Microsoft a publié des kits d’adoption et de sensibilisation pour les étiquettes de rétention et de confidentialité à destination des utilisateurs. Ces kits peuvent être utilisés pour :

• Encourager l'adoption et la sensibilisation au changement organisationnel de l'utilisation des étiquettes de rétention et de confidentialité (Sensitivity)
• Comprendre la nécessité de la classification, de protection et de la gouvernance des documents.
• Développer une conscience de la conformité réglementaire des documents.
• Assurer une connaissance cohérente des étiquettes de confidentialité (Sensitivity) et de rétention.
• Trouver des ressources pour soutenir la mise en œuvre des étiquettes de confidentialité (Sensitivity) et de rétention.

Télécharger :

• End User Adoption Training Sensitivity Labels
• End User Adoption Training Retention Labels

Microsoft vient de publier une nouvelle révision (KB4575789) du précédent Rollup pour Microsoft Endpoint Configuration Manager 2006. Ce rollup vient remplacer le rollup (KB4578605) et ce dernier ne s’affichera plus dans la console.

Ce Rollup contient les correctifs suivants :

• Pendant le téléchargement de la politique du client, execmgr.log répète l'entrée de journal suivante plusieurs fois par minute : Device is not MDM enrolled yet. All workloads are managed by SCCM
• Les ordinateurs clients qui effectuent un démarrage PXE pour installer un nouveau système d'exploitation sont incapables de trouver le fichier WIM de démarrage. Cela se produit lorsque le fichier WIM est stocké dans une bibliothèque de contenu répartie sur plusieurs lecteurs. Des erreurs ressemblant à ce qui suit sont enregistrées dans le fichier SMSPXE.log.
  CContentDefinition::GetFileProperties failed; 0x80070003

CContentDefinition::TotalFileSizes failed; 0x80070003

• Les ordinateurs sont retirés inopinément des groupes d'orchestration. Cela se produit si le site a l'option Use this boundary group for site assignment enabled, mais que les ordinateurs cibles ne sont pas dans ce groupe limite.
• Les clients sont incapables de communiquer via un port personnalisé pour un Management Point lorsque d'autres changements de communication sont apportés au site. Par exemple, l'activation de la communication HTTPS pour un site entraîne l'arrêt du fonctionnement des ports HTTP personnalisés définis précédemment.
• Les messages d'état des clients peuvent ne pas être correctement enregistrés si l'ordinateur client redémarre dans les 10 secondes suivant la génération du message d'état. Il en résulte des valeurs incohérentes ou inattendues des messages d'état, ce qui affecte la précision des rapports sur la séquence des tâches et le déploiement des logiciels.
• Les clients tentent à tort d'utiliser des certificats PKI pour la communication, même si l'option Use PKI client certificate (client authentication capability) when available est désactivée dans l'onglet Communication Security des propriétés du site. Lorsque l'option Use PKI client certificate, des erreurs ressemblant à ce qui suit sont enregistrées dans le fichier CcmMessaging.log sur les clients faisant face à l'internet.

Client is on internet

Client is set to use webproxy if available.

Client is not allowed to use or doesn't have PKI cert while talking to HTTPS server.

[CCMHTTP] ERROR: URL=https://{management_point}/ccm_system_windowsauth/request, Port=0, Options=224, Code=0, Text=CCM_E_NO_CLIENT_PKI_CERT

[CCMHTTP] ERROR INFO: StatusCode=<unknown> StatusText=

L'option Use PKI client certificate doit être activée une fois que ce rollup de mise à jour est installé pour les clients qui dépendent des certificats PKI pour la communication chiffrée. Par exemple, les clients basés sur Internet ou communiquant avec une Cloud Management Gateway.

• Les clients intranet ne se rabattront pas sur un autre Management Point (MP) si le MP préféré est également une Cloud Management Gateway.
• Après la mise à jour de ConfigMgr 2006, l'installation du client à l'aide de la propriété PROVISIONTS échoue si le paramètre du périphérique " Allow access to cloud distribution point" est réglé sur "No". Le client est incapable de télécharger le contenu, et une erreur ressemblant à ce qui suit est enregistrée dans le fichier tsagent.log : '{Task Sequence Deployment ID}' finished with exit code 2147746050
• L'installation d'un serveur de site passif échoue si des fichiers .JOB orphelins sont présents dans le dossier \inboxes\schedule.box. Un message ressemblant à ce qui suit est répété dans le fichier FailOverMgr.log : site server job [Passive Site Server Installation][<old server>] is not targeted for this server <active server>
• L'ajout d'un site passif dans l'infrastructure ConfigMgr avec au moins un site secondaire et des packs de langues clients installés déclenchera la réinstallation de tous les sites secondaires.
• Le client ConfigMgr installé sur un appareil Windows Embedded reste en mode de maintenance si la durée d'exécution maximale d'un déploiement est supérieure à la durée de la fenêtre de maintenance.
• Des améliorations sont apportées au processus de téléchargement dans le cas d'un délai d'attente lorsque le paramètre " Download delta content when available" est activé.
• L'étape de téléchargement du contenu d'une séquence de tâches peut ne pas réussir à télécharger les fichiers vers les clients. Cela se produit si la fonction BranchCache est activée et que l'environnement utilise le protocole Enhanced HTTP pour la communication avec les points de distribution. Les clients réessaieront l'étape de téléchargement, mais l'achèvement global est retardé. Les erreurs ressemblant à ce qui suit sont enregistrées dans le smsts.log sur le client.

Downloaded file from http://{Distribution_Point}:443/CCMTOKENAUTH_SMS_DP_SMSPKG$/{Package_ID}/sccm?/{Filename.ext}

Downloading file /CCMTOKENAUTH_SMS_DP_SMSPKG$/PR100090/sccm?/{Filename.ext} range 0-570085

WinHttpReadData() failed.

ReadDataAndWriteToFile() failed. 80072efd

ReadDataAndWriteToFile() failed for C:\_SMSTaskSequence\Packages\PR100090\{Filename.ext}. 0%

DownloadFileWithRanges() failed. 80072efd.

DownloadFile() failed for http://{Distribution_Point}:443/CCMTOKENAUTH_SMS_DP_SMSPKG$/{Package_ID}/sccm?/{Filename.ext}, C:\_SMSTaskSequence\Packages\PR100090\{Filename.ext}. 80072efd.

• Des améliorations sont apportées à la synchronisation et au traitement des affectations de stratégies et des données de stratégies entre le centre d'administration de Microsoft Endpoint et la console Configuration Manager. Cela permet d'éviter des problèmes tels que la création d'une politique dans le centre d'administration qui n'est pas visible dans la console sur site.
• La console ConfigMgr peut générer une exception ressemblant à ce qui suit lors de la tentative d'exécution de l'assistant de configuration de cogestion.

ConfigMgr Error Object: instance of SMS_ExtendedStatus { Description = "User DOMAIN\\Username is not able to get the lock at this time. Error: 0x40480732"; ErrorCode = 1078462258;

• Les clients Configuration Manager déployés sur les ordinateurs Mac reçoivent des GUID en double. Cela se produit si le même nom d'utilisateur est fourni en paramètre à l'outil CMEnroll lors de l'installation du client.
• Les clients peuvent recevoir la politique incorrecte, y compris les scripts ou les paramètres, lorsque plusieurs groupes d'orchestration sont présents. Considérez le scénario suivant :
  • Le client 1 est un membre du groupe d'orchestration 1.
  • Le client 2 est un membre du groupe d'orchestration 2.
  • Le client 1 peut recevoir la politique du groupe d'orchestration 2, ce qui l'amène à exécuter les pré- et post-scripts destinés au groupe 2 lors de l'installation d'une mise à jour destinée au groupe 1.

Note : Tout groupe d'orchestration affecté doit être supprimé et recréé après l'installation de cette mise à jour pour corriger le problème de stratégie.

• Le paramètre Allow access to cloud distribution points n'est pas configuré lorsque les clients sont déployés en utilisant le service Autopilot et le paramètre PROVISIONTS. Cela entraîne l'échec des étapes de la séquence de tâches d'installation de l'application et des mises à jour du logiciel.
• Les connexions des clients à une Cloud Management Gateway peuvent échouer lorsque plusieurs clients effectuent des analyses complètes des mises à jour logicielles dans un court laps de temps. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier SMS_Cloud_ProxyConnector.log.

ERROR: Invalid operation when send the proxy message to internal server.Exception: System.InvalidOperationException: There were not enough free threads in the ThreadPool to complete the operation.~~

• Après l'installation des mises à jour de Windows publiées le 13 octobre 2020, ConfigMgr version 1910, ne peut pas télécharger les mises à jour d'Office 365. L'ID d'article spécifique des mises à jour Windows varie selon la version ; par exemple, KB 4579311 est l'ID d'article pour Windows 10, version 2004, et Windows Server version 2004. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier PatchDownloader.log sur l'ordinateur qui télécharge le contenu.

Download http://officecdn.microsoft.com/pr/{update_GUID}/office/data/16.0.13231.20368/i640.cab.cat to %TEMP%\CABC1A4.tmp returns 0

Authentication of file %TEMP%\CABC1A4.tmp failed, error 0x800b0004

ERROR: DownloadContentFiles() failed with hr=0x80073633

• Les mises à jour des fonctionnalités de Windows 10 peuvent ne pas s'installer sur les ordinateurs clients utilisant du matériel physique rapide. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier UpdatesHandler.log.

Contents already available for the update (update_guid).

Bundle update (bundle_guid) internal state transition: RUNNING to WAIT_CONTENTS

Bundle update (bundle_guid) internal state transition: WAIT_CONTENTS to EXECUTE_READY

StateCore - bundle update (bundle_guid) state changed from (WAIT_CONTENTS) to (EXECUTE_READY) as child update state changed

Update (bundle_guid) state (6) in-consistent for job after initiating execute.

CDeploymentJob - ExecuteUpdates failed. Error = 0x87d00654

Failing the job ({job_guid}) as updates agent internal error.

• Les clients peuvent échouer aléatoirement à installer une mise à jour, ou une série de mises à jour, en raison d'une condition de temps lorsqu'ils sont déployés dans un groupe de mise à jour de logiciels. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier UpdatesHandler.log.
  Failed to initiate install of WSUS updates, error = 0x87d0024a

Failed to start WSUSUpdate, error = 0x87d0024a

CDeploymentJob -- Failed to start procesing of the update (update_guid). Error = 0x87d0024a

• Les messages ressemblant à ce qui suit sont enregistrés dans le WUAHandler.log en même temps que les erreurs du UpdateHandler.

Async installation of updates started.

CCM_E_JOB_ALREADY_CONNECTED, HRESULT=87d0024a

Cannot start another installation while one is already in progress.

• KB 4576791Update for Microsoft Endpoint Configuration Manager version 2006, early update ring
• KB 4580678Tenant attach rollup for Configuration Manager current branch, version 2006
• KB 4584759Clients report Desktop Analytics configuration errors in Configuration Manager, version 2006
• KB 4575786La console se termine inopinément sur ConfigMgr 2006
• KB 4575787L’enregistrement à la cogestion prend plus de temps que prévu pour les clients Configuration Manager
• KB 4575788L'installation du client ne permet pas de télécharger le contenu d'un Cloud Distribution Point dans Configuration Manager 2006
• KB 4575790L'installation du client ne permet pas de télécharger le contenu d'un Cloud Distribution Point dans Configuration Manager 2006

Il existe un problème connu avec ce rollup : L'inscription automatique des clients au cours du processus d’inscription en cogestion peut être retardée après la mise à niveau des clients. Les étapes suivantes sont recommandées avant l'installation de ce rollup de mise à jour.

1. Désactivez l'inscription automatique en réglant la valeur de Automatic enrollment into Intune sur None avant de mettre à niveau les clients vers la version 5.00.9012.1052.
2. Désactivez la mise à niveau automatique des clients dans l'onglet Client Upgrade les paramètres de la hiérarchie. Le processus de mise à niveau du client doit être retardé jusqu'à ce que le nouveau client, version 5.00.9012.1054, de la KB 4575787 soit installé dans l'environnement.

Plus d’informations sur : Revised update rollup for Microsoft Endpoint Configuration Manager current branch, version 2006

J’en parlais pour Azure AD, Microsoft met globalement à jour les certificats racines utilisés par les services se basant sur Microsoft Azure. Pour Microsoft Endpoint Manager (Intune), ce changement requiert différentes actions en fonction des scénarios :

• Si vous utilisez le SDK Intune pour iOS iOS, l’App Wrapper Intune pour iOS ou les bindings Xamarin, Microsoft a publié le message MC222833 dans le centre de message Office vous demandant de prendre des actions et décrivant les versions nécessaires.
• Si vous utilisez des applications Microsoft avec les stratégies de protection applicatives (APP ou MAM), vous devez vous assurer que vous utilisez la dernière version de l'application avec le SDK pour iOS version 12.9.0+ ou le SDK pour Android version 6.7.2+. De nombreuses applications M365 sur iOS, dont Outlook, Teams, OneDrive, Office et Word/Excel/PowerPoint, ont déjà adopté le SDK mis à jour. Sur Android, Outlook et OneDrive ont adopté le SDK mis à jour et les applications APP continuent leurs mises à jour.
• Si vous utilisez ConfigMgr et la cogestion (Co-Management), vous devez lire cet article pour connaître les conditions qui doivent être débloquées pour activer les mises à jour du certificat racine, comme les étapes à suivre pour s'assurer que les appareils cogérés reliés à un domaine Windows continuent de communiquer avec les services Microsoft Endpoint Manager.
• Pour tout connecteur Intune On-Premises utilisé, tel que les connecteurs Exchange, NDES, ODJ ou PFX, assurez-vous que vos serveurs reçoivent les mises à jour du certificat racine. Pour les environnements qui sont déconnectés, suivez les instructions pour vous assurer que les certificats racine sont installés sur les serveurs On-Premises.

Notez que vous devrez peut-être aussi vérifier les paramètres de vos stratégies de groupe, car il est possible qu’elles désactivent les mises à jour automatiques du certificat racine. Mettez à jour votre stratégie ou mettez à jour manuellement les certificats sur les périphériques, y compris pour les périphériques Windows gérés par MDM.

Gartner vient de sortir le Magic Quadrant 2020 pour les solutions Cloud Access Security Brokers (CASB). Microsoft figure parmi : McAfee, Netskope et Bitglass. Pour rappel, Microsoft Cloud App Security est issu du rachat d’Adallom et a été intégré à la suite d’Enterprise Mobility + Security (EMS) E5.

Les forces suivantes sont mis en avant :

• Microsoft a consolidé des mécanismes de classification disparates en un seul, partagé entre MCAS, Office 365, Azure Information Protection (AIP), Rights Management Services (RMS) On-Premises et Windows Information Protection (WIP) sur les terminaux. Les actions DLP sont complètes et peuvent même envoyer des notifications de violations en temps réel (avec des demandes de dérogation pour justification commerciale) par l'intermédiaire de Teams. La liste des types de données sensibles les plus courants est fréquemment mise à jour.
• Power Automate (anciennement Flow), un élément de coût supplémentaire, permet aux administrateurs de créer des playbooks pour automatiser les flux de réponse aux incidents dans toutes les applications SaaS régies. L'intégration de MCAS avec Flow s'est distinguée des autres intégrations de fournisseurs de CASB avec des outils tiers d'orchestration de la sécurité, d'analyse et de rapport (SOAR).
• L'interface UEBA affiche une vue consolidée utile des activités d'un seul compte sur plusieurs services Cloud. L'étiquetage MITRE ATT&CK est affiché dans certaines vues d'analyse d'événements pour faciliter l'enquête.

Parmi les faiblesses, on retrouve :

• Une stratégie de sécurité Cloud de Microsoft nécessitera plusieurs produits Microsoft, et pas seulement son CASB. Par exemple Azure Active Directory pour l’accès conditionnel, Azure Information Protection pour la protection de l’information, Azure Defender, Endpoint Manager (anciennement Intune) pour la gestion des périphériques et Defender for Endpoint pour les plateformes de protection des points d'accès (EPP). Les produits de sécurité Cloudde Microsoft fonctionnent mieux lorsque les clients déploient l'ensemble de la suite ; les déploiements autonomes ou à la carte offrent des fonctionnalités réduites.
• L'absence de prise en charge des webhooks et le manque de capacités RBI et SWG réduisent le nombre et les types de sources d'information pour la visibilité du trafic et des données.
• Les licences de Microsoft sont trop complexes. De multiples offres groupées aux noms déroutants incluent MCAS ou Office 365 Cloud App Security, une version légère du CASB complet qui ne fonctionne qu'avec Office 365. Les clients découvrent parfois qu'ils ont accès à plus de produits de sécurité Microsoft que prévu lorsqu'ils examinent les détails des accords de licence d'entreprise.

Lire le rapport : Gartner Reprint

Plus d’informations sur : Gartner names Microsoft a Leader in the 2020 Magic Quadrant for Cloud Access Security Brokers - Microsoft Security

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office 365 (anciennement Office 365 Advanced Threat Protection (ATP)).

• Mise à jour des limites d'exportation dans Review > Action Center > Remediation from Mail Submission and Action Log (Defender for Office 365 Plan 2).

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Forrester vient de placer Microsoft et la solution Azure Sentinel parmi les leaders les plateformes d’analyse de sécurité. Ceci est une belle victoire pour Microsoft pour qui sa solution SIEM en mode Cloud, Azure Sentinel n’a été lancé il n’y a qu’un an. Microsoft est donc au côté d’IBM Security, Exabeam, Securonix, Splunk.

Voici l’analyse de Forrester :

Microsoft se lance dans le marché de l'analyse de la sécurité. Microsoft Azure Sentinel, a été annoncée lors de la conférence sur la sécurité de la RSA de 2019, puis lancée en septembre 2019 en grande pompe. L'entrée du vendeur dans l'espace de l'analyse de sécurité a captivé les acheteurs de sécurité. La décision audacieuse de Microsoft de permettre l'ingestion des journaux d'activité de Microsoft Azure et de Microsoft Office 365 dans Sentinel sans frais rend la solution attrayante pour les entreprises qui investissent dans Azure et Microsoft 365. Le prix des autres sources de données est basé sur la consommation, déterminée par la quantité de données ingérées dans la plate-forme. En un an seulement, Microsoft a acquis une grande notoriété sur le marché. Si Azure Sentinel est innovant et tire pleinement parti de l'infrastructure Azure, il s'agit encore d'une offre très récente. Cette nouveauté se manifeste dans des domaines comme la possibilité d'introduire des journaux de tiers. Les références des clients notent la facilité d'intégration avec d'autres produits Microsoft comme Azure, Microsoft 365 et Microsoft Defender for Endpoint comme un grand avantage. Les clients de référence citent l'automatisation comme un autre point fort. La poussée de Microsoft vers la sécurité pose un problème aux professionnels de la sécurité qui ne veulent pas qu'un seul fournisseur assure la sécurité à plusieurs niveaux, y compris le cloud, les terminaux et le courrier électronique. En revanche, ceux qui recherchent une solution à fournisseur unique apprécieront l'intégration de plusieurs technologies. Les entreprises de toutes tailles qui ont investi massivement dans Microsoft Azure et Microsoft 365 devraient envisager Microsoft.

Lire le rapport : The Forrester Wave: Security Analytics Platforms, Q4 2020

Source : Azure Sentinel achieves a Leader placement in Forrester Wave, with top ranking in Strategy - Microsoft Security

Microsoft vient de publier la liste des nouveaux webinars sur la sécurité de l’hiver 2020-2021 sur la sécurité. On retrouve :

• Azure Security Center: Azure Defender for SQL Anywhere (30 Novembre 2020 17h à 18h)
• Azure Defender : Azure Sentinel: Auditing and monitoring your Azure Sentinel workspace (1 Décembre 2020 17h à 18h)
• Azure Defender : Getting started with Azure Firewall Manager (3 Décembre 2020 17h à 18h)
• Azure Security Center: Investigating Azure Security Center alerts using Azure Sentinel (7 Décembre 2020 17h à 18h)
• Azure Defender : Azure Network Security for SOCs (8 Décembre 2020 17h à 18h)
• Microsoft Digital Defense Report (9 Décembre 2020 17h à 18h)
• Azure Defender : Azure Network Security Advanced Architecture (10 Décembre 2020 17h à 18h)
• Azure Security Center: Azure service layers protection (7 Janvier 2021 17h à 18h)
• Azure Sentinel: Machine Learning detections in the AI infused Azure Sentinel SIEM (12 Janvier 2021 17h à 18h)
• Azure Sentinel: Azure Notebooks Fundamentals – How to get started (19 Janvier 2021 17h à 18h)
• Azure Defender for IoT: Leveraging OT Behavioral Analytics and Zero Trust for OT Cyber Resilience (20 Janvier 2021 17h à 18h)
• Azure Sentinel: Auditing and monitoring your Azure Sentinel workspace (21 Janvier 2021 17h à 18h)

Plus d’informations sur : Security Community Webinars - Microsoft Tech Community

Microsoft a mis à disposition en Disponibilité Générale, la version finale (5.00.9040.1000) de Microsoft EndPoint Configuration Manager 2010. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1806 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 1806.

Microsoft Endpoint Configuration Manager 2010 comprend les nouveautés suivantes : 

Administration

• Le réveil des machines à la date butoir du déploiement prend maintenant en compte la fonctionnalité Wake-up Client afin qu’un client d’un même sous-réseau envoie l’ordre de réveille
• Un paramétrage client When a deployment requires a restart, allow low-rights users to restart a device running Windows Server permet à des utilisateurs à faible droits sur Windows Server de redémarrer ces machines Windows Server pour par exemple des mises à jour logicielles.

• On retrouve plusieurs améliorations autour des collections :
  • Vous pouvez maintenant prévisualiser le résultat d’une requête construite dans l’éditeur de requêtes.

• • Intégration de l’outil Collection Evaluation Viewer directement dans le produit afin de fournir voir les temps d’évaluation, les dates de dernières évaluations, etc.

• • Un diagramme permet de voir les relations de dépendances entre collections de façon graphique. Cela montre les collections limitantes, les inclusions et les exclusions. Ceci permet de vous aider à comprendre l’impact de changements sur des collections.

• ConfigMgr est compliqué à dépanner. Il est particulièrement complexe de comprendre la latence du système et le retard entre les composants. Les fonctions de service Cloud augmentent cette complexité. Vous pouvez désormais utiliser ConfigMgr pour surveiller l’état des scénarios de bout en bout. Il simule les activités pour exposer les mesures de performance et les points de défaillance. Ces activités synthétiques sont similaires aux méthodes que Microsoft utilise pour surveiller certains composants de ses services dans le Cloud. Cette version comprend les deux scénarios suivants :
  • SQL Server Service Broker : Le Service Broker est une configuration requise pour la base de données du site. De nombreux sous-systèmes de base de ConfigMgr utilisent le Service Broker.
  • Client action health : Surveiller la santé du Fast Channel utilisé pour les actions des clients. Si votre environnement est attaché au tenant avec l’upload des périphériques, cette fonction vous aide à détecter les problèmes potentiels liés aux actions des clients à partir du centre d'administration de Microsoft Endpoint Manager. Vous pouvez également utiliser cette fonction pour les actions des clients sur site. Par exemple, CMPivot, l'exécution de scripts et le réveil de périphérique.

• Si le processus d'installation ou de mise à jour ne se déroule pas correctement, vous pouvez désormais signaler l'erreur directement à Microsoft. En cas d'échec, le bouton Signaler l'erreur de mise à jour à Microsoft est activé. Lorsque vous utilisez ce bouton, un assistant interactif s'ouvre et vous permet de fournir plus d'informations.
• Microsoft introduit une tâche d’administration appelée Delete Aged Collected Diagnostic Files permettant d’effacer les fichiers de diagnostic. Les fichiers collectés par la partie Software Inventory ne sont pas supprimés par cette tâche. Les fichiers de diagnostic sont par défaut supprimés après 14 jours.

• L’Administration Service ne requiert plus l’installation de IIS sur le SMS Provider comme auparavant. Le rôle nécessite toujours une connexion HTTPS sécurisée néanmoins à partir de cette version car lorsque vous activez Enhanced HTTP, il crée un certificat auto-signé pour le SMS Provider et le lie automatiquement sans avoir besoin d'IIS.

Gestion attachée au Cloud (Cloud-attached Management)

• Les déploiements de Cloud Management Gateway (CMG) peuvent désormais utiliser une virtual machine scale set dans Azure pour prendre en charge les abonnements des Cloud Service Provider (CSP). Cette fonctionnalité est actuellement en préversion. Pour l'instant, elle n'est destinée qu'aux clients CSP qui n'ont pas déjà une CMG dans un autre abonnement.

• Vous pouvez désormais désactiver l'authentification Azure Active Directory (Azure AD) pour les tenants qui ne sont pas associés aux utilisateurs et aux périphériques. Lorsque vous enregistrez ConfigMgr à Azure AD, il permet au site et aux clients d'utiliser une authentification moderne. Actuellement, l’authentification du périphérique Azure AD est activée pour tous les tenants embarqués, qu'ils disposent ou non de périphériques. Ceci est utile par exemple si vous avez un tenant séparé avec un abonnement que vous utilisez pour exécuter la Cloud Management Gateway et qui ne comprend pas d'utilisateurs ou de périphériques. Dans ce cas, il y a un intérêt de désactiver l'authentification Azure AD.

• Lors de l’enregistrement de ConfigMgr à Azure AD et la création des applications nécessaires à l’authentification, il est maintenant possible de spécifier une expiration à Never pour la clé secrète.

• Si vous utilisez Desktop Analytics ou tenant-attach, le Service Connection Point vérifie maintenant les URLs importantes. Ces vérifications permettent de s'assurer que les services connectés au Cloud sont disponibles. Il vous aide également à résoudre les problèmes en déterminant rapidement si la connectivité du réseau pose un problème.
• Le portail de dépannage du centre d'administration de Microsoft Endpoint Manager permet de rechercher un utilisateur et de visualiser les périphériques qui lui sont associés. À partir de cette version, les périphériques rattachés à un tenant qui se voient attribuer automatiquement une affinité utilisateur/périphérique en fonction de l'utilisation seront désormais renvoyés lors de la recherche d'un utilisateur. 

• Les administrateurs peuvent désormais effectuer les actions suivantes pour les applications dans le centre d'administration de Microsoft Endpoint Manager :
  • Désinstaller une application
  • Réparation de l'installation d'une application
  • Réévaluer le statut d'installation de l'application
  • Réinstaller une application a remplacé Réessayer l'installation

Desktop Analytics

• Support des nouveaux niveaux de diagnostic Windows 10. Microsoft accroît la transparence en classant les données de diagnostic Windows 10 tel que :
  • Les données de diagnostic Basic sont recatégorisées Required
  • Full est recatégorisé comme Optional

Si vous avez déjà configuré des périphériques en Enhanced ou Enhanced (Limited), dans une prochaine version de Windows 10, ils utiliseront le niveau requis.

• Desktop Analytics supporte maintenant Windows 10 Enterprise LTSC 2019 pour permettre aux entreprises d’évaluer la transition vers la version Semi-Annual.

Gestion du contenu

• Le tableau de bord Client data sources offre désormais une sélection élargie de filtres permettant de visualiser les informations sur les sources de contenu des clients. Ces nouveaux filtres comprennent : Single boundary group, All boundary groups, Internet clients, Clients not associated with a boundary group. Le tableau de bord comprend également une nouvelle tuile pour les téléchargements de contenu utilisant une source de repli (fallback). Ces informations vous aident à comprendre la fréquence à laquelle les clients téléchargent du contenu à partir d'une autre source.

• Si vous retirez un contenu d'un point de distribution alors que le système du site est hors ligne, un enregistrement orphelin peut exister dans WMI. Avec le temps, ce comportement peut éventuellement entraîner un état d'alerte sur le point de distribution. Dans le passé, pour pallier ce problème, vous deviez supprimer manuellement les entrées orphelines de WMI. L'outil content library cleanup en mode suppression peut désormais supprimer ces enregistrements de contenu orphelins de WMI.

Gestion des Applications

• Un périphérique basé sur Internet et joint à un domaine qui n'est pas joint ou enregistré à Azure Active Directory (Azure AD) et qui communique via une Cloud Management Gateway (CMG) peut voir les déploiements d'applications en libre-service. L'utilisateur du domaine Active Directory sur le périphérique a besoin d'une identité Azure AD correspondante. Lorsque l'utilisateur démarre le Software Center, Windows lui demande de saisir ses identifiants Azure AD. Il peut alors voir toutes les applications disponibles.  

Mises à jour logicielles

• À partir de la mise à jour cumulative de septembre 2020, les serveurs WSUS en mode HTTP seront sécurisés par défaut. Par défaut, un client qui recherche des mises à jour par rapport à un serveur WSUS HTTP ne peut pas utiliser un proxy utilisateur. Si vous avez toujours besoin d'un proxy utilisateur malgré les compromis en matière de sécurité, un nouveau paramètre client de mise à jour logicielle est disponible pour permettre ces connexions. Pour plus d'informations sur les changements : Changes to improve security for Windows devices scanning WSUS - Microsoft Tech Community

• Pour vous aider à gérer les risques de sécurité, vous serez averti dans la console des périphériques dont le système d'exploitation est dépassé par la date de fin support. Ces périphériques peuvent ne plus recevoir de mises à jour de sécurité. En outre, une nouvelle règle de Management Insights a été ajoutée pour détecter Windows 7, Windows Server 2008 et Windows Server 2008 R2 sans mises à jour de sécurité étendues (ESU).

• Il y a un nouveau paramètre client pour les mises à jour de logiciels. Si le contenu delta n'est pas disponible à partir des points de distribution du groupe de limites actuel, vous pouvez autoriser un repli immédiat vers un voisin ou vers les points de distribution du groupe limite par défaut du site. Ce paramètre est utile lorsque vous utilisez le contenu delta pour les mises à jour logicielles, car le délai d'attente par tâche de téléchargement est de cinq minutes.

Déploiement de systèmes d’exploitation

• Il est désormais possible de déployer un système d’exploitation via la Cloud Management Gateway (donc potentiellement sur Internet) en utilisant un média de démarrage. Vous pouvez donc envoyer une clé USB à vos employés pour qu’ils réimagent leur machine depuis chez eux par exemple.
• Microsoft avait ajouté un type de déploiement pour associer une séquence de tâches à une application. Avec cette version, il est possible de déployer cette application sur une collection utilisateur. Dans ce cas le déploiement ciblé sur l’utilisateur s’exécute dans le contexte System.
• Sur la gestion de la taille de la séquence de tâches :
  • ConfigMgr restreint maintenant les actions pour une séquence de tâches d'une taille supérieure à 2 Mo. L'éditeur de séquence de tâches affichera une erreur si vous essayez de sauvegarder les modifications d'une grande séquence de tâches.
  • Lorsque vous consultez la liste des séquences de tâches dans la console, vous pouvez ajouter la colonne Size (KB) afin d’identifier identifier les grandes séquences de tâches qui peuvent poser des problèmes.
• Depuis Windows 10 2004, l'outil de diagnostic SetupDiag est inclus dans le setup de Windows. En cas de problème avec la mise à jour, SetupDiag s'exécute automatiquement pour déterminer la cause de la panne. ConfigMgr rassemble et résume désormais les résultats de SetupDiag à partir des déploiements de mise à jour des fonctionnalités avec Windows 10 Servicing.
• Depuis ConfigMgr 1910, pour améliorer la vitesse globale de la séquence des tâches, vous pouvez activer le plan d'alimentation High Performance de Windows. À partir de cette version, vous pouvez désormais utiliser cette option sur les périphériques dotés d'un mode de veille moderne et sur d'autres appareils qui n'ont pas ce plan d'alimentation par défaut.

Protection

• Vous pouvez désormais gérer les stratégies BitLocker et ingérer les clés de récupération via une Cloud Management Gateway (CMG). Ce changement permet également de gérer BitLocker via une gestion des clients basée sur Internet (IBCM). Ceci ne requiert pas de changement dans le processus de configuration de la gestion de BitLocker.
• Vous pouvez appliquer des stratégies Microsoft Defender Application Control sur des périphériques exécutant Windows Server 2019.

Console Configuration Manager

• La console ConfigMgr dispose d'un nouvel assistant pour l'envoi de commentaires. L'assistant remanié améliore le flux de travail en donnant de meilleures indications sur la manière de soumettre les bonnes de retour d’information. Il y a également une nouvelle requête de message d’état, Feedback sent to Microsoft afin de trouver facilement les messages d’état de retour.

(screen)

• La présentation a été améliorée pour les notifications dans la console. Les notifications sont plus lisibles et le lien d'action est plus facile à trouver. En outre, l'âge de la notification est affiché pour vous aider à trouver les dernières informations. Si vous rejetez une notification ou si vous faites Snooze, cette action est désormais persistante pour votre utilisateur sur toutes les consoles.

• Vous pouvez désormais copier les données de découverte des périphériques et des utilisateurs dans la console. Copiez les détails dans le presse-papiers, ou exportez-les tous dans un fichier. Ces nouvelles actions vous permettent d'obtenir plus facilement et rapidement ces données à partir de la console. Par exemple, vous pouvez copier l'adresse MAC d'un périphérique avant de le réimager.
• Diverses zones de la console utilisent désormais la police à largeur fixe Consolas. Cette police de caractères offre un espacement cohérent et facilite la lecture.

• Vous disposez désormais d'un moyen plus simple de visualiser les messages d’état des objets. Sélectionnez un objet dans la console, puis sélectionnez Show Status Messages dans le menu ruban.

• Désormais, lorsque vous importez un objet dans la console, il importe vers le dossier en cours. Auparavant, ConfigMgr mettait toujours les objets importés dans le nœud racine. Ce nouveau comportement s'applique aux applications, aux packages, aux drivers packages, et aux séquences de tâches.
• Pour vous aider à créer des scripts et des requêtes dans la console, vous verrez désormais la coloration syntaxique et le code folding, si disponible.

PowerShell

• Vous pouvez maintenant utiliser Update-Help pour obtenir les dernières informations du module PowerShell de Configuration Manager via la commande Update-Help -Module Configuration Manager.
• Le module PowerShell supporte maintenant PowerShell 7.
• Avec plus de clients qui gèrent désormais des périphériques à distance, cette version comprend plusieurs nouvelles cmdlets PowerShell améliorées pour la Cloud Management Gateway (CMG). Vous pouvez utiliser ces cmdlets pour automatiser la création, la configuration et la gestion des exigences du service CMG et de l'Azure Active Directory (Azure AD).

Plus d’informations sur cette version : What’s new in version 2010

Pour obtenir les éléments relatifs au processus de mise à jour : Updates and servicing - Configuration Manager | Microsoft Docs

Pour télécharger cette version en Early Wave, vous devez utiliser le script PowerShell

Avec la version 2011 de Microsoft Endpoint Manager (Intune), Microsoft a réalisé certains changements dans le Backend pour améliorer les rapports et simplifier la gestion des machines virtuelles Windows Virtual Desktop Windows 10 à session unique. Les configurations qui nécessitent une puce TPM ne sont pas prises en charge par les machines virtuelles WVD et seront définies comme "non applicable" dans les rapports et Graph API.

Les paramètres suivants s'afficheront comme Non applicable dans les rapports sur les stratégies :

• Paramètres BitLocker
• Paramètres de Microsoft Defender Application Guard
• Les profils Wi-Fi

Grâce à ces modifications, vous pourrez réutiliser les stratégies de conformité existantes pour les périphériques physiques et les paramètres qui ne sont pas supportés pour WVD ne seront pas appliqués.

Plus d’informations sur : Using Windows Virtual Desktop with Microsoft Intune | Microsoft Docs

Rejoignez-moi le mercredi 2 décembre à 20h pour parler de Microsoft Defender for Endpoint (ex-MD Advanced Threat Protection) !

Nous sommes en guerre ! Le nombre d'attaques ciblant les entreprises ont triplé entre 2020 et 2019.
Être attaqué n'est plus une honte et il ne fait aucun doute que toutes les entreprises se feront attaquer dans les prochaines années.
Quelles sont les solutions à disposition pour vous protéger (XDR, EDR, EPP, etc.). Nous verrons dans cette session les réponses pour couvrir vos périphériques quels qu'ils soient.

J’aborderais ces sujets avec mon hôte (Romain Serre) au travers de démos.

Pour s’inscrire, rendez-vous sur Meetup.

Le lien vers la vidéo

Gartner vient de sortir ses Magic Quadrant pour les solutions de réunions et Unified Communication as a Service (UCaaS).  Microsoft ressort comme le plus avancé sur la partie UCaaS suivi par RingCentral, Cisco, Zoom et 8x8 parmi les leaders du marché. Sur le Magic Quadrant des solutions de réunions, Microsoft est leader avec Cisco et Zoom.
Microsoft propose notamment sa solution Teams et ses différents bundles de communications unifiées. Aujourd’hui, Microsoft a plus de 115 millions d’utilisateurs journaliers qui se rencontrer, s’appelle, chat, ou collabore.

Sur Unified Communications as a Service et parmi les forces, on retrouve :

• L'accord entreprise de Microsoft, qui donne aux utilisateurs le droit d'utiliser Microsoft Teams, exerce une forte influence sur les entreprises qui envisagent d'utiliser l'UCaaS. La majorité des clients de Gartner, qui sont des moyennes et grandes entreprises, ont mis en place des accords de licence d'entreprise Microsoft.
• Microsoft Teams dispose de l'ensemble le plus complet d'intégrations avec les services et applications Office 365 de Microsoft. Microsoft Teams est lui-même "construit" à partir de nombreux services et applications d'Office 365, tels qu’Azure Active Directory, SharePoint, OneDrive et Exchange Online.
• Les fonctions de collaboration de Microsoft pour la messagerie et les réunions satisfont pleinement un pourcentage important de la base d'utilisateurs dans les entreprises qui souhaitent ajouter la téléphonie d'entreprise à un faible coût supplémentaire à celui d'une licence E1 ou E3.
• La plupart des clients de Gartner utilisent déjà Microsoft Teams pour la messagerie et les réunions, et ils font état de niveaux de satisfaction bons ou meilleurs. L'adoption a augmenté en réponse à COVID-19. La familiarité des utilisateurs finaux avec Microsoft Teams pour la messagerie et les réunions a conduit à une demande des utilisateurs finaux pour que les directions informatiques ajoutent la téléphonie.

Les faiblesses suivantes sont identifiées :

• Les capacités de téléphonie de Microsoft sont suffisantes pour de nombreuses entreprises, mais pas pour celles qui ont besoin de fonctions de téléphonie avancées. En outre, l'objectif de Microsoft en matière de SLA de disponibilité, qui est de 99,9 %, est considérablement inférieur à celui de la plupart des concurrents de l'UCaaS.
• Microsoft n'est actuellement pas une option appropriée pour les entrceprises qui ont besoin de capacités de centre de contact fournies à partir de la même plate-forme que les services UCaaS.
• Le prix des plans d'appel de Microsoft reste nettement plus élevé que celui des fournisseurs de RTPC. De plus, le nombre de pays dans lesquels Microsoft prend en charge les plans d'appel est limité. Microsoft prend en charge 11 pays, alors que la plupart des fournisseurs de services UCaaS et des opérateurs de télécommunications en prennent généralement en charge 30 ou plus. Pour ces raisons, les grandes organisations qui utilisent Microsoft pour l'UCaaS ont presque toujours besoin d'un fournisseur RTPC distinct.
• Les clients de Gartner ne savent souvent pas quels sont les partenaires de service d’intégration à utiliser, et le prix des services professionnels de ces partenaires varie considérablement, ce qui rend la tâche difficile pour les acheteurs.

Sur Meeting Solutions et parmi les forces, on retrouve :

• Écosystème Office 365 : Microsoft Teams offre une expérience client unifiée pour les réunions et la collaboration en cours de travail, permettant aux enrteprises d'accéder à un ensemble solide de capacités de collaboration au sein de la suite plus large d'applications, de contenus et de périphériques Office 365.
• Rythme de l'innovation : Microsoft a fait progresser les fonctionnalités et les capacités de réunion de Teams bien au-delà des précédentes versions de ses solutions de réunion basées sur Skype for Business. Cela accélère l'adoption de Teams non seulement par sa clientèle Skype for Business, mais aussi par l'ensemble du marché.
• Flexibilité de déploiement : Microsoft a augmenté ses limites pour les réunions et les diffusions dans les Microsoft Teams. Cela permet aux Teams de satisfaire un plus grand nombre de cas d'utilisation exigeant une plus grande échelle. Pour les clients qui dépendent de Skype for Business Server, il n'existe aucune dépendance à l'égard de services Cloud, contrairement à la plupart des concurrents.

Les faiblesses suivantes sont identifiées :

• Gestion des participants externes : L'accès des invités est souvent cité comme une préoccupation lors de l'utilisation de Teams avec des participants externes en raison de l'incertitude qui entoure l'accès aux données des réunions. Microsoft Teams propose deux modèles pour l'invitation de participants externes aux réunions : l'accès invité et l'accès externe. L'accès externe limite les participants externes de sorte qu'ils ne peuvent voir que le contenu partagé pendant la réunion. Les clients de Microsoft bénéficieraient d'efforts de formation plus importants afin que les organisateurs de réunions puissent faire le bon choix.
• Contrôles des réunions : Microsoft Teams ne dispose pas de certaines fonctionnalités disponibles dans les produits de certains concurrents, comme la possibilité d'utiliser des mots de passe forts pour protéger une réunion ou la verrouiller. Le verrouillage du chat aux seules interactions avec l'hôte est un processus en plusieurs étapes que les organisateurs doivent configurer dans les paramètres de canal de Teams pour limiter le chat lors de réunions formelles, de classes en ligne ou de scénarios similaires.
• Collaboration visuelle : Les clients de Microsoft doivent sélectionner et utiliser des produits supplémentaires dans Office 365, tels que l'application Microsoft Whiteboard, OneNote ou d'autres outils de collaboration pour la création de diagrammes, l'annotation et la collaboration visuelle partagée dans les réunions.

Lire les copies des rapports :

• Gartner Unified Communications as a Service
• Gartner Meeting Solutions

Plus d’informations sur : Microsoft Teams recognized as a Leader in Gartner UCaaS and Meetings Solutions Magic Quadrants - Microsoft 365 Blog

Avec l’arrivée d’iOS 14, Microsoft a ajusté les scénarios de gestion qui impacte Microsoft Endpoint Manager (Intune) et les stratégies de protection d’application (APP). Parmi les changements, on retrouve une mise à jour qui empêche les utilisateurs de supprimer les applications requises. Sur la base des retours des clients, Microsoft a remis le comportement antérieur dans la version 2010 (Novembre 2011) où les applications requises peuvent être supprimées par les utilisateurs finaux. Ceci va permettre aux entreprises de pouvoir régler des problèmes où parfois la désinstallation de l’application est nécessaire.

Les périphériques iOS qui avaient été impactés par le comportement, doivent se synchroniser avec Microsoft Endpoint Manager pour refléter le changement.
Microsoft travaille pour donner la capacité aux administrateurs via un réglage de l'interface utilisateur d’ici décembre.

Plus d’informations sur : Attribuer des applications à des groupes dans Microsoft Intune | Microsoft Docs

Microsoft a communiqué sur un problème touchant les rapports d’Endpoint Analytics où la collection de données utilisée par ses rapports a été non fonctionnelle. Le problème a été résolu rapidement néanmoins 3 jours de données n’ont pas pu être récupérée entre le début du problème le 30 septembre et le 2 octobre.

Si vous avez été touché par le problème, vous avez été prévenu par le centre de messages Office.

Pour rappel, Endpoint Analytics est le service qui a pour but d’améliorer la productivité des utilisateurs et réduire le coût du support informatique en fournissant des informations et des éléments sur l’expérience utilisateurs.

Microsoft vient de mettre à disposition la Technical Preview 2011 (5.0.9042.1000) de Microsoft Endpoint Manager Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2010 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 2011 comprend les nouveautés suivantes :

Administration

• Le contenu Community Hub est maintenant catégorisé et groupé entre Microsoft, validé, non revu. Les administrateurs peuvent choisir parmi les différentes catégories de contenu qui sont fournies dans le hub communautaire pour correspondre à leur profil de risque et à leur volonté de partager et d'utiliser du contenu provenant de l'extérieur de Microsoft et de leur propre entreprise.

• Amélioration du tableau de bord de suivi du cycle de vie des produits pour personnaliser l’intervalle des graphiques selon vos préférences, rechercher, trier, filtrer les données et afficher une liste des périphériques dont les produits sont proches de la fin de la prise en charge ou en fin de vie, et que vous devez mettre à jour. Le tableau de bord comporte un nouveau curseur temporel. Vous pouvez utiliser pour contrôler le délai d'exécution des 5 principaux produits en fin de support. La valeur par défaut est de 18 mois, mais vous pouvez l'ajuster de 1 à 36 mois.

• Il est maintenant possible d’afficher un logo dans les notifications du centre logiciel (Software Center).

• Vous pouvez désormais choisir parmi les scripts déjà approuvés lors de la configuration des pré et post-scripts d'un groupe d'orchestration. Dans l'assistant de création de groupe d'orchestration, vous voyez une nouvelle page appelée Script Picker. Vous pouvez sélectionner vos pré et post scripts dans votre liste de scripts déjà approuvés. Vous pouvez toujours ajouter des scripts manuellement sur les pages de pré et post script. En outre, vous pouvez également modifier les scripts que vous avez pré-remplis à partir du Script Picker.

• Vous pouvez maintenant afficher le hub communautaire sur les systèmes d'exploitation Windows Server. Pour activer Windows Server 2012 et les versions ultérieures afin de charger le hub communautaire, vous devez installer une nouvelle extension.

• Améliorations sur Support Center :
  • Vous pouvez afficher les mises à jour ciblées au périphérique

• Vous pouvez afficher les fenêtres de maintenance du périphérique

• Vous pouvez maintenant utiliser Update-Help pour obtenir les dernières informations du module PowerShell de Configuration Manager via la commande Update-Help -Module Configuration Manager.

Déploiement de système d’exploitation

• Avec les retours sur UserVoice, les conditions d'exécution des tâches incluent désormais un opérateur is not like. Cet opérateur s'applique aux conditions de variables de la séquence de tâches. Il est également utilisé dans Set Dynamic Variable.

• Avec les retours sur UserVoice, cette version corrige des problèmes avec la variable de séquence de tâches SMSTSDisableStatusRetry.
• Avec les retours sur UserVoice, l'étape Check Readiness de la séquence de tâches vérifie désormais également l'espace libre sur les disques sans partition.
• Avec les retours sur UserVoice, les cmdlets PowerShell suivants ont maintenant un paramètre d'index :
  • New-CMOperatingSystemImage : Lorsque vous exécutez cette cmdlet avec le nouveau paramètre Index, il crée un nouveau fichier image à index unique dans le même dossier source.
  • New-CMOperatingSystemInstaller (alias New-CMOperatingSystemUpgradePackage) : Lorsque vous exécutez ce cmdlet avec le nouveau paramètre Index, il remplace le fichier image original dans le dossier source par un fichier image à index unique.
• Sur la base des commentaires UserVoice, les nouvelles cmdlets suivantes sont disponibles pour obtenir la liste des ID de matériel existants dans la base de données du site :
  • Get-CMDuplicateHardwareIdGuid
  • Get-CMDuplicateHardwareIdMacAddress

Plus d’informations sur : Technical preview 2011 - Configuration Manager | Microsoft Docs

Microsoft vient de publier l’Update Rollup 10 pour System Center 2016 Operations Manager (KB4580254). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige le problème suivant :

• Management Pack Import est désormais compatible avec la mise à niveau de SCOM 2007 --> SCOM 2016 lors de la mise à jour directe ou indirecte.
• L'exception qui bloquait la poursuite de la progression lorsque l'utilisateur tentait de configurer la surveillance de la disponibilité des applications web a été corrigée.
• Le problème de sécurité concernant le reverse tabnabbing a été corrigé dans la console web.
• Le problème de sécurité lié au Cross-site Scripting (XSS) a été corrigé dans la console web.
• Le cmdlet Export-SCOMEffectiveMonitoringConfiguration a été corrigé pour donner un résumé correct des moniteurs, règles et substitutions applicables sur un objet.
• La date de fin du rapport trimestriel sera correctement affichée pour le premier trimestre lorsque le champ "Du" est sélectionné comme "Premier jour du trimestre précédent" et le champ "Au" est sélectionné comme "Dernier jour du trimestre précédent".
• Les rapports ont été corrigés pour ne pas afficher les objets qui ont été supprimés avant l'heure de début sélectionnée.
• Les scripts VB pour le nettoyage (grooming), le calcul de l'espace libre et la détection des agents en double fonctionnent désormais sans échec même si SNAC ou MSOLEDBSQL ne sont pas installés.
• Le problème concernant la compatibilité TLS 1.2 dans le module OleDB a été résolu. Il n'est plus obligatoire que l'élément fournisseur soit la première référence dans la chaîne de connexion.
• Une correction a été prévue lorsque le moniteur passait à un état critique par erreur en raison d'une mauvaise analyse de la valeur de l'en-tête du charset par le module URL.
• Le problème de l'API .NET concernant la programmation des rapports via l'assistant de gestion de la programmation a été corrigé. 
• Amélioration des performances : Ajout d'une commande de "Recompilation" aux procédures stockées "p_SelectForTypeCache" et "p_SelectForNewTypeCache" qui s'exécutent fréquemment sur SCOM DB.

Plus d’informations sur : Update Rollup 10 for System Center 2016 Operations Manager (microsoft.com)

Télécharger Update Rollup 10 for System Center 2016 Operations Manager

Microsoft a annoncé que Microsoft Edge for Android supprimera les paramétrages de configuration d’application MDM basé sur Chromium à partir de février 2021. Ces paramètres proviennent du code source de Chromium mais ne sont pas (et n'ont jamais été) pris en charge par Edge pour Android et peuvent avoir des effets secondaires non souhaités avec l'application.  Ce changement peut impacter Microsoft Endpoint Manager (Intune) ou tout autre solution de MDM.

A partir de février 2021, les administrateurs ne pourront plus utiliser les politiques de configuration des applications MDM basées sur Chromium avec Edge for Android lorsque ce changement sera mis en œuvre. Dans Microsoft Endpoint Manager, cela signifie que les tenant ne pourront plus voir ces stratégies de configuration d'applications pour les périphériques gérés

Pour plus d'informations sur les paramètres de configuration de l'application supportés par Edge for Android

Gartner a publié le résultat de l’étude 2020 sur l’Access Management. Microsoft est toujours leader (depuis 4 ans) mais est passé devant Ping Identity et Okta avec une nette avance.

Parmi les forces :

• Microsoft a bénéficié d'une augmentation de l'activité de travail à distance sous l'effet de la crise sanitaire mondiale, certains de ses services Azure enregistrant une forte croissance à deux chiffres mois après mois. Cela lui a permis d'augmenter ses notes déjà élevées en matière de viabilité globale.
• Azure AD Premium comprend l'accès conditionnel, une pierre angulaire et adaptative très populaire et très utilisée. L'année dernière, Microsoft a ajouté un mode Audit Only, qui est devenu populaire auprès des clients.
• Microsoft a simplifié la tarification de son offre B2C, en passant à un modèle d'utilisateurs authentifiés mensuels (MAU), sans frais pour les 50 000 premières identités externes. La tarification globale analysée pour les différents scénarios de cette étude est inférieure à la moyenne du marché.
• Microsoft est l'un des fournisseurs qui démontre non seulement qu'il respecte la norme WCAG (Web Content Accessibility Guidelines) pour des raisons de conformité, mais aussi qu'il est soucieux d'offrir une expérience positive forte aux personnes handicapées.

Parmi les faiblesses :

• Le licensing d'Azure AD est conçu de manière à ce que les fonctionnalités soient "groupées", ce qui signifie que les modules ne peuvent pas être acquis individuellement. Les entreprises doivent passer à un forfait d'abonnement plus coûteux pour pouvoir accéder à des fonctionnalités plus avancées d'Azure AD.
• L'expérience CIAM fait encore défaut, par rapport à d'autres leaders du marché, et la plupart des fonctions B2B et B2C sont proposées à des tenants distincts.
• La fonctionnalité de gestion des sessions dans Azure continue également à être moins mature que le marché, manquant de granularité application par application et d'autres contrôles. Microsoft parie sur l'adoption du protocole d'évaluation de l'accès continu (CAEP) pour résoudre ce problème ; cependant, ce protocole est nouveau, et l'adoption n’est pas gagnée.
• Les interfaces programmatiques Azure AD sont limitées à GraphAPI.

Vous pouvez accéder au rapport sur : Gartner Reprint

Source : Microsoft Azure Active Directory again a “Leader” in Gartner Magic Quadrant for Access Management - Microsoft Security

Microsoft propose une série de guides interactifs sur les différents éléments de sécurité que l’entreprise propose. On retrouve :

• Activer l’expérience combinée d'enregistrement du MFA et de la restauration de mot de passe en libre-service (SSPR) en Azure AD.
• Activer la collaboration B2B dans Azure AD.
• Fournir un accès sécuriser distant aux applications On-Premises avec Azure AD Application Proxy.
• Détecter les activités suspicieuses et les attaques potentielles avec Microsoft Defender for Identity (Azure ATP).
• Protéger votre entreprise avec Microsoft Defender for Office (Office 365 ATP).
• Découvrir, protéger et contrôler vos applications avec Microsoft Cloud App Security.
• Détecter les menaces et gérer les alertes avec Microsoft Cloud App Security.
• Gérer et protéger les applications mobiles et Desktop avec Microsoft Endpoint Manager.
• Gérer les périphériques avec Microsoft Endpoint Manager.
• Protéger votre organisation avec Microsoft Threat Protection.
• Réduire le risque de votre entreprise avec Threat & Vulnerability Management avec Microsoft Defender for Endpoint (MDATP).
• Investiguer et remédier les menaces avec Microsoft Defender for Endpoint (MDATP).

Maintenant que Microsoft Edge (Chromium) commence à prendre une part importante dans les entreprises, on retrouve souvent des questions autour du cycle de développement et de publication.
Premièrement Microsoft Edge (Chromium) retrouve plusieurs canaux de publication :

• Stable Channel : Toutes les 6 semaines
• Beta Channel : Toutes les 6 semaines
• Dev Channel avec des mises à jour plusieurs fois par semaine
• Canary Channel avec des mises à jour plusieurs fois par jour

Microsoft planifie de publier des mises à jour publiques sur les canaux Beta et Stable toutes les 6 semaines. La page suivante vous permet de suivre la planification des publications avec des prévisions pour les prochaines versions : Microsoft Edge release schedule | Microsoft Docs

Concernant la roadmap, Microsoft publie la liste des fonctionnalités en cours de développement sur : Microsoft 365 Roadmap | Microsoft 365

Les développeurs peuvent suivre un état plus complet sur : Platform Status page (microsoftedge.com)

Vous pouvez bien entendu suivre et gérer Microsoft Edge (Chromium) avec Microsoft Endpoint Configuration Manager et Microsoft Endpoint Manager.

David James (Principal Program Manager) a annoncé un changement pour les versions de Microsoft Endpoint Configuration Manager (MECM) à partir de 2010. En effet, les versions étaient publiées jusqu’à maintenant avec la mention février XX02, juin XX06, octobre XX10. Ceci va passer à Mars XX03, Juillet XX07, Novembre XX11.

Microsoft conserve un rythme de publication tous les 4 mois et la publication sera toujours prévu aux mois prévus jusqu’à maintenant. Le but est s’aligner sur les autres noms (Windows 10, etc.).

Source : david james sur Twitter : "Yes. After we ship 2010 in the next couple of weeks, the next three releases will be 2103, 2107, 2111. #configmgr #memcm" / Twitter

Microsoft vient de publier Microsoft Compliance Configuration Analyzer, un outil permettant de générer un rapport sur la configuration de la conformité du tenant. Le rapport gravite autour de 8 éléments :

• Microsoft Information Protection
  • Data Loss Prevention
  • Information Protection
• Microsoft Information Governance
  • Information Governance
  • Records Management
• Insider Risk
  • Communication Compliance
  • Insider Risk Management
• Discovery & Response
  • Audit
  • eDiscovery

Note : La version actuelle ne supporte par les stratégies Information Barriers.

Vous pouvez accéder à l’outil via GitHub ou PowerShell Gallery

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en octobre 2020.

Microsoft apporte les nouveautés suivantes :

• 27 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Sentry, Bumblebee - Productivity Superapp, ABBYY FlexiCapture Cloud, EAComposer, Genesys Cloud Integration for Azure, Zone Technologies Portal, Beautiful.ai, Datawiza Access Broker, ZOKRI, CheckProof, Ecochallenge.org, atSpoke, Appointment Reminder, Cloud.Market, TravelPerk, Greetly, OrgVitality SSO, Web Cargo Air, Loop Flow CRM, Starmind, Workstem, Retail Zipline, Hoxhunt, MEVISIO, Samsara, Nimbus, Pulse Secure virtual Traffic Manager
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :

• Apple Business Manager
• Apple School Manager
• Code42
• AlertMedia
• OpenText Directory Services
• Cinode
• Global Relay Identity Sync

• Vous pouvez assigner des applications aux rôles dans les unités d’administration (AU) et les étendues d’objets.
• Les journaux de provisionnement peuvent maintenant être envoyés vers Log Analytics afin d’être stockés pendant plus de 30 jours ou de définir des alertes et des notifications personnalisés.
• Vous pouvez désormais permettre aux propriétaires d'applications de surveiller l'activité du service de provisionnement et de résoudre les problèmes sans leur accorder un rôle privilégié.

• Vous pouvez maintenant voir l’identifiant de modèle de chaque rôle AD dans le portail Azure. Dans Azure AD, sélectionnez la description du rôle sélectionné.

• L'expérience de l'assistant à l'intégration (Preview) est maintenant disponible pour les inscriptions à Azure AD B2C. Cette expérience vous aidera à configurer votre application pour des scénarios courants
• Sur la fonctionnalité Access Review, on retrouve :
  • Vous pouvez désormais désactiver et supprimer les utilisateurs invités lorsque l'accès à une ressource leur est refusé. Si les invités sont refusés lors d'un contrôle d'accès, la désactivation et la suppression les empêcheront automatiquement de se connecter pendant 30 jours. Après 30 jours, ils seront totalement supprimés du tenant.
  • Les créateurs dans Access Review peuvent ajouter des messages personnalisés dans les courriels envoyés aux examinateurs.
• La fonctionnalité Entitlement Management propose maintenant une propriété Etat (State) pour les entreprises connectées. L'État contrôlera la manière dont l'organisation connectée sera utilisée dans les politiques qui font référence à "toutes les organisations connectées configurées". La valeur sera soit "configurée" (ce qui signifie que l'organisation est dans le champ d'application des politiques qui utilisent la clause "tous") ou "proposée" (ce qui signifie que l'organisation n'est pas dans le champ d'application).
• Pour Azure AD B2C, on retrouve :
  • Public Preview des connecteurs d’API qui peuvent être utilisés avec Azure AD B2C. Les connecteurs API vous permettent d'utiliser des API web pour personnaliser vos flux d'utilisateurs d'inscription et s'intégrer à des systèmes de cloud externe.
  • L'accès conditionnel basé sur le risque et les fonctions de détection du risque de la protection de l'identité sont maintenant disponibles dans Azure AD B2C.

On retrouve les modifications de service suivantes :

• Microsoft a récemment mis à jour l'authentification multi-facteur (MFA) sur un périphérique de confiance pour prolonger l'authentification jusqu'à 365 jours. Les licences Azure Active Directory (Azure AD) Premium, peuvent également utiliser la stratégie d'accès conditionnel - Sign-in Frequency qui offre plus de flexibilité pour les paramètres de ré-authentification.

• Microsoft met à jour les services Azure pour utiliser les certificats TLS d'un ensemble différent d'autorités de certification racine (CA). Cette mise à jour est due au fait que les certificats des AC actuelles ne sont pas conformes à l'une des exigences de base des AC. Ce changement aura un impact sur les agents hybrides Azure AD installés On-Premises qui ont des environnements durcis avec une liste fixe de certificats racine et devront être mis à jour pour faire confiance aux nouveaux émetteurs de certificats. Ce changement concerne les agents suivants :
  • Les conncteurs Application Proxy
  • Les agents Passthrough Authentication
  • Les agents Cloud Provisioning
• Les événements de provisionnement seront supprimés des journaux d'audit et publiés uniquement dans les journaux de provisionnement. Ce changement est mis en œuvre pour éviter la duplication des événements dans les journaux, et les coûts supplémentaires encourus par les clients qui consomment les journaux dans l'analyse des journaux. Microsoft fournira une mise à jour lorsqu'une date sera définie. Cette déprédation n'est pas prévue pour l'année civile 2020.
• Renommage de 10 Rôles Azure Active Directory :

• La version 2.x de MSAL.js support le flux de codes d'autorisation pour les applications web à page unique (SPA).

Plus d’informations sur : What’s new Azure AD

Pour répondre aux demandes visant à traiter une partie des données sensibles avec une solution de chiffrement ne permettant pas à Microsoft de pouvoir déchiffrer les informations, Microsoft propose la solution Double Key Encryption (DKE). Cette solution vise à proposer une solution de chiffrement avec deux clés : Une clé spéciale pour chiffrer les documents jugés sensibles et ne devant pas être accessible à un tiers (Microsoft, etc.) et une clé permettant de chiffrer le reste des documents avec un niveau de sensibilité moins important. Les documents chiffrés avec la clé spéciale, perdent les bénéfices offerts par les solutions Cloud (Co-édition, etc.) puisque les services de Microsoft ne peuvent pas lire les documents et n’ont pas accès à la clé. Néanmoins, ceci permet d’assurer un niveau de protection tout en stockant les documents dans le Cloud.

Aujourd’hui, Microsoft propose un article permettant d’expliquer comment héberger cette clé en interne via un serveur IIS : Host DKE on IIS, using an on-premises server - Microsoft Tech Community

Certaines entreprises utilisent les règles de transport d’Exchange pour protéger les informations dans la phase de transit avec différentes capacités. Microsoft a publié un guide permettant d’aborder la migration de ces règles vers les règles DLP unifiées proposées par Microsoft Information Protection.

Vous pouvez donc utiliser ce guide quand vous utilisez des règles de flux de transport pour :

• Définir des règles pour le cryptage des messages.
• Définir de règles pour l'acheminement des messages en fonction de mots ou d'expressions clés.
• Bloquer les messages lorsque la pièce jointe contient des types d'informations sensibles ou dépasse une taille recommandée
• Configurer des avertissements, signatures, pieds de page ou en-têtes de messages à l'échelle de l'organisation dans Exchange Online
• Fixer le niveau de confiance des messages de spam (SCL)

Télécharger le guide ETR to DLP Playbook

Microsoft vient d’annoncer le support de macOS 11 (BigSur) par Microsoft Endpoint Manager (Intune). Microsoft teste le service depuis plusieurs mois en utilisant les versions Developer et Beta de ces systèmes. Ainsi les scénarios existants autour des stratégies de protection applicative (MAM) Intune et la gestion des périphériques mobiles (MDM) fonctionnent.

En outre, Microsoft Endpoint Manager supporte les nouvelles configurations suivantes sur macOS Big Sur et ultérieur :

• Report des mises à jour de logiciels non-OS
• Paramètres "Enable direct download" pour les domaines associés - clés de certificat SCEP 4096 bits
• Empêcher les utilisateurs de désactiver le VPN automatique
• Domaines exclus pour les connexions VPN par application

A partir de macOS Big Sur, tous les enregistrements approuvés par l’utilisateur sont automatiquement considérés comme supervisés (Supervised). Tous les enregistrements de Mac dans Microsoft Endpoint Manager, à l'exception de celles qui utilisent l'ADE (Automated Device Enrollment), sont considérées comme approuvées par l'utilisateur. Comme les périphériques actuellement inscrits se mettent à jour vers MacOS Big Sur, le service informatique pourra exercer le même niveau de contrôle sur ces périphériques que les dispositifs MacOS supervisés inscrits à l'aide de Automated Device Enrollment ou Apple Configurator.

En outre, macOS 11 supporte les applications gérées qui apportent de nombreuses nouvelles fonctionnalités de gestion des applications similaires à celles déjà disponibles avec iOS et iPadOS. macOS 11 permet aux services informatiques de convertir les applications installées en applications gérées, de désinstaller à distance les applications gérées sur un appareil géré et de supprimer automatiquement toutes les applications gérées lorsque l'appareil n'est plus géré. Toutes les applications achetées et personnalisées sous MacOS 11 sont désormais automatiquement installées comme étant gérées, ce qui vous permet de configurer pour chaque groupe Azure AD si l'application doit être supprimée lorsque le Mac n'est plus géré.

Microsoft introduit également le type d'affectation "uninstall" pour les applications VPP et les applications professionnelles sur macOS 11, qui est applicable lorsqu'une application est installée telle que gérée.

Le portail d'entreprise macOS Intune et l'agent MDM Intune sont pris en charge par les Macs fonctionnant sur Intel et Apple Silicon sous macOS 11.

Enfin, Apple a publié des versions mises à jour des contrats de licence d'Apple Business Manager. Vous ne pourrez pas inscrire des périphériques ou déployer de nouvelles applications tant qu'un administrateur n'aura pas accepté les nouvelles conditions.

Plus d’informations sur : Microsoft Endpoint Manager support for macOS Big Sur - Microsoft Tech Community