell Set-AIPAuthentication a de nouveaux paramètres lorsque vous voulez labeliser des fichiers de manière non interactive, et une nouvelle procédure pour enregistrer une application dans Azure AD.
• Les types d'informations sensibles personnalisés correspondants sont envoyés à Azure Information Protection Analytics.
• Le label appliqué affiche la couleur configurée pour le label, si une couleur a été configurée.
• Lorsque vous ajoutez ou modifiez des paramètres de protection à un label, le client applique à nouveau le label avec ces derniers paramètres de protection lors du prochain enregistrement du document. De même, le scanner réapplique le label avec ces derniers paramètres de protection lors de l’analyse suivante du document en mode Appliqué.
• Nouvelle cmdlet, Export-AIPLogs, pour rassembler tous les fichiers journaux de %localappdata%\Microsoft\MSIP\Logs et les enregistrer dans un seul fichier compressé au format.zip. Ce fichier peut ensuite être envoyé au support Microsoft si l'on vous demande d'envoyer des fichiers journaux pour vous aider à investiguer sur un problème.
• Vous pouvez modifier avec succès un fichier protégé à l'aide de l'Explorateur de fichiers et cliquez avec le bouton droit de la souris après avoir supprimé un mot de passe pour le fichier.
• Amélioration des performances et de la stabilité

Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

Plus d’informations sur la version du client AIP Unified Labeling

Télécharger Azure Information Protection unified labeling client

Microsoft est revenu sur le support d’iOS 13 par Microsoft Intune et Microsoft va vite.

Microsoft a revu notamment Microsoft Intune pour les éléments suivants :

• Device features, device restrictions, et extension profiles pour les paramètres iOS et macOS sont affichés par type d’enregistrement. On retrouve la séparation suivante :

• • iOS
    • User enrollment
    • Device enrollment
    • Automated device enrollment (supervised)
    • All enrollment types
  • macOS
    • User approved
    • Device enrollment
    • Automated device enrollment
    • All enrollment types
• iOS 13 a engendre le passage de certains paramètres pour les rendre disponibles uniquement dans un mode supervisé. Microsoft a reflété ce changement dans la console
  • App Store, Doc Viewing, Gaming
    • App store (supervised only)
    • Explicit iTunes, music, podcast, or news content (supervised only)
    • Adding Game Center friends (supervised only)
    • Multiplayer gaming (supervised only)
  • Built-in Apps
    • Camera (supervised only)
    • FaceTime (supervised only)
    • Safari (supervised only)
    • Autofill (supervised only)
  • Cloud and Storage
    • Backup to iCloud (supervised only)
    • Block iCloud Document sync (supervised only)
    • Block iCloud Keychain sync (supervised only)

Parmi les nouveautés introduites par iOS 13, on retrouve déjà :

• La Preview du nouveau mode d’enregistrement BYOD (User Enrollment) avec notamment les types d'enregistrement qui peuvent être associés aux utilisateurs ou périphériques

• Le support de l’expérience Single Sign-On avec les profils de configuration pour que les utilisateurs puissent accéder à une suite complète d'applications et de sites Web après avoir entré leur nom d'utilisateur et mot de passe une seule fois. Il est possible de configurer une extension d'application SSO générique ou la nouvelle extension d'application Kerberos intégrée d'Apple, qui permet la gestion des mots de passe et la synchronisation locale avec Active Directory. Microsoft travaille sur le support d'une extension d’application pour Azure AD qui permettra aux utilisateurs d'accéder à toutes les applications Microsoft avec une seule ouverture de session.
• De nouveaux paramètres de commande vocale pour les périphériques iOS 13.x ou ultérieurs supervisés fonctionnant en mode kiosque.
• Microsoft permet la personnalisations des nouveaux écrans introduit dans iOS 13 concernant la phase de configuration du téléphone pour les périphériques issus d’Apple DEP.

Outre ces fonctionnalités déjà proposées, Microsoft travaille sur :

• L’ajout du Dark Mode (mode sombre) au portail d’entreprise (courant octobre).
• Le support natif de 3 nouvelles restrictions applicables à iOS/iPadOS 13 (courant octobre)
  • L’accès aux partages réseaux dans l’application Fichiers
  • L’accès aux lecteurs USB dans l’application Fichiers
  • Wi-Fi toujours activé
• Le support d’ici la fin d’année de l’authentification moderne dans l’assistant de configuration (Setup Assistant) pour les périphériques DEP.

Source : Microsoft Intune Support for iOS 13.1 and iPadOS

Cela fait déjà quelques mois que je vous partage des articles sur les avancées du client Azure Information Protection Unified Labeling ou sur les nouveautés du service. Aujourd’hui, Microsoft accélère la cadence dans le but de faire adopter ce nouveau mode.

On retrouve en premier lieu un article qui explique comment adopter le client Azure Information Protection Unified Labeling en lieu et place du client classique. Le but est de mettre en avant les avantages et de démontrer qu’il n’existe que peu d’inconvénients à l’adopter.

Le second point est la publication en préversion du scanner Unified Labeling utilisé pour étiqueter/labeliser les fichiers en masse. L’avantage de celui-ci contrairement au scanner classique est de proposer un véritable mécanisme de montée en charge. Vous pouvez donc en installer plusieurs qui reçoivent la même stratégie et travaillent en équipe pour mieux adresser vos besoins. Plus d’informations sur : Unified labeling AIP scanner preview brings scaling out and more!

En outre, il est possible de définir les options de permissions définies par l’utilisateur est disponible dans le portail Security and Compliance Center.

Enfin, les applications d’Office ProPlus intègrent nativement les étiquettes de sensibilité (Sensitivity Label) sans demander l’installation d’un client Azure Information Protection. Je vous expliquais d’ailleurs il y a quelques semaines comment privilégier le client Azure Information Protection sur la fonction de sensibilité d’Office.

Microsoft a annoncé la disponibilité générale de la réponse automatisée aux incidents (Automated Incident Response) dans Office 365 ATP. Cette fonctionnalité permet d’initier automatiquement des playbooks ou des actions basées sur la levée d’alertes ou d’incidents. Ceci permet de réduire drastiquement le temps d’investigation et de réagir rapidement à des menaces.

On retrouve deux types d’investigations :

• Les investigations automatiques initiées par des alertes surviennent lorsqu’un utilisateur a renvoyée un email de phishing, lorsqu’un utilisateur clic sur un lien malicieux déterminé par détonation, ou lorsqu’un malware est détecté après la délivrance du message ou enfin lorsqu’une attaque de phishing est détectée après coup. La fonctionnalité est disponible avec Office 365 ATP Plan 2, Office 365 E5, Microsoft 365 E5 Security.
• Les investigations manuelles qui suivent un playbook à partir de l’espace Threat Explorer.

Plus d’informations sur : Automated incident response in Office 365 ATP now generally available

Je me permets de repartager les informations de Michael Niehaus sur quelques bizarreries et feedbacks de Windows Autopilot. Pour rappel, Windows AutoPilot est l’équivalent du programme Apple Device Enrollment Program (DEP). Il permet de pré-provisionner des périphériques sans action particulière de la part de l’utilisateur. On peut donc acheter le périphérique et le faire livrer directement à l’utilisateur. Ce dernier le démarre et il se configure tout seul avec les éléments nécessaires pour l’entreprise.

Voici un résumé des éléments partagés :

• L’Enrollment Status Page (ESP) ne suit pas réellement les stratégies de configuration des périphériques. L’ESP affiche une sous-catégorie Security Policy qui affiche souvent 0 sur 1/1 sur 1. En réalité, cette étape est utilisée pour un tout autre but.  Si vous installez des applications, il est fort probable que les stratégies de configuration seront traitées et appliquées avant que l'ESP ne soit terminé.
• Intune Management Extension :
  • L’Enrollment Status Page (ESP) ne traque pas les scripts PowerShell exécutés via l’Intune Management Extensions. Ils seront envoyés à la machine avec toutes les autres stratégies, Il se peut que certains s’exécutent si vous installez beaucoup d’applications mais sans garantie.
  • Les échecs d'installation des applications Win32 provoquent des timeouts sur l’ESP. Si vous installez une application Win32 via Intune Management Extensions et que cette installation échoue, généralement avec un code de retour inattendu, cette erreur n'est pas signalée par l'ESP. L’ESP finit par tomber en timeout
  • Les erreurs de règle de détection d'installation d'application Win32 provoquent des timeouts sur l’ESP. Si vous installez une application Win32 via Intune Management Extensions mais que vous n'avez pas les bonnes règles de détection, Intune Management Extensions supposera que l'application n'a pas réussi à s'installer et essaiera de l'installer à nouveau. 
• Actuellement, Microsoft Intune cible les paramètres de l’Enrollment Status Page pour les utilisateurs, pas pour les périphériques. Mais il y a certains scénarios (par exemple, white glove, self-deploying mode) où il n'y a pas d'utilisateur.  Dans ces cas, l’Enrollment Status Page utilisera la stratégie par défaut. 
• Certains scénarios de Windows Autopilot (p. ex. self-deploying mode, user-driven Hybrid Azure AD Join) échoueront avec une erreur d’enregistrement (80180005) si vous attribuez le profil Autopilot via le Microsoft Store for Business plutôt que via Intune.

Plus d’informations sur : Windows Autopilot oddities

Michael Niehaus a réalisé un billet qui résume bien pourquoi il est primordial d’éviter d’utiliser la version initiale de Windows 10 1903 pour tester ou utiliser Windows Autopilot. Parmi les bugs résolus dans les derniers correctifs cumulatifs, on retrouve :

KB4505903 (7D publiée en Juillet):

• Le scénario Windows Autopilot White Glove ne fonctionne pas sur des machines avec un système d’exploitation non anglais. Dans ce cas, vous voyez un écran rouge final qui dit que l’opération a été réalisée avec succès.
• Windows Autopilot renvoie des erreurs AUTOPILOTUPDATE lors de la phase post installation (OOBE) après un sysprep, une réinitialisation ou tout autre élément de ce type.
• Le chiffrement BitLocker n’est pas correctement configuré via Windows Autopilot.
• Il n’est pas possible d’installer d’applications universelles (UWP) à partir du Microsoft Store (de manière en ligne) engendrant ainsi des échecs lors de Windows Autopilot. C’est notamment le cas si le portail d’entreprise Intune fait partie des applications obligatoires lors de l’exécution de la page d’état d’enregistrement (ESP)
• L’utilisateur n’obtient pas les droits d’administration lors de l’utilisation du scénario User-Driven Hybrid Azure AD Join. Ceci est encore lié à la langue du système d’exploitation non anglaise.

KB4512941 (8D publiée fin août):

• Windows Autopilot for existing devices ne supprime pas correctement la page "Activités" pendant la phase OOBE.
• L'état d'attestation TPM n'est pas effacé par un sysprep /generalize, provoquant l'échec de l'attestation TPM lors d'une post installation OOBE ultérieure.  (Problème principalement rencontré avec des tests).
• L'attestation TPM peut échouer si l'appareil possède un certificat AIK valide mais pas de certificat EK. 
• Si l'attestation TPM échoue pendant le processus WIndows Autopilot White Glove, la page d'atterissage Windows Autopilot semble être suspendue.
• L'attestation TPM échoue sur les nouvelles TPMs Infineon (version du firmware > 7.69).
• Les modèles de nommage des périphériques peuvent tronquer le nom de l'ordinateur à 14 caractères au lieu de 15.
• Les stratégies Assigned Access provoquent un redémarrage qui peut interférer avec la configuration des périphériques en mode kiosk à application unique.

KB4517211 (9D Mise à jour attendue pour fin septembre) :

• L'attestation TPM échoue sous Windows 10 1903 en raison d'une extension AKI manquante dans le certificat EK.

Ainsi, il est recommandé d’utiliser les dernières images à jour à partir du portail MSDN ou d’injecter le dernier correctif cumulatif dans vos images.

Source : https://oofhours.com/2019/09/15/windows-autopilot-known-issues-in-windows-10-1903/

Microsoft vient de mettre à disposition la Preview en version 1909 de l’interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center. La disponibilité générale est attendue pour le mois prochain

Parmi les nouveautés, on retrouve notamment

• Dans la nouvelle expérience Ajouter une connexion, les machines virtuelles Azure sont maintenant un type de connexion de premier niveau. Cette fonctionnalité était auparavant sous l'onglet "Azure" lors de l'ajout d'un serveur. Lorsqu'un serveur est ajouté de cette façon, il apparaît dans la liste des connexions comme "Serveur (Azure VM)" afin que vous puissiez facilement voir lesquels de vos serveurs sont des VM Azure.
• Les deux types de connexion distincts pour les hyper-converged clusters et les failover clusters ont été fusionnés en un seul type de connexion unifié. Les clusters peuvent être ajoutés en tant que "cluster de serveurs Windows" et les outils appropriés seront chargés et disponibles, principalement en fonction de l'activation ou non de Storage Spaces Direct. Les connexions cluster hyper-converged clusters et les connexions Failover Clusters ajoutées à partir des versions précédentes de Windows Admin Center seront automatiquement migrées vers le nouveau type de connexion cluster.
• Plusieurs améliorations à Packetmon :
  • Nouvel assistant de dialogue de capture - les utilisateurs doivent suivre plusieurs étapes pour définir les conditions de capture : sélectionner des composants spécifiques, définir des filtres, choisir les paquets jetés/abandonnés ou tous les paquets.
  • Bouton Conditions de capture - ouvre une boîte de dialogue qui affiche les conditions utilisées pour créer la capture.
  • Bouton de redémarrage - réutilisez les mêmes conditions pour redémarrer la capture.
  • Boîte de dialogue Afficher les filtres - Filtrer davantage les résultats capturés
  • Bouton Enregistrer - pour enregistrer le journal capturé dans différents formats
  • La page de détails des paquets montre maintenant les noms réels des composants de la pile réseau
• Première preview de l’extension IIS pour Windows Admin Center fournissant les outils de IIS Manager.
• Disponibilité Générale (v1.2.11) de l’extension Lenovo XClarity Integrator.
• L'extension BiitOps Changes est maintenant officiellement disponible pour permettre l'identification et le dépannage des incidents de serveur via le centre d'administration Windows afin d’obtenir un puissant aperçu graphique des modifications.

Parmi les problèmes connus, on retrouve :

• L'extension Dell EMC OpenManage Integration n'est pas compatible avec Windows Admin Center v1909 en raison d'un changement de dernière minute dans cette version et ne pourra être installée. Dell EMC sortira bientôt une nouvelle version.
• Connexions de cluster - Lors de l'ajout d'une connexion de cluster, il est fait référence à la création d'un nouveau cluster, mais cette fonctionnalité n'est pas encore disponible.
• Azure Monitor onboarding - Si vous gérez un serveur ou un cluster en utilisant des identifiants "manage as", l'intégration peut échouer.
• Réseau - Si vous avez configuré un adaptateur réseau Azure, la valeur sous Microsoft Azure Virtual Network Gateway Address sera formatée comme un hyperlien mais conduira à une adresse invalide.
• Les utilisateurs de Chrome peuvent voir la réponse 403 Forbidden après la mise à niveau. La solution consiste à fermer tous les onglets chrome ouverts (assurez-vous qu'aucun processus chrome.exe n'est en cours d'exécution). Après le redémarrage du chrome, tout fonctionnera normalement. Microsoft a un message d'erreur qui l'indique clairement, mais les utilisateurs de chrome avec plusieurs onglets Windows Admin Center ouverts pendant la mise à niveau ne verront pas le message.

 Télécharger Windows Admin Center Preview

Je souhaitais vous partager deux très bons rapports réalisés par Seth Price (PFE ConfigMgr) concernant la fonctionnalité P2P Peer Cache de System Center Configuration Manager. Ce sont des rapports que j’utilise parfois dans certains environnements. On retrouve :

• PE Peer Cache Candidate Dashboard affiche une évaluation de chaque machine pour devenir un hôte Peer Cache. Les candidats sont des machines clientes, connectées en Ethernet avec 20 GB d’espace libre, et des stations de travail.
• PE Peer Cache Enabled Client liste toutes les machines qui ont Peer Cache d’activé.

Pour les utiliser, vous devez activer l’inventaire de certaines classes d’inventaire matériel et ajouter l’attribut OperatingSystem à la découverte des systèmes.

Plus d’informations sur : Configuration Manager Peer Cache: Custom Reporting Examples

Télécharger les rapports

L’équipe du support Intune a publié plusieurs bons billets expliquant comment utiliser les fonction de déploiement de certificats PKCS ou SCEP dans Microsoft Intune.

Voici les articles en question à lire et garder sous la main :

• Configuring and Troubleshooting PFX/PKCS Certificates in Microsoft Intune
• Configuring a Symantec PKI certificate template for Intune PKCS deployment
• How to configure NDES for SCEP certificate deployments in Intune
• PKCS, SCEP, and, DEP devices without user affinity

Microsoft vient de mettre à jour (août 2019) la liste des plages adresses IP utilisées pour ses différents Datacenters Microsoft Azure. Cette liste peut vous être utile pour configurer des exceptions firewall entre votre organisation et d’éventuelles machines présentes dans le cloud de Microsoft.

Télécharger :

• Microsoft Public IP Space
• Microsoft IP Range GeoLocation
• Azure IP Ranges and Service Tags – Public Cloud

L’équipe Microsoft Defender Advanced Threat Protection (MD ATP) vient d’annoncer la disponibilité générale de l’agent EDR pour Windows Server 2008 R2. Pour rappel, Microsoft Defender Advanced Threat Protection est un service initialement inclus dans Windows 10 proposant une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting. Il offre des actions de réponse et une vision courante des attaques possibles. Il permet de répondre à des attaques comme celles de ransomwares, malwares, etc. Il inclut aussi un module de gestion des menaces et des vulnérabilités.

L’agent pour Windows Server 2008 R2 s’intègre aussi avec Azure Security Center pour obtenir les informations dans ce produit provenant d’ATP.

Plus d’informations sur : Microsoft Defender ATP EDR support for Windows Server 2008 R2 now generally available

Microsoft vient d’annoncer que les clients qui utilisent Windows Insiders for Business peuvent maintenant faire des demandes de support sans surcoût via Microsoft Support pour les Builds de Windows 10 dans les canaux lent (Slow Ring) et Release Preview. Ceci concerne notamment la prochaine version Windows 10 1909. C’est une grande nouvelle qui va peut-être convaincre plus d’entreprises de déployer de manière proactive les Builds Windows Insiders.

Vous pouvez faire la demande via le formulaire suivant GET THE ONLINE SUPPORT REQUEST FORM

1. Sélectionnez ensuite le produit Windows Client v1909 Release Preview – WIPfB

1. Dans le détail du problème, entrez le titre suivant : [Nom de l’entreprise] New XXXX feature unusable after XXXX et spécifiez une description.
2. Renseignez ensuite les pages Severity, Contact Information comme vous le souhaitez
3. Validez l’ouverture dans la page de résumé.

Plus d’informations sur : Microsoft Support now available for Windows 10 Insider Preview Builds

Microsoft vient de publier une mise à jour (1.4.18.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La version n’est pour l’instant disponible que via le mécanisme de mise à niveau automatique.

Notez qu’elle comprend une correction correspondant à un changement important (voir le dernier point de la liste).

Cette version comprend les améliorations suivantes :

• De nouveaux outils de dépannage permettent de dépanner les scénarios pour un "utilisateur non synchronisé", "groupe non synchronisé" ou "membre du groupe non synchronisé".
• Support des Cloud souverains dans le script de dépannage AAD Connect
• Les paramètres WMI obsolètes pour MIIS_Service ont été supprimés. Toutes les opérations WMI doivent maintenant être effectuées via des cmdlets PS.
• Amélioration de la sécurité en réinitialisant la délégation restreinte sur l'objet AZUREADSSOACC
• Lors de l'ajout ou de l'édition d'une règle de synchronisation, s'il y a des attributs utilisés dans la règle qui sont dans le schéma du connecteur mais non ajoutés au connecteur, les attributs sont automatiquement ajoutés au connecteur. Il en va de même pour le type d'objet affecté par la règle. Si quelque chose est ajouté au connecteur, le connecteur sera marqué pour une importation complète lors du prochain cycle de synchronisation.
• L'utilisation d'un administrateur d'entreprise ou de domaine comme compte connecteur n'est plus supportée.
• Dans le Gestionnaire de synchronisation, une synchronisation complète est exécutée lors de la création/modification/suppression de règles. Une fenêtre contextuelle apparaîtra lors de tout changement de règle avertissant l'utilisateur si l'importation complète ou la synchronisation complète doit être exécutée.
• Ajout d'étapes d'atténuation des erreurs de mot de passe sur la page ‘connectors > properties > connectivity'.
• Ajout d'un avertissement de dépréciation pour le gestionnaire de service de synchronisation sur la page des propriétés du connecteur. Cet avertissement avertit l'utilisateur que les modifications doivent être effectuées par l'intermédiaire de l'assistant AADC.
• Ajout d'une nouvelle erreur pour les problèmes avec la stratégie de mot de passe d'un utilisateur.
• Empêche la mauvaise configuration du filtrage de groupe par domaine et des filtres OU. Le filtrage de groupe affichera une erreur lorsque le domaine/OU du groupe saisi est déjà filtré et empêchera l'utilisateur d'avancer jusqu'à ce que le problème soit résolu.
• Les utilisateurs ne peuvent plus créer de connecteur pour Active Directory Domain Services ou Windows Azure Active Directory dans l'ancienne interface utilisateur.
• Correction de l'accessibilité des contrôles d'interface utilisateur personnalisés dans Sync Service Manager
• Activation de six tâches de gestion de fédération pour toutes les méthodes de connexion dans Azure AD Connect. (Auparavant, seule la tâche "Update AD FS SSL certificat" était disponible pour toutes les connexions.)
• Ajout d'un avertissement lors du changement de la méthode de connexion du mode fédération à PHS ou PTA afin d’avertir que tous les domaines et utilisateurs Azure AD seront convertis en authentification gérée.
• Suppression des certificats de signature de jeton de la tâche "Reset Azure AD and AD FS trust" et ajout d'une sous-tâche séparée pour mettre à jour ces certificats.
• Ajout d'une nouvelle tâche de gestion de la fédération appelée "Manage certificates" qui comporte des sous-tâches pour mettre à jour les certificats SSL ou de signature de jetons pour la ferme AD FS.
• Ajout d'une nouvelle sous-tâche de gestion de fédération appelée "Specify primary server" qui permet aux administrateurs de spécifier un nouveau serveur primaire pour la ferme AD FS.
• Ajout d'une nouvelle tâche de gestion de fédération appelée "Manage servers" qui a des sous-tâches pour déployer un serveur AD FS, déployer un serveur Web Application Proxy, et spécifier le serveur primaire.
• Ajout d'une nouvelle tâche de gestion de la fédération appelée "View federation configuration" qui affiche les paramètres AD FS actuels. (En raison de cet ajout, les paramètres AD FS ont été supprimés de la page "Review your solution".).

Cette version comprend les corrections suivantes :

• Problème d'erreur de synchronisation résolu pour le scénario où un objet utilisateur prenant en charge son objet de contact correspondant a une auto-référence (par exemple, l'utilisateur est son propre manager).
• Pour la mise à niveau automatique, si une application en conflit fonctionne depuis 6 heures, il l’arrête et continue la mise à niveau.
• Limite le nombre d'attributs qu'un client peut sélectionner à 100 par objet lors de la sélection des extensions de répertoire. Ceci empêchera l'erreur de se produire pendant l'exportation car Azure a un maximum de 100 attributs d'extension par objet.
• Correction d'un bug pour rendre le script AD Connectivity plus robuste
• Correction d'un bug pour rendre l'installation d'AADConnect sur une machine utilisant un service WCF Named Pipes existant plus robuste.
• Amélioration du diagnostic et du dépannage des stratégies de groupe qui ne permettent pas au service ADSync de démarrer lors de son installation initiale.
• Correction d'un bug où le nom d'affichage d'un ordinateur Windows était mal écrit.
• Correction d'un bug où le type d'OS pour un ordinateur Windows était écrit incorrectement.
• Ajout de plusieurs nouvelles cmdlets (internes) au module ADSync PowerShell.
• Correction d'un bug où les machines non-Windows 10 se synchronisaient de façon inattendue. Notez que l'effet de ce changement est que les machines non Windows 10 qui étaient précédemment synchronisés seront maintenant supprimés. Ceci n'affecte pas les fonctionnalités car la synchronisation des ordinateurs Windows n'est utilisée que pour le Hybrid Azure AD domain join, qui ne fonctionne que pour les machines Windows 10. Ce problème survenait par exemple lorsque la valeur de l'attribut userCertificate pour les périphériques non Windows 10 dans AD est renseignée. Ces périphériques dans Azure AD restent dans l'état "en attente" parce que ces versions d'OS n'ont pas été conçues pour être enregistrées avec Azure AD via AAD Sync. Dans cette version d'Azure AD Connect, AAD Sync cessera de synchroniser les ordinateurs Windows de versions antérieures avec Azure AD et supprimera également les périphériques Windows de versions antérieures précédemment mal synchronisés d'Azure AD. Veuillez noter que ce changement ne supprimera pas les périphériques Windows de versions antérieures qui ont été correctement enregistrés avec Azure AD en utilisant le package MSI. Ces périphériques continueront de fonctionner comme prévu aux fins de l'accès conditionnel basé sur les périphériques. Vous pouvez donc peut être constater qu’une partie ou la totalité des périphériques Windows de versions antérieures ont disparu d'Azure AD. Si vous voyez ces suppressions d'objets Ordinateur/Périphérique de versions antérieures dans Azure AD dépasser le Seuil de Suppression d'Exportation, il est conseillé d’autoriser ces suppressions.

Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#14x0

Télécharger Microsoft Azure Active Directory Connect

Voilà une bonne nouvelle qui risque de ravir nombre de personnes, l’application Android Microsoft Authenticator supporte la sauvegarde et la restauration depuis le Cloud. Ceci permet donc la sauvegarde des comptes/identifiants vers le Cloud et de les transférer facilement vers un nouveau périphérique.

Vous devez pour cela :

• Utiliser l’application en version 6.6.0 ou +.
• Activer la sauvegarde dans les paramétrages de l’application
• Lors de la réinstallation de l’application, sélectionnez l’option commencer la restauration/Begin Recovery.

Plus d’informations sur Cloud backup and recovery for the Microsoft Authenticator app on Android now available

Un problème touche Windows Defender Antivirus sur Windows Server 2019. En effet, le client ne renvoie pas les informations d’état à System Center Configuration Manager (Etat de protection, version, dernière mise à jour, etc.).

Microsoft est au courant et travaille sur une mise à jour du client Windows Defender. Cette dernière devrait descendre automatiquement avec les mises à jour intelligente de sécurité/Mise à jour de définitions

MISE A JOUR : Le problème sera corrigé dans la mise à jour de plateforme prévue en octobre 2019.

Source : Twitter

Après l’annonce du support des Previews de Windows 10 1909 par le support Microsoft, Microsoft vient d’annoncer que les mises à jour de fonctionnalités (Builds) Windows Insider de Windows 10 vont être déployées dans le catalogue WSUS. Ceci permettra aux administrateurs de déployer ces mises à niveau sur des machines via à WSUS mais aussi à System Center Configuration Manager.

Microsoft va publier des Builds Windows Insider issue du canal lent (Slow Ring) avec une cadence mensuelle.

Ainsi la catégorie de produits Windows Insider Pre-Release a été ajoutée. Vous pouvez l’activer ainsi que la classification Upgrades pour voir apparaître les mises à niveau Windows Insider.

Dans Configuration Manager, les mises à jour apparaissent ensuite dans la partie Software Library > Overview > Windows 10 Servicing > All Windows 10 Updates

Source : https://techcommunity.microsoft.com/t5/Windows-IT-Pro-Blog/Publishing-pre-release-Windows-10-feature-updates-to-WSUS/ba-p/845054

Microsoft vient d’annoncer la disponibilité générale de la gestion des périphériques Android Enterprise dans un mode Fully Managed (COBO) par Microsoft Intune. Les périphériques Android Enterprise entièrement gérés sont des périphériques de l’entreprise associés à un seul utilisateur et utilisées exclusivement à des fins professionnelles (COBO). Les administrateurs peuvent gérer entièrement l’appareil et appliquer des contrôles de stratégie non disponibles dans les profils professionnels.

Microsoft Intune offre les fonctionnalités suivantes pour les périphériques Android Enterprise Fully Managed :

• Enregistrement du périphérique via l’une des méthodes suivantes :
  • Enregistrement via KNOX Mobile Enrollment
  • NFC
  • QR Code
  • Renseignement d’un Token
  • Enregistrement Zero Touch
• Support des stratégies d’authentification à facteurs multiples (MFA) définies par l’entreprise
• Inventaire des périphériques
• Actions à distance sur le périphérique (Effacement, etc.)
• Déploiement d’applications métiers ou issues du Managed Google Play Store
• Déploiement de liens Web
• Choix des applications systèmes activées
• Stratégie de configuration des applications
• Déploiement et configuration du Launcher Microsoft
• Configuration du périphérique
• Support d’OEMConfig pour la configuration avancée spécifique aux fabricants OEM.
• Déploiement de profil Wi-Fi
• Déploiement de profil VPN
• Déploiement de certificats
  • PKCS
  • SCEP
  • Certificats racines
• Gestion de la conformité dont le support des solutions Mobile Threat Defense (MTD)
• Stratégies de protection des applications (APP/MAM)

Les appareils doivent respecter les exigences suivantes pour pouvoir être gérés en tant que périphérique Android Enterprise entièrement gérés :

• Système d’exploitation : Android version 5.1 et ultérieures.
• Les appareils doivent exécuter une build d’Android disposant d’une connectivité à GMS (Google Mobile Services). Les appareils doivent avoir accès à GMS et doivent pouvoir s’y connecter. Aucune restriction ne vise le fabricant de l’appareil/OEM si les exigences ci-dessus sont remplies.

Note : si vous demandez de l'authentification à facteurs multiples (MFA) pour réaliser l'enregistrement d'un périphérique, le mode Fully Managed ne donne pas accès à l'application Microsoft Authenticator ni la capacité de recevoir un appel ou un SMS. L'utilisateur devra donc réaliser cette opération avec une méthode différente (un autre périphérique, etc.)

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Microsoft-Intune-support-for-Android-Enterprise-fully-managed/ba-p/862232

L’équipe du support Microsoft Intune a publié un message dans le Centre de Messages Microsoft 365 pour prévenir d’une maintenance planifiée engendrant une période d’indisponibilité. Cette dernière aura lieu d’ici la fin du mois. Durant cette maintenance, Microsoft apportera des améliorations afin d'intégrer la résilience à la reprise après sinistre dans l’infrastructure. Il s'agit d'une première étape vers l'amélioration de la résilience de Microsoft Intune face aux pannes d'un seul datacenter.

Pendant ce temps d'arrêt, vous pourrez vous connecter au portail Intune mais vous ne pourrez pas faire de changements. Microsoft recommande de ne pas se connecter à Intune pendant les temps d'arrêt, car les données et les rapports peuvent ne pas être affichés correctement. Les utilisateurs finaux ne pourront pas accéder au Portail d'entreprise ou enregistrer leur périphérique pendant cette période.

 Si vous avez configuré des exceptions sur votre pare-feu, elles devront être modifiées pour inclure les nouvelles adresses IP si vous n’utilisez pas les noms de domaine pour vos exceptions.

Microsoft informera les entreprises via des messages dans le Centre de Messages Microsoft 365, 5 jours avant la maintenance. Cette maintenance sera planifiée en dehors des heures ouvrées, afin de minimiser tout impact sur les entreprises.

Michael Niehaus (MSFT) tient maintenant un rendez-vous mensuel pour vous permettre de répondre à vos questions sur Windows Autopilot. Le prochain rendez-vous aura lieu le jeudi 26 septembre à 17h00 (heure française).

Pour rejoindre la réunion, vous devez utiliser Microsoft Teams

Source : https://oofhours.com/2019/09/21/time-for-another-qa-session/

Microsoft vient d’annoncer la disponibilité générale de Microsoft Azure Sentinel. Pour rappel Azure Sentinel est une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel, une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.

Azure Sentinel propose un modèle de coût basé sur ce que vous consommez. Ainsi, vous payez au GB ingéré et analysé par le service. Le prix sur la région West Europe est de 2,20€/GB. Vous pouvez obtenir des prix dégressifs en faisant appel à des réservations. Vous pouvez obtenir plus de détails sur le calculateur de prix.

Microsoft propose un WebCast sur Azure Sentinel le 26 septembre de 20h à 21h (heure française).

Plus d’informations sur : https://www.microsoft.com/security/blog/2019/09/24/azure-sentinel-cloud-native-siem-empowers-defenders-generally-available/

Essayez gratuitement Azure Sentinel

Microsoft a publié une nouvelle version (2.2.21.0) du client Unified Labeling d’Azure Information Protection. Cette version apporte les éléments suivants :

• Lorsque vous utilisez le paramètre avancé OutlookDefaultLabel pour définir un label par défaut différent pour Outlook, et que le label que vous spécifiez n'a pas de sous-label pour la stratégie de labelisation, le label est correctement appliqué.
• Lorsque le client Azure Information Protection est utilisé dans une application Office, un utilisateur possédant un compte Active Directory qui n'est pas configuré avec du SSO est invité à s'authentifier pour Azure Information Protection. Une fois l'authentification réussie, le statut du client passe correctement en ligne, ce qui permet la fonctionnalité de labelisation.

Le client Unified Labeling couvre pour l’instant les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

Plus d’informations sur la version du client AIP Unified Labeling

Cette version est disponible aussi dans le catalogue Microsoft Update.

Télécharger Azure Information Protection unified labeling client