L’équipe du support Intune a publié plusieurs bons billets expliquant comment utiliser les fonction de déploiement de certificats PKCS ou SCEP dans Microsoft Intune.

Voici les articles en question à lire et garder sous la main :

• Configuring and Troubleshooting PFX/PKCS Certificates in Microsoft Intune
• Configuring a Symantec PKI certificate template for Intune PKCS deployment
• How to configure NDES for SCEP certificate deployments in Intune
• PKCS, SCEP, and, DEP devices without user affinity

Microsoft vient de mettre à jour (août 2019) la liste des plages adresses IP utilisées pour ses différents Datacenters Microsoft Azure. Cette liste peut vous être utile pour configurer des exceptions firewall entre votre organisation et d’éventuelles machines présentes dans le cloud de Microsoft.

Télécharger :

• Microsoft Public IP Space
• Microsoft IP Range GeoLocation
• Azure IP Ranges and Service Tags – Public Cloud

L’équipe Microsoft Defender Advanced Threat Protection (MD ATP) vient d’annoncer la disponibilité générale de l’agent EDR pour Windows Server 2008 R2. Pour rappel, Microsoft Defender Advanced Threat Protection est un service initialement inclus dans Windows 10 proposant une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting. Il offre des actions de réponse et une vision courante des attaques possibles. Il permet de répondre à des attaques comme celles de ransomwares, malwares, etc. Il inclut aussi un module de gestion des menaces et des vulnérabilités.

L’agent pour Windows Server 2008 R2 s’intègre aussi avec Azure Security Center pour obtenir les informations dans ce produit provenant d’ATP.

Plus d’informations sur : Microsoft Defender ATP EDR support for Windows Server 2008 R2 now generally available

Microsoft vient d’annoncer que les clients qui utilisent Windows Insiders for Business peuvent maintenant faire des demandes de support sans surcoût via Microsoft Support pour les Builds de Windows 10 dans les canaux lent (Slow Ring) et Release Preview. Ceci concerne notamment la prochaine version Windows 10 1909. C’est une grande nouvelle qui va peut-être convaincre plus d’entreprises de déployer de manière proactive les Builds Windows Insiders.

Vous pouvez faire la demande via le formulaire suivant GET THE ONLINE SUPPORT REQUEST FORM

1. Sélectionnez ensuite le produit Windows Client v1909 Release Preview – WIPfB

1. Dans le détail du problème, entrez le titre suivant : [Nom de l’entreprise] New XXXX feature unusable after XXXX et spécifiez une description.
2. Renseignez ensuite les pages Severity, Contact Information comme vous le souhaitez
3. Validez l’ouverture dans la page de résumé.

Plus d’informations sur : Microsoft Support now available for Windows 10 Insider Preview Builds

Microsoft vient de publier une mise à jour (1.4.18.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La version n’est pour l’instant disponible que via le mécanisme de mise à niveau automatique.

Notez qu’elle comprend une correction correspondant à un changement important (voir le dernier point de la liste).

Cette version comprend les améliorations suivantes :

• De nouveaux outils de dépannage permettent de dépanner les scénarios pour un "utilisateur non synchronisé", "groupe non synchronisé" ou "membre du groupe non synchronisé".
• Support des Cloud souverains dans le script de dépannage AAD Connect
• Les paramètres WMI obsolètes pour MIIS_Service ont été supprimés. Toutes les opérations WMI doivent maintenant être effectuées via des cmdlets PS.
• Amélioration de la sécurité en réinitialisant la délégation restreinte sur l'objet AZUREADSSOACC
• Lors de l'ajout ou de l'édition d'une règle de synchronisation, s'il y a des attributs utilisés dans la règle qui sont dans le schéma du connecteur mais non ajoutés au connecteur, les attributs sont automatiquement ajoutés au connecteur. Il en va de même pour le type d'objet affecté par la règle. Si quelque chose est ajouté au connecteur, le connecteur sera marqué pour une importation complète lors du prochain cycle de synchronisation.
• L'utilisation d'un administrateur d'entreprise ou de domaine comme compte connecteur n'est plus supportée.
• Dans le Gestionnaire de synchronisation, une synchronisation complète est exécutée lors de la création/modification/suppression de règles. Une fenêtre contextuelle apparaîtra lors de tout changement de règle avertissant l'utilisateur si l'importation complète ou la synchronisation complète doit être exécutée.
• Ajout d'étapes d'atténuation des erreurs de mot de passe sur la page ‘connectors > properties > connectivity'.
• Ajout d'un avertissement de dépréciation pour le gestionnaire de service de synchronisation sur la page des propriétés du connecteur. Cet avertissement avertit l'utilisateur que les modifications doivent être effectuées par l'intermédiaire de l'assistant AADC.
• Ajout d'une nouvelle erreur pour les problèmes avec la stratégie de mot de passe d'un utilisateur.
• Empêche la mauvaise configuration du filtrage de groupe par domaine et des filtres OU. Le filtrage de groupe affichera une erreur lorsque le domaine/OU du groupe saisi est déjà filtré et empêchera l'utilisateur d'avancer jusqu'à ce que le problème soit résolu.
• Les utilisateurs ne peuvent plus créer de connecteur pour Active Directory Domain Services ou Windows Azure Active Directory dans l'ancienne interface utilisateur.
• Correction de l'accessibilité des contrôles d'interface utilisateur personnalisés dans Sync Service Manager
• Activation de six tâches de gestion de fédération pour toutes les méthodes de connexion dans Azure AD Connect. (Auparavant, seule la tâche "Update AD FS SSL certificat" était disponible pour toutes les connexions.)
• Ajout d'un avertissement lors du changement de la méthode de connexion du mode fédération à PHS ou PTA afin d’avertir que tous les domaines et utilisateurs Azure AD seront convertis en authentification gérée.
• Suppression des certificats de signature de jeton de la tâche "Reset Azure AD and AD FS trust" et ajout d'une sous-tâche séparée pour mettre à jour ces certificats.
• Ajout d'une nouvelle tâche de gestion de la fédération appelée "Manage certificates" qui comporte des sous-tâches pour mettre à jour les certificats SSL ou de signature de jetons pour la ferme AD FS.
• Ajout d'une nouvelle sous-tâche de gestion de fédération appelée "Specify primary server" qui permet aux administrateurs de spécifier un nouveau serveur primaire pour la ferme AD FS.
• Ajout d'une nouvelle tâche de gestion de fédération appelée "Manage servers" qui a des sous-tâches pour déployer un serveur AD FS, déployer un serveur Web Application Proxy, et spécifier le serveur primaire.
• Ajout d'une nouvelle tâche de gestion de la fédération appelée "View federation configuration" qui affiche les paramètres AD FS actuels. (En raison de cet ajout, les paramètres AD FS ont été supprimés de la page "Review your solution".).

Cette version comprend les corrections suivantes :

• Problème d'erreur de synchronisation résolu pour le scénario où un objet utilisateur prenant en charge son objet de contact correspondant a une auto-référence (par exemple, l'utilisateur est son propre manager).
• Pour la mise à niveau automatique, si une application en conflit fonctionne depuis 6 heures, il l’arrête et continue la mise à niveau.
• Limite le nombre d'attributs qu'un client peut sélectionner à 100 par objet lors de la sélection des extensions de répertoire. Ceci empêchera l'erreur de se produire pendant l'exportation car Azure a un maximum de 100 attributs d'extension par objet.
• Correction d'un bug pour rendre le script AD Connectivity plus robuste
• Correction d'un bug pour rendre l'installation d'AADConnect sur une machine utilisant un service WCF Named Pipes existant plus robuste.
• Amélioration du diagnostic et du dépannage des stratégies de groupe qui ne permettent pas au service ADSync de démarrer lors de son installation initiale.
• Correction d'un bug où le nom d'affichage d'un ordinateur Windows était mal écrit.
• Correction d'un bug où le type d'OS pour un ordinateur Windows était écrit incorrectement.
• Ajout de plusieurs nouvelles cmdlets (internes) au module ADSync PowerShell.
• Correction d'un bug où les machines non-Windows 10 se synchronisaient de façon inattendue. Notez que l'effet de ce changement est que les machines non Windows 10 qui étaient précédemment synchronisés seront maintenant supprimés. Ceci n'affecte pas les fonctionnalités car la synchronisation des ordinateurs Windows n'est utilisée que pour le Hybrid Azure AD domain join, qui ne fonctionne que pour les machines Windows 10. Ce problème survenait par exemple lorsque la valeur de l'attribut userCertificate pour les périphériques non Windows 10 dans AD est renseignée. Ces périphériques dans Azure AD restent dans l'état "en attente" parce que ces versions d'OS n'ont pas été conçues pour être enregistrées avec Azure AD via AAD Sync. Dans cette version d'Azure AD Connect, AAD Sync cessera de synchroniser les ordinateurs Windows de versions antérieures avec Azure AD et supprimera également les périphériques Windows de versions antérieures précédemment mal synchronisés d'Azure AD. Veuillez noter que ce changement ne supprimera pas les périphériques Windows de versions antérieures qui ont été correctement enregistrés avec Azure AD en utilisant le package MSI. Ces périphériques continueront de fonctionner comme prévu aux fins de l'accès conditionnel basé sur les périphériques. Vous pouvez donc peut être constater qu’une partie ou la totalité des périphériques Windows de versions antérieures ont disparu d'Azure AD. Si vous voyez ces suppressions d'objets Ordinateur/Périphérique de versions antérieures dans Azure AD dépasser le Seuil de Suppression d'Exportation, il est conseillé d’autoriser ces suppressions.

Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#14x0

Télécharger Microsoft Azure Active Directory Connect

Voilà une bonne nouvelle qui risque de ravir nombre de personnes, l’application Android Microsoft Authenticator supporte la sauvegarde et la restauration depuis le Cloud. Ceci permet donc la sauvegarde des comptes/identifiants vers le Cloud et de les transférer facilement vers un nouveau périphérique.

Vous devez pour cela :

• Utiliser l’application en version 6.6.0 ou +.
• Activer la sauvegarde dans les paramétrages de l’application
• Lors de la réinstallation de l’application, sélectionnez l’option commencer la restauration/Begin Recovery.

Plus d’informations sur Cloud backup and recovery for the Microsoft Authenticator app on Android now available

Un problème touche Windows Defender Antivirus sur Windows Server 2019. En effet, le client ne renvoie pas les informations d’état à System Center Configuration Manager (Etat de protection, version, dernière mise à jour, etc.).

Microsoft est au courant et travaille sur une mise à jour du client Windows Defender. Cette dernière devrait descendre automatiquement avec les mises à jour intelligente de sécurité/Mise à jour de définitions

MISE A JOUR : Le problème sera corrigé dans la mise à jour de plateforme prévue en octobre 2019.

Source : Twitter

Après l’annonce du support des Previews de Windows 10 1909 par le support Microsoft, Microsoft vient d’annoncer que les mises à jour de fonctionnalités (Builds) Windows Insider de Windows 10 vont être déployées dans le catalogue WSUS. Ceci permettra aux administrateurs de déployer ces mises à niveau sur des machines via à WSUS mais aussi à System Center Configuration Manager.

Microsoft va publier des Builds Windows Insider issue du canal lent (Slow Ring) avec une cadence mensuelle.

Ainsi la catégorie de produits Windows Insider Pre-Release a été ajoutée. Vous pouvez l’activer ainsi que la classification Upgrades pour voir apparaître les mises à niveau Windows Insider.

Dans Configuration Manager, les mises à jour apparaissent ensuite dans la partie Software Library > Overview > Windows 10 Servicing > All Windows 10 Updates

Source : https://techcommunity.microsoft.com/t5/Windows-IT-Pro-Blog/Publishing-pre-release-Windows-10-feature-updates-to-WSUS/ba-p/845054

Microsoft vient d’annoncer la disponibilité générale de la gestion des périphériques Android Enterprise dans un mode Fully Managed (COBO) par Microsoft Intune. Les périphériques Android Enterprise entièrement gérés sont des périphériques de l’entreprise associés à un seul utilisateur et utilisées exclusivement à des fins professionnelles (COBO). Les administrateurs peuvent gérer entièrement l’appareil et appliquer des contrôles de stratégie non disponibles dans les profils professionnels.

Microsoft Intune offre les fonctionnalités suivantes pour les périphériques Android Enterprise Fully Managed :

• Enregistrement du périphérique via l’une des méthodes suivantes :
  • Enregistrement via KNOX Mobile Enrollment
  • NFC
  • QR Code
  • Renseignement d’un Token
  • Enregistrement Zero Touch
• Support des stratégies d’authentification à facteurs multiples (MFA) définies par l’entreprise
• Inventaire des périphériques
• Actions à distance sur le périphérique (Effacement, etc.)
• Déploiement d’applications métiers ou issues du Managed Google Play Store
• Déploiement de liens Web
• Choix des applications systèmes activées
• Stratégie de configuration des applications
• Déploiement et configuration du Launcher Microsoft
• Configuration du périphérique
• Support d’OEMConfig pour la configuration avancée spécifique aux fabricants OEM.
• Déploiement de profil Wi-Fi
• Déploiement de profil VPN
• Déploiement de certificats
  • PKCS
  • SCEP
  • Certificats racines
• Gestion de la conformité dont le support des solutions Mobile Threat Defense (MTD)
• Stratégies de protection des applications (APP/MAM)

Les appareils doivent respecter les exigences suivantes pour pouvoir être gérés en tant que périphérique Android Enterprise entièrement gérés :

• Système d’exploitation : Android version 5.1 et ultérieures.
• Les appareils doivent exécuter une build d’Android disposant d’une connectivité à GMS (Google Mobile Services). Les appareils doivent avoir accès à GMS et doivent pouvoir s’y connecter. Aucune restriction ne vise le fabricant de l’appareil/OEM si les exigences ci-dessus sont remplies.

Note : si vous demandez de l'authentification à facteurs multiples (MFA) pour réaliser l'enregistrement d'un périphérique, le mode Fully Managed ne donne pas accès à l'application Microsoft Authenticator ni la capacité de recevoir un appel ou un SMS. L'utilisateur devra donc réaliser cette opération avec une méthode différente (un autre périphérique, etc.)

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Microsoft-Intune-support-for-Android-Enterprise-fully-managed/ba-p/862232

L’équipe du support Microsoft Intune a publié un message dans le Centre de Messages Microsoft 365 pour prévenir d’une maintenance planifiée engendrant une période d’indisponibilité. Cette dernière aura lieu d’ici la fin du mois. Durant cette maintenance, Microsoft apportera des améliorations afin d'intégrer la résilience à la reprise après sinistre dans l’infrastructure. Il s'agit d'une première étape vers l'amélioration de la résilience de Microsoft Intune face aux pannes d'un seul datacenter.

Pendant ce temps d'arrêt, vous pourrez vous connecter au portail Intune mais vous ne pourrez pas faire de changements. Microsoft recommande de ne pas se connecter à Intune pendant les temps d'arrêt, car les données et les rapports peuvent ne pas être affichés correctement. Les utilisateurs finaux ne pourront pas accéder au Portail d'entreprise ou enregistrer leur périphérique pendant cette période.

 Si vous avez configuré des exceptions sur votre pare-feu, elles devront être modifiées pour inclure les nouvelles adresses IP si vous n’utilisez pas les noms de domaine pour vos exceptions.

Microsoft informera les entreprises via des messages dans le Centre de Messages Microsoft 365, 5 jours avant la maintenance. Cette maintenance sera planifiée en dehors des heures ouvrées, afin de minimiser tout impact sur les entreprises.

Michael Niehaus (MSFT) tient maintenant un rendez-vous mensuel pour vous permettre de répondre à vos questions sur Windows Autopilot. Le prochain rendez-vous aura lieu le jeudi 26 septembre à 17h00 (heure française).

Pour rejoindre la réunion, vous devez utiliser Microsoft Teams

Source : https://oofhours.com/2019/09/21/time-for-another-qa-session/

Microsoft vient d’annoncer la disponibilité générale de Microsoft Azure Sentinel. Pour rappel Azure Sentinel est une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel, une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.

Azure Sentinel propose un modèle de coût basé sur ce que vous consommez. Ainsi, vous payez au GB ingéré et analysé par le service. Le prix sur la région West Europe est de 2,20€/GB. Vous pouvez obtenir des prix dégressifs en faisant appel à des réservations. Vous pouvez obtenir plus de détails sur le calculateur de prix.

Microsoft propose un WebCast sur Azure Sentinel le 26 septembre de 20h à 21h (heure française).

Plus d’informations sur : https://www.microsoft.com/security/blog/2019/09/24/azure-sentinel-cloud-native-siem-empowers-defenders-generally-available/

Essayez gratuitement Azure Sentinel

Microsoft a publié une nouvelle version (2.2.21.0) du client Unified Labeling d’Azure Information Protection. Cette version apporte les éléments suivants :

• Lorsque vous utilisez le paramètre avancé OutlookDefaultLabel pour définir un label par défaut différent pour Outlook, et que le label que vous spécifiez n'a pas de sous-label pour la stratégie de labelisation, le label est correctement appliqué.
• Lorsque le client Azure Information Protection est utilisé dans une application Office, un utilisateur possédant un compte Active Directory qui n'est pas configuré avec du SSO est invité à s'authentifier pour Azure Information Protection. Une fois l'authentification réussie, le statut du client passe correctement en ligne, ce qui permet la fonctionnalité de labelisation.

Le client Unified Labeling couvre pour l’instant les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

Plus d’informations sur la version du client AIP Unified Labeling

Cette version est disponible aussi dans le catalogue Microsoft Update.

Télécharger Azure Information Protection unified labeling client

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Pour l’arrivée d’iPadOS, vous devez revoir vos éventuelles stratégies d’accès conditionnelle.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Général] Le portail de l'entreprise est en cours de mise à jour. Vous pourrez utiliser plusieurs filtres sur la page Apps du Portail d'entreprise. La page Détails du périphérique est également en cours de mise à jour afin d'améliorer l'expérience de l'utilisateur.
• [Android] Les nouveaux tenants (les tenants existants ne sont pas impactés) auront Android Enterprise activé par défaut en lieu et place d’Android Device Administrator (Legacy). Cette configuration peut être réactivée en allant dans : Intune > Device enrollment > Android enrollment > Personal and corporate-owned devices with device administration privileges > Use device administrator to manage devices.
• [Android Enterprise] Mise à jour de l’application Microsoft Intune pour Android Enterprise Fully Managed (COBO) afin d’inclure :
  • Mise à jour et amélioration de la mise en page pour inclure la navigation en bas pour les actions les plus importantes.
  • Ajout d'une page supplémentaire qui affiche le profil de l'utilisateur.
  • Ajout de l'affichage des notifications dans l'application, telles que la nécessité de mettre à jour les paramètres de l'appareil.
  • Ajout de l'affichage des notifications poussées personnalisées, alignant l'application avec le support récemment ajouté dans l'application Portail d'entreprise pour iOS et Android.
• [iOS/macOS} Vous pouvez maintenant voir une liste des périphériques Apple Automated Device Enrollment Program (DEP) qui sont associés à un profil en naviguant dans Intune > Device enrollment > Apple enrollment > Enrollment program tokens > choisir un token > Profiles > choisir un profil > Assigned devices (sous Monitor).

• [iOS] Vous pouvez personnaliser l’écran de confidentialité lors du processus d’enregistrement dans le portail d’entreprise. Plus précisément, vous pourrez personnaliser la liste des éléments que votre entreprise ne peut pas voir ou faire sur l'appareil.  

Gestion du périphérique

• [Général] Vous pouvez maintenant sélectionner un seul périphérique, puis utiliser une action de périphérique distant pour envoyer une notification personnalisée uniquement à ce périphérique.

• [iOS] Microsoft Intune supporte iOS 13.
• [macOS] Microsoft Intune supporte macOS 10.15.
• [Android Enterprise] Disponibilité Générale de la gestion des périphériques Android Enterprise dans un mode Fully Managed (COBO).
• [Android Enterprise] Comme pour le mode Work Profile, Le déploiement des certificats SCEP est supporté pour les périphériques Android Enterprise Fully Managed (COBO). Ces profils peuvent être utilisés pour l’authentification via des profils Wi-Fi, VPN, Email.

• [Android Enterprise] Il est maintenant possible de choisir les applications systèmes activées pour les périphériques Android Enterprise Fully Managed (COBO). Ceci peut être réalisé en naviguant dans Client apps > Apps > Add. Dans la liste des types d’application, selectionnez Android Enterprise system app.

• [Android Enterprise] Vous pouvez créer une stratégie de conformité qui comprend le niveau d’attestation Google SafetyNet pour les Android Enterprise Fully Managed (COBO).
• [Android Enterprise] Les fournisseurs Mobile Threat Defense (MTD) sont supportés par Android Enterprise Fully Managed (COBO). Ceci vous permet de spécifier le niveau de menaces accepté dans les stratégies de conformité.

• [Android Enterprise] L'application Microsoft Launcher peut maintenant être configurée via des stratégies de protection d'applications pour permettre une expérience utilisateur standardisée sur des périphériques Fully Managed. L'application Microsoft Launcher peut être utilisée pour personnaliser le périphérique Android.

• [iOS] Le mode User Enrollment est un nouveau type d'inscription pour les périphériques Apple. Dans ce mode, les actions à distance : Effacement (Wipe) et Réinitialiser du code PIN ne seront pas disponibles pour ces périphériques.

Configuration du périphérique

• [Général] Mise à jour de l’interface de configuration du connecteur Exchange On-Premises pour mettre tous les contrôles au même endroit.

• [Android Enterprise] Autoriser ou restreindre l'ajout de widgets applicatifs à l'écran d'accueil sur les périphériques Android Enterprise Work Profile. Ceci peut se faire en naviguant dans Device configuration > Profiles > Create profile > Android Enterprise comme plateforme > Work profile only > Device restrictions pour type de profile.

• [iOS/macOS] Device features, device restrictions, et extension profiles pour les paramètres iOS et macOS sont affichés par type d’enregistrement. On retrouve la séparation suivante :
  • iOS
    • User enrollment
    • Device enrollment
    • Automated device enrollment (supervised)
    • All enrollment types
  • macOS
    • User approved
    • Device enrollment
    • Automated device enrollment
    • All enrollment types

• [iOS/macOS] il y a de nouveaux paramètres Single Sign-On pour les périphériques iOS 13+ et macOS 15 (Device configuration > Profiles > Create profile > iOS ou macOS pour plateforme > Device features comme type de profile). Ces paramètres configurent le SSO, en particulier pour les applications et les sites Web qui utilisent l'authentification Kerberos. Vous pouvez choisir entre une extension d'application d'authentification unique générique et l'extension Kerberos intégrée d'Apple.

• [iOS] Vous pouvez créer des profils VPN pour le client VPN natif iOS en utilisant le protocole IKEv2. Ces profils VPN configurent le client VPN natif, de sorte qu'aucune application client VPN n'est installée ou poussée vers des périphériques gérés. Cette fonction nécessite que les périphériques soient enregistrés dans Intune (inscription MDM). Ceci peut se faire en naviguant dans Device configuration > Profiles > Create profile > iOS comme plateforme > VPN pour type de profile > Connection Type.

• [iOS] Nouveaux paramètres de commande vocale pour les périphériques iOS 13.x ou ultérieurs supervisés fonctionnant en mode kiosque.

• [iOS] Intune vous permet déjà de créer des stratégies pour afficher ou masquer les applications sur vos périphériques iOS supervisés dans Device configuration > Profiles > Create profile > iOS pour plateforme > Device restrictions comme type de profile > Show or hide apps. Vous pouviez entrer l'URL de l'App Store d'iTunes. Dans cette mise à jour, les applications et itunes peuvent être utilisées dans l'URL, par exemple :
  • https://itunes.apple.com/us/app/work-folders/id950878067?mt=8
  • https://apps.apple.com/us/app/work-folders/id950878067?mt=8
• [macOS] Associer des domaines aux applications sur macOS 10.15+ pour contrôler le partage des informations d'identification avec les sites Web liés à votre application et pour être utilisées avec l'extension de SSO, les liens universels et le remplissage automatique de mot de passe d'Apple. L’option est disponible dans Device configuration > Profiles > Create profile > macOS pour plateforme > Device features comme type de profile.

•  [Windows 10] Les valeurs du type de mot de passe de la stratégie de conformité de Windows 10 sont plus claires et correspondent à celles du CSP. Dans Device compliance > Policies > Create policy > Windows 10 and later pour plateforme > System Security.
  • Les valeurs du type de mot de passe sont plus claires et mises à jour pour correspondre au CSP DeviceLock/AlphanumericDevicePasswordRequired.
  • Le paramètre Expiration du mot de passe (jours) est mis à jour pour permettre des valeurs comprises entre 1 et 730 jours.

Gestion des applications

• [Android Enterprise] Intune permet maintenant de publier des applications métiers privées Android sur Google Play via un iframe intégré dans la console Microsoft Intune. Auparavant, les administrateurs devaient publier les applications métiers directement sur la console de publication Google Play. Cette nouvelle expérience permet de publier facilement des applications métiers avec un minimum d'étapes, sans avoir besoin de quitter la console Intune. Les administrateurs n’ont plus besoin de s'inscrire manuellement en tant que développeur auprès de Google et n’ont plus à payer les frais d'inscription Google de 25$. Tous les scénarios de gestion Android Enterprise qui utilisent Managed Google Play peuvent bénéficier de cette fonctionnalité (Work Profile, Dedicated Devices, Fully Managed et non enregistrés). Dans Microsoft Intune, naviguez dans Client apps > Apps > Ajouter. Ensuite, sélectionnez Managed Google Play dans la liste Type d'application.

• [Android Enterprise] Microsoft Intune permet d'ajouter et de gérer des liens Web directement dans la console Intune via l'iframe Managed Google Play. Cela permet aux administrateurs de soumettre une URL et une icône graphique, puis de déployer ces liens vers des périphériques comme les applications Android classiques. Tous les scénarios de gestion Android Enterprise qui utilisent Managed Google Play peuvent bénéficier de cette fonctionnalité (Work Profile, Dedicated Devices, Fully Managed et non enregistrés). Dans Microsoft Intune, naviguez dans Client apps > Apps > Ajouter. Ensuite, sélectionnez Managed Google Play dans la liste Type d'application.

• [Android Enterprise] Vous pouvez installer des applications métiers Android de manière silencieuse sur les périphériques Zebra, Sélectionnez Client apps > Apps > Ajouter. Dans le volet Ajouter une application, sélectionnez Application métier (Line-of-business app). Actuellement, une fois l'application métiée téléchargée, une notification de succès de téléchargement apparaît sur le périphérique de l'utilisateur. La notification ne peut être annulée qu'en appuyant sur Effacer tout. Ce problème de notification sera corrigé dans une prochaine version, et l'installation sera complètement silencieuse et sans indicateur visuel.
• [macOS] Support du déploiement de liens vers des applications Web sur macOS. Le lien est installé au Dock en utilisant le portail d’entreprise lorsque l’utilisateur clique sur Install.
• [macOS] Support des applications VPP pour macOS. Les applications qui ont été achetées avec Apple Business Manager sont affichées dans la console lorsque les tokens VPP sont synchronisés dans Intune. Vous pouvez attribuer, révoquer et réassigner des licences de péripéhriques et d'utilisateurs pour des groupes à l'aide du portail Intune. On retrouve un Reporting des informations de licence à partir de l'app store, et le suivi du nombre de licences que vous avez utilisées.
• [iOS] Le SDK Intune App pour iOS utilise des clés de chiffrement de 256 bits lorsque le chiffrement est activé par les stratégies de protection d'application. Toutes les applications devront disposer d'un SDK version 8.1.1 pour permettre le partage de données protégées.

Sécurité du périphérique

• [Windows 10] Support de la rotation de clé de restauration par le client pour BitLocker. Ce paramètre lance un rafraîchissement du mot de passe de récupération piloté par le client après la récupération d'un lecteur système (soit en utilisant bootmgr ou WinRE) et le déverrouillage du mot de passe de récupération sur un lecteur de données fixe. Ce paramètre rafraîchit le mot de passe de récupération spécifique qui a été utilisé et les autres mots de passe inutilisés sur le volume restent inchangés. Ce paramètre est disponible dans la catégorie Endpoint Protection pour les périphériques qui exécutent Windows 1909+.

• [Windows 10] Ajout du paramétrage Tamper Protection pour Windows Defender Antivirus. Vous pouvez définir la protection contre l'altération pour activer les restrictions de protection contre l'altération.

• [Windows 10] Disponibilité Générale des paramétrages de configuration du pare-feu Windows. Vous pouvez utiliser ces règles pour spécifier le comportement entrant et sortant des applications, des adresses réseau et des ports.

Dépannage

• [Général] L’interface utilisateur du tableau de bord Etat du tenant (Tenant Status) a été mis à jour afin d’être alignée sur les systèmes d’interface utilisateur d’Azure.

Autre

• [Général] Les applications peuvent appeler l'API Intune Graph API avec des opérations de lecture et d'écriture en utilisant l'identité de l'application sans les identifiants utilisateur.
• [Général] Les stratégies de conditions générales (Chartes/Terms of Use) supportent les balises d’étendue (Scope Tags).

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft a publié un article pour annoncer la nécessité de revoir vos paramètres si vous utilisez des stratégies d’accès conditionnel d’Azure Active Directory. En effet, Apple a annoncé l’arrivée d’iPadOS pour le 30 septembre 2019. Microsoft a découvert un problème pour les clients qui utilisent l’accès conditionnel. Les iPads qui se mettront à jour vers iOS 13+ se verront taggués comme iPadOS. Même si le système fonctionnera de la même manière, certaines applications fonctionneront différemment comme par exemple Safari. Safari se présentera comme étant macOS afin de s’assurer que les sites Internet renvoie une expérience de navigation de type bureau.

Vous comprenez maintenant que ce changement opéré par Apple, peut avoir un impact sur vos stratégies d’accès conditionnel si vous avez utiliser le système d’exploitation comme condition.

Ce changement affecte les applications qui utilisent l'accès conditionnel et qui s'identifient comme applications macOS au lieu des applications iOS. Vous devez donc revoir vos stratégies d'accès conditionnel en choisissant si vous souhaitez fournir une expérience d'application différente entre macOS et iOS. De plus, vous devez revoir les stratégies d'accès conditionnel qui utilisent les catégories d'applications affectées.

Le changement concerne les applications suivantes :

• L’accès aux applications Web via Safari
• L’accès aux Email via l’application native Apple Mail
• L’accès aux applications natives qui utilisent Safari View Controller

Dans ces cas, l'accès conditionnel Azure AD traite toute demande d'accès comme une demande d'accès macOS.

Il n’y a néanmoins aucun impact dans les scénarios suivants :

• Tous les accès aux applications natives Microsoft (telles que Outlook, Word ou Edge)
• L’accès aux applications Web à l'aide d'un autre navigateur que Safari (comme Chrome)
• Les applications qui utilisent l'outil d’encapsulation Intune App SDK/App ou les bibliothèques d'authentification iOS/Microsoft identity platform v2.0 ou v1.0.

Je vous invite donc chaudement à lire en détail l’article suivant et adaptez vos stratégies en conséquence  : Action Required: Evaluate and update Conditional Access policies in preparation for iPadOS launch

Si vous utilisez Chrome Bêta, Google a publié une nouvelle version le 19/09/2019 pour la Build 78. Cette version inclut un problème sur la façon dont les cookies sont traités qui aura un impact sévère sur de nombreuses applications et services, y compris les services Microsoft cloud. Ce changement empêche la connexion aux services par les utilisateurs et les sessions utilisateur sont laissées actives après la déconnexion.

Microsoft recommande de ne pas utiliser le navigateur Chrome en version Bêta pour l’accès aux services. Microsoft travaille pour adresser la situation avant la disponibilité générale.

Plus d’informations

Voilà une grande nouvelle annoncée par Microsoft qui va faciliter la vie des entreprises. La création d’un package MSIX comporte de nombreux avantages mais demande l’utilisation d’un certificat de signature de code pour assurer l’intégrité de l’application. Ce prérequis a pu freiner des entreprises (notamment petites structures). Microsoft vient d’annoncer qu’il va bientôt pouvoir être possible d’utiliser un tenant Azure Active Directory pour signer ses packages MSIX.

La fonctionnalité est proposée par l’outil de signature (Signtool) dans la version 18945 du SDK Windows Insider. Il vous faudra néanmoins deployer un certificat intermédiaire sur les machines ce qui peut être aisément réalisé par Microsoft Intune ou System Center Configuration Manager.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Plus d’informations sur : https://docs.microsoft.com/en-us/windows/msix/package/signing-package-device-guard-signing

Source : https://techcommunity.microsoft.com/t5/MSIX-Blog/Improvements-for-enterprises-signing-MSIX-packages-Insider/ba-p/772386

Microsoft a signalé un problème qui concerne iOS 12.2 ou ultérieur avec les chartes et conditions sur Microsoft Intune. Le problème fait suite à ces mises à jour d’iOS et concerne tous les fabricants MDM. Les périphériques gérés par MDM utilisant des applications VPP sous licence utilisateur, les utilisateurs ne pourront pas accepter ou annuler les chartes et conditions lors de leur premier accès à une application VPP. Ainsi, les installations d'applications qui nécessitent des chartes et conditions peuvent échouer, car elles n'obtiennent pas une réponse d'acceptation ou d'annulation de la part de l'utilisateur sur l'appareil.

Comme solution de contournement, Microsoft recommande l’usage de licence de périphérique lors du déploiement d'applications VPP au lieu d'une licence utilisateur. Les licences d'utilisation d'appareils ne sont pas soumises à des conditions générales.

Il semble qu’Apple ait corrigé le problème à partir d’iOS 13 Beta 5

Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Known-Issue-iOS-12-2-Terms-and-Conditions/ba-p/668980

J’avais loupé l’annonce, Microsoft a annoncé la version finale des baselines de paramétrages de sécurité pour Windows 10 1903 (19H1) et Windows Server 1903. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

Voici les différences avec la baseline pour Windows 10 1809 :

• Activation de la nouvelle stratégie "Enable svchost.exe mitigation options", qui renforce la sécurité des services Windows hébergés dans svchost.exe, y compris que tous les binaires chargés par svchost.exe doivent être signés par Microsoft, et que le code généré de façon dynamique est interdit. Veuillez porter une attention particulière à celui-ci car il pourrait causer des problèmes de compatibilité avec le code tiers qui tente d'utiliser le processus d'hébergement svchost.exe, y compris les plugins tiers pour cartes à puce.
• Configuration du nouveau paramètre de confidentialité de l'application, "Let Windows apps activate with voice while the system is locked", afin que les utilisateurs ne puissent pas interagir avec les applications utilisant la parole lorsque le système est verrouillé.
• Désactivation de la résolution des noms multicast (LLMNR) pour atténuer les menaces d'usurpation d'identité des serveurs.
• Restriction du NetBT NodeType au nœud P, en interdisant l'utilisation de la diffusion pour enregistrer ou résoudre des noms, également pour atténuer les menaces d'usurpation de serveur.
• Correction d'un oubli dans la baseline du contrôleur de domaine en ajoutant les paramètres d'audit recommandés pour le service d'authentification Kerberos.
• Abandon des stratégies d'expiration des mots de passe qui nécessitent des changements périodiques de mots de passe. Concernant plus de détails sur les motivations pour cet abandon, je vous invite à lire l’article oirginal.
• Suppression de la méthode de chiffrement spécifique du lecteur BitLocker et des paramètres de l’algorithme de chiffrement. Pour plusieurs raisons, le chiffrement par défaut est de 128 bits, et les experts en cryptographie de Microsoft disent qu'il n'y a aucun danger connu qu'il soit cassé dans un avenir prévisible. Sur certains matériels, il peut y avoir une dégradation notable des performances allant de 128 à 256 bits. Enfin, de nombreux périphériques tels que ceux des Microsoft Surface activent BitLocker par défaut et utilisent les algorithmes par défaut. La conversion en 256 bits nécessite d'abord de déchiffrer les volumes, puis de les rechiffrer, ce qui crée une exposition temporaire à la sécurité ainsi qu'un impact sur les utilisateurs.
• Arrêt des paramétrages de l'explorateur de fichiers "Turn off Data Execution Prevention for Explorer" et "Turn off heap termination on corruption", car il s'avère qu'ils ne font que renforcer le comportement par défaut.

Plus d’informations sur l’article suivant : https://techcommunity.microsoft.com/t5/Microsoft-Security-Baselines/Security-baseline-FINAL-for-Windows-10-v1903-and-Windows-Server/ba-p/701084

Télécharger Microsoft Security Compliance Toolkit 1.0

Microsoft a publié un très bon livre blanc pour apprendre comment protéger des périphériques déconnectés en utilisant Windows et les technologies de sécurité Microsoft. En effet, la stratégie de Microsoft est plutôt de fournir des services intelligents et connectés au Cloud (comme Microsoft Defender ATP, etc.) mais ce livre blanc donne une ligne directrice à suivre.

On retrouve par exemple les technologies de protection suivantes :

Lire Windows security on disconnected devices whitepaper

Microsoft a publié un billet concernant un problème connu avec Windows 10 1809 lors de l’utilisation de Windows Autopilot et de l’option pour nommer les machines selon une convention de nommage.

Ce paramétrage se situe au niveau du profil de déploiement Windows Autopilot et permet de spécifier un nom allant jusqu’à 15 caractères.

Si vous utilisez la variable %RAND:x% permettant de créer une valeur aléatoire, vous devez vous assurer que le nom ne fasse pas plus de 14 caractères sinon le nommage ne fonctionnera pas.

Microsoft travaille sur un correctif.

Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Known-issue-for-Windows-10-1809-when-using-Account-CSP-for/ba-p/737137

System Center Configuration Manager 1802 est sorti il y a 18 mois et cette version atteint sa fin de support pour le Dimanche 22 septembre 2019. Passé cette date, Microsoft ne fournira plus de correctifs de sécurité. Vous devez donc passer vers la dernière version en date.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates#bkmk_Baselines

Microsoft vient de publier un outil graphique de diagnostic pour Windows Virtual Desktop. Ce dernier vient compléter les cmdlets PowerShell qui étaient disponibles mais parfois difficiles à appréhender.

Cet outil a les capacités suivantes :

• Consulter les activités de diagnostic (gestion, connexion ou feed) pour un seul utilisateur sur une période d'une semaine.
• Rassembler des informations sur l'hôte de session pour les activités de connexion à partir de votre workspace Log Analytics.
• Passer en revue les détails de performance de la machine virtuelle (VM) pour un hôte particulier.
• Voir quels utilisateurs sont connectés à l'hôte de session.
• Envoyer un message aux utilisateurs actifs d'un hôte de session spécifique.
• Déconnectez les utilisateurs d'un hôte de session.

L’outil requiert les prérequis suivants :

• Les permissions suivantes :
  • Propriétaire de l’abonnement Azure
  • Permission de créer des ressources dans l’abonnement Azure
  • Permission de créer des applications Azure aD
  • Les droits de Contributeur ou Propriétaire RDS
• Les modules PowerShell suivants :
  • Azure PowerShell module
  • Azure AD module

Plus d’information sur le déploiement de l’outil de diagnostic

Microsoft a étendu la date de fin de support

A partir du 1^er décembre, l’application mobile Adobe Acrobat Reader for Intune atteindra la fin du support et ne sera plus supportée par les stratégies de protection des applications (APP) de Microsoft Intune. En lieu et place, Microsoft recommande l’utilisation de l’application Acrobat Reader dans les stratégies puisque cette application s’est pleinement intégrée avec le SDK Intune.

Si vous aviez déjà des stratégies ciblant Adobe Acrobat Reader for Intune, vous remarquerez qu'elles sont maintenant ciblées sur 'Acrobat Reader'. Microsoft a fait ce changement au niveau du backend pour vous. D'ici le 1er décembre 2019, vous ne pourrez plus cibler Adobe Acrobat Reader for Intune, et les utilisateurs finaux ne recevront plus la stratégie de protection des applications pour cette application particulière sur les périphériques.

Si vous êtes dans ce cas, vous devez vous assurer de ne plus déployer Adobe Acrobat Reader for Intune mais de privilégier Acrobat Reader en lieu et place.

Plus d’informations sur : https://helpx.adobe.com/acrobat/kb/intune-app-end-of-life.html  

Après le SDK Microsoft Information Protection, Adobe intègre les capacités de protection applicative (MAM/APP) portée par Microsoft Intune directement dans ses applications par défaut. C’est une belle victoire pour Microsoft puisqu’Adobe Reader n’est maintenant gérable qu’avec les stratégies de protection applicative (APP/MAM) de Microsoft Intune.

L’utilisateur reçoit des stratégies de protection lorsqu’il se connecte avec ses identifiants d’entreprise à Adobe Reader. Pour ce faire, vous devez utiliser les versions :

• Google Play Store for Android—version 19.6 and above.
• Apple app store for iOS—version 07.00 and above.

Ainsi Adobe va retirer l’application dédiée : Adobe Acrobat Reader for Intune et l’application courante est intégrée nativement à Microsoft Intune.

Plus d’informations sur : Adobe Acrobat chooses Microsoft 365 for built-in app protection