Microsoft s’apprête à tenir un Webinar sur le télétravail et la protection des données avec Information Protection. Ceci inclut : Microsoft Information Protection, Azure Information Protection, Data Loss Prevention d’Office 365, etc. Il aura lieu le 27 Avril 2020 de 18h à 19h30 (heure française)

L’agenda est le suivant :

• Limiter les expériences de Teams pour les invités et les personnes extérieures à l’organisation - comment les entreprises peuvent utiliser les labels de confidentialité pour protéger le contenu des Teams, des groupes Office 365 et des sites SharePoint Online.
• Appliquer la prévention des pertes de données dans Teams
• Appliquer des labels de confidentialité pour protéger les données sensibles
• Réduire le risque interne grâce à Insider Risk Management, à Communications Compliance, et à Information Barriers
• Permettre des stratégies de rétention simples
• Questions et réponses

Pour ajouter le rendez-vous à votre calendrier

Pour rejoindre le Webinar

Après quelques semaines, vous vous demandez peut-être si vous pouvez déployer Microsoft Endpoint Manager Configuration Manager 2002 (SCCM) dans sa version Early Wave. Microsoft propose un résumé des principaux problèmes et pour la version 2002, il existe un problème où une séquence de tâches ne peut s’exécuter sur une machine qui communique avec la Cloud Management Gateway (CMG).

Ceci survient dans les scénarios suivants :

• Vous configurez le site pour fonctionner en mode Enhanced HTTP et le Management Point est configuré pour fonctionner en HTTP. Microsoft recommande de configurer le Management Point en HTTPS.
• Vous avez installé et enregistré le client avec un token d’enregistrement en masse pour l’authentification. Pour résoudre ce problème, vous pouvez utiliser une des méthodes suivantes :
  • Pré-enregistrer le périphérique sur le réseau interne
  • Configurer le périphérique avec un certificat d’authentification client
  • Joindre la machine à Azure AD

Le scénario numéro 1 est celui que vous avez le plus de chance de rencontrer. Dans ce cas, vous pouvez attendre un correctif sur la version finale 2002.

Source : Release notes for Configuration Manager

Il semble qu’un problème touche System Center Configuration Manager 1902, 1906, 1910, 2002 où vous utilisez une Cloud Management Gateway (CMG) pour gérer des clients Intranet. Vous êtes dans le scénario suivant :

• Le client est sur le réseau Interne ou connecté via un VPN.
• Le client est géré via une Cloud Management Gateway en lieu et place d’un Management Point comme défini dans les Boundary Groups.
• L’authentification utilisée se fait via le token Azure AD (pas de PKI)

Le fichier SCClient affiche des erreurs comme suit :

Using endpoint Url: https://*********.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72057594037927951:443/CMUserService_WindowsAuth, Windows authentication (Microsoft.SoftwareCenter.Client.Data.ACDataSource+<>c at <RefreshLocalSettingsAsync>b__16_0)

GetApplicationsAsync: The HTTP request was forbidden with client authentication scheme 'Negotiate'.. Unable to fetch user categories, unknown communication problem.      (Microsoft.SoftwareCenter.Client.ViewModels.SoftwareListViewModel+<LoadAppCatalogApplicationsAsync>d__164 at MoveNext)

Il semble qu’un client n’utilise pas l’authentification Azure AD comme cela est prévu pour parler à la CMG lorsqu’il est en mode Intranet. La solution de contournement revient à spécifier un Management Point dans les Boundary Groups (du VPN ou du site distant) en lieu et place d’une éventuelle CMG.

Note : Ceci n'affecte pas la gestion des clients Internet via un CMG

Source

En décembre dernier, Microsoft a publié les bonnes pratiques et paramétrages recommandés pour Exchange Online Protection (EOP) ainsi qu’Office 365 Advanced Threat Protection (ATP). Au travers d’un article, Microsoft recommande deux niveaux de sécurité : Standard et Strict. Le sujet couvre :

• La protection anti-spam d’Exchange Online Protection,
• La protection anti-malware d’Exchange Online Protection,
• La protection anti-phishing d’Exchange Online Protection,
• Les strategies anti-phishing d’Office ATP
• Les paramétrages Safe Links
• Les paramétrages Safe Attachments

En outre, Microsoft a publié un module PowerShell permettant d’évaluer voter configuration : Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA)
Vous pouvez l’installer via la commande : Install-Module -Name ORCA

Ensuite :

• Connectez-vous à Exchange Online avec les commandes :

$credential = Get-Credential

$exosession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid -Credential $credential -Authentication Basic –AllowRedirection

Import-PSSession $exosession

• Puis exécutez la commande : Get-ORCAReport

Cela donne un résultat comme suit et vous explique comment remédier les différentes règles selon les recommandations :

Lire Recommended settings for EOP and Office 365 ATP security

Microsoft vient de finaliser la version 1.2020.402.0 de son outil de packaging (MSIX Packing Tool). Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Cette version apporte les éléments suivants :

• Le paramètre "Package Integrity" est activé par défaut
• Possibilité d'ajouter automatiquement le support MSIX Core à un MSIX
• Possibilité d'importer ou d'exporter des fichiers de registre (.reg) dans l'éditeur de paquets
• La page "Create package" affiche maintenant l'emplacement de sauvegarde par défaut.
• Ajout de l'extension InstalledLocationVirtualization
• Amélioration de la qualité des icônes extraites
• Amélioration de l'extraction des icônes à partir des raccourcis
• Validation du format du manifest après édition
• Faire passer un message plus clair en cas d'échec de la première tâche de lancement
• Interdire les chemins relatifs pour l’Unpack
• Mise à jour des filtres de fichiers afin qu'ils indiquent les formats valables (par exemple, pour les installateurs, il était dit . et maintenant *.msi, *.exe, ...)
• Correction de la conversion des espaces dans les chemins d'accès en "%20" lors de l’Unpack
• Corrections de bugs

Pour accéder à l’outil, vous devez :

• Participer au programme Windows Insider Fast ou Slow Ring
• Avoir Windows 10 17701 ou plus
• Avoir les droits d’administrateur sur la machine
• Avoir un compte Microsoft pour accéder au Microsoft Store.

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Saaswedo a mis à jour son service de gestion des dépenses télécom (TEM) Datalert. Pour rappel, ce service de Telecom Expenses Management s’intègre à Microsoft Intune. Cette mise à jour v1.8.4.4 propose les améliorations suivantes :

• Les réglages sont désormais plus simples. Il inclut les dernières modifications de la notification d'arrière-plan Apple.
• Nouvelle application iOS (1.6.2) incluant de nouvelles règles d'Apple pour la gestion des activités de fond

Note la version 1.6.3 est attendue pour le 21 Avril avec :

• Une adaptation à la taille de l'écran de l'iPhone X et +
• iOS en mode sombre géré et affichera correctement les informations dans les paramètres de Datalert

Plus d’informations sur le site de Saaswedo.

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [iOS/iPadOS/macOS] Auparavant, vous ne pouviez pas supprimer un profil par défaut, ce qui signifiait que vous ne pouviez pas supprimer le jeton Automated Device Enrollment qui lui était associé. Maintenant, vous pouvez supprimer le jeton quand aucun appareil n'est attribué au jeton et qu’un profil par défaut est présent Pour ce faire, supprimez le profil par défaut, puis supprimez le jeton associé.
• [iOS/iPadOS/macOS] Intune supporte jusqu'à 1000 profils d'inscription par jeton, 2000 jetons d'inscription automatique de périphériques (anciennement appelés DEP) par compte Intune, et 75 000 périphériques par jeton. Il n'y a pas de limite spécifique pour les périphériques par profil d'inscription, en dessous du nombre maximum de périphériques par jeton. Intune supporte désormais jusqu'à 1000 profils Apple Configurator 2.

Gestion du périphérique

• [Général] Sur la page All Devices, les entrées de la colonne Managed by ont changé :
  • Intune est maintenant affiché à la place de MDM
  • Co-managed est maintenant affiché à la place de MDM/ConfigMgr Agent

Les valeurs d'exportation sont inchangées.

• [Général] Vous pouvez cibler les paramètres dans le volet de personnalisation sur des groupes d'utilisateurs. Pour trouver ces paramètres dans Intune, sélectionnez Tenant administration > Customization.

• [General] Vous pouvez configurer une notification "push" à envoyer à vos utilisateurs Android et iOS lorsque le type de propriétaire de leur périphérique a été modifié de "Personnel" à "Entreprise" par souci de confidentialité. Cette notification push est désactivée par défaut. Vous trouverez ce paramètre en sélectionnant Tenant administration > Customization.

• [Général] Vous pouvez maintenant voir le numéro de version de TPM sur la page du matériel d'un périphérique (Devices > choisissez un périphérique > Hardware > Regarder dans System enclosure).

Configuration du périphérique

• [iOS/iPadOS/macOS] Vous pouvez utiliser plusieurs règles VPN à la demande dans le même profil VPN avec l'action Evaluer chaque tentative de connexion (Devices > Configuration profiles > Create profile > iOS/iPadOS ou macOS comme plateforme > VPN pour profil > Automatic VPN > On-demand). Chaque règle est évaluée dans l'ordre où elle apparaît dans la liste des règles à la demande.

• [iOS/iPadOS] Sur les périphériques iOS/iPadOS, vous pouvez :
  • Dans les profils SSO (Devices > Configuration profiles > Create profile > iOS/iPadOS comme plateforme > Device features pour profil > Single sign-on), vous pouvez définir le nom principal Kerberos comme étant le nom de compte Security Account Manager (SAM) dans les profils SSO.
  • Dans les profils d'extension d'application SSO (Devices > Configuration profiles > Create profile > iOS/iPadOS pour plateforme > Device features comme profil > Single sign-on app extension), vous pouvez configurer l'extension Microsoft Azure AD iOS/iPadOS en moins de clics en utilisant un nouveau type d'extension d'application SSO. Vous pouvez activer l'extension Azure AD pour les périphériques en mode partagé et envoyer des données spécifiques à l'extension.
• [macOS] De nouveaux paramétrages de script Shell sont disponible sur macOS avec notamment :
  • Cacher les notifications de script sur les périphériques
  • Fréquence de script
  • Nombre maximum de tentative si le script échoue

Gestion des applications

• [Android Enterprise] Les entreprises qui utilisent les test tracks de Google Play pour tester les applications en préversion peuvent gérer ces tracks avec Intune. Vous pouvez assigner de manière sélective les applications qui sont publiées sur les tracks de pré-production de Google Play à des groupes de pilotes afin d'effectuer des tests. Dans Intune, vous pouvez voir si une track de test de pré-production d'une application a été publiée, et vous pouvez également attribuer cette track à des groupes. Cette fonctionnalité est disponible pour tous les scénarios Android Enterprise (work profile, fully managed, et dedicated). Plus d'informations.
• [Android Enterprise] Vous pouvez utiliser les stratégies de configuration d'application (Apps > App configuration policies > Add > Managed devices) pour gérer le paramètre S/MIME pour Outlook sur les périphériques Android Enterprise. Vous pouvez également choisir d'autoriser ou non les utilisateurs de l'appareil à activer ou à désactiver S/MIME dans les paramètres d'Outlook.

• [Android Enterprise] Les stratégies de configuration des applications Android ont été mises à jour pour permettre aux administrateurs de sélectionner le type d'inscription avant de créer un profil de configuration de l'application. La fonctionnalité est ajoutée pour tenir compte des profils de certificat qui sont basés sur le type d'inscription (Work profile ou Device Owner). Cette mise à jour apporte les éléments suivants :
  • Si un nouveau profil est créé et que le profil Work Profile et Device Owner sont sélectionnés pour le type d'inscription, vous ne pourrez pas associer un profil de certificat à la stratégie de configuration de l'application.
  • Si un nouveau profil est créé et que le profil Work Profile uniquement est sélectionné, les stratégies de certificat du Work Profile créées, peuvent être utilisées.
  • Si un nouveau profil est créé et que l'option Device Owner uniquement est sélectionnée, les stratégies de certificat du Device Owner créées, peuvent être utilisées.

Les stratégies existantes créées avant la publication de cette fonctionnalité (Avril 2020 - 2004) qui n'ont pas de profils de certificat associés à la stratégie seront par défaut le profil Work Profile et Device Owner pour le type d'inscription. De même, les stratégies existantes créées avant la mise en place de cette fonctionnalité et auxquelles sont associés des profils de certificat seront par défaut uniquement Work Profile.

• [Android Enterprise] Microsoft ajoute les profils de configuration Email Gmail et Nine qui fonctionneront à la fois pour les types d'inscription "Work Profile" et "Device Owner", y compris l'utilisation de profils de certificat sur les deux types de configuration Email. Toutes les stratégies Gmail ou Nine que vous avez créées sous Device Configuration pour les Work Profile continueront à s'appliquer aux périphériques et il n'est pas nécessaire de les déplacer vers les stratégies de configuration des applications.

• [macOS] Microsoft Teams est désormais inclus dans la suite Office 365 pour macOS. Intune reconnaîtra les périphériques Mac existants sur lesquels sont installées les autres applications Office pour macOS et tentera d'installer les Microsoft Teams la prochaine fois que le périphérique se connectera à Intune.

Supervision et Dépannage

• [macOS] Vous pouvez désormais collecter des journaux pour améliorer le dépannage des scripts attribués aux périphériques MacOS. Vous pouvez collecter des journaux jusqu'à 60 Mo (compressés) ou 25 fichiers, selon ce qui se produit en premier.

Sécurité

• [Android Enterprise] Intune supporte l'utilisation de derived credentials comme méthode d'authentification pour les périphériques Android. Les Derived Credentials sont une implémentation de la norme 800-157 du National Institute of Standards and Technology (NIST) pour le déploiement de certificats sur les périphériques. Vous pouvez utiliser les Derived Credentials comme méthode d'authentification pour les profils de configuration des périphériques pour le VPN et le WiFi. Vous pouvez également les utiliser pour l'authentification des applications, ainsi que pour la signature et le chiffrement S/MIME. Intune supporte les fournisseurs Derived Credentials suivants avec Android : Entrust Datacard et Intercedez. Un troisième fournisseur, DISA Purebred, sera disponible pour Android dans une prochaine version.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v81. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

Cette version 80 comprend 15 nouveaux paramètres de configuration machine et utilisateur. :

• Allow importing of Cookies
• Allow importing of extensions
• Allow importing of shortcuts
• Allow the audio sandbox to run
• Configure automatic sign in with an Active Directory domain account when there is no Azure AD domain account
• Enable a TLS 1.3 security feature for local trust anchors.
• Enable Ambient Authentication for InPrivate and Guest profiles
• Enable globally scoped HTTP auth cache
• Enable Microsoft Search in Bing suggestions in the address bar
• Enable stricter treatment for mixed content
• Specify how "in-page" navigations to unconfigured sites behave when started from Internet Explorer mode pages
• Use a default referrer policy of no-referrer-when-downgrade. (deprecated)

Voici un document présentant les différences entre la version 81 et 80

Plus d’informations sur l’article suivant :  https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-for-microsoft-edge-v81/ba-p/1303621

Télécharger Security Compliance Toolkit

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v80. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

Les paramétrages sont similaires à ceux recommandés pour la version 79 avec l’ajout du paramétrage "Configure Microsoft Defender SmartScreen to block potentially unwanted apps”. Les applications potentiellement non souhaitées (PUA) ne sont pas considérées comme des virus, des logiciels malveillants ou d'autres types de menaces, mais elles peuvent effectuer des actions sur les périphériques qui nuisent à leurs performances ou à leur utilisation (comme les logiciels publicitaires ou autres applications de faible réputation, etc).  À partir de Microsoft Edge 80, vous pouvez désormais bloquer les téléchargements PUA et les URL de ressources associées. 

Cette version 80 comprend 270 paramètres de configuration machine et 254 paramètres de configuration utilisateur.

Plus d’informations sur l’article suivant :  https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-for-microsoft-edge-v80/ba-p/1233193

Télécharger Security Compliance Toolkit

Je poste ce billet couvrant un bug dans Microsoft Intune lors de l’utilisation du portail d’entreprise en version 2.2.191101 pour les enregistrements des périphériques macOS. Normalement le bug n’est plus présent si l’utilisateur a mis à jour vers une version 2.2.191201 ou ultérieure. Le bug ne touche que le workflow Device Enrollement et n’impacte pas si le périphérique est enregistré au travers d’Apple Business Manager (ou DEP).

La version 2.2.191101 du portail d’entreprise publiée le 13 novembre 2019, comportait un bug d’enregistrement qui affectait la livraison des applications du programme d'achat en volume (VPP) sous licence utilisateur et des liens internet sur les périphériques Mac. Microsoft vous a normalement prévenu au travers du tableau de bord de santé via un bulletin IT199560.

Les utilisateurs finaux qui tentent de s’enregistrer avec la version concernée voient le message "We cannot enroll your device with this version of the Company Portal. To get an updated version of the Company Portal, download the latest version of the Company Portal app"

Microsoft vient d’annoncer la Public Preview de la classification automatique avec les labels/étiquettes de confidentialité avec Microsoft Information Protection pour les documents stockés sur OneDrive et SharePoint Online et pour les emails en transit dans Exchange Online.

Vous pouvez maintenant configurer des étiquettes de confidentialité à appliquer automatiquement aux fichiers Office (par exemple, PowerPoint, Excel, Word, etc.) et aux emails en fonction des stratégies de l’entreprise. Vous pouvez donc configurer des stratégies de classification automatique dans les services Microsoft 365 comme OneDrive, SharePoint Online et Exchange Online.

Pour plus d’informations sur la Preview : https://aka.ms/MIPC/O365AutolabelingPublicPreview

Source : Office 365 service-based auto-labeling for EXO (Data in transit) and SPO/OD (Data at rest) preview

Je vous partage un problème connu concernant Microsoft Information Protection et Azure Information Protection où les labels/étiquettes de confidentialité (Sensitivity) ne sont pas affichés sur Office Online ou Outlook Web. Ce problème survient quand les stratégies de labels ou d’étiquettes sont assignés à un ou plusieurs groupes imbriqués.

Un correctif est encore de préparation pour corriger ce problème. Dans l’immédiation, Microsoft recommande de ne pas utiliser les groupes imbriqués.

Source : https://support.microsoft.com/en-us/office/known-issues-with-sensitivity-labels-in-office-b169d687-2bbd-4e21-a440-7da1b2743edc?ui=en-us&rs=en-us&ad=us#ID0EBBAAA=Online

Certains tenants ont reçu un message IT206230, les mises à jour automatiques des applications métiers Android ne se mettaient pas à jour sur les périphériques Samsung fonctionnant sous Android 10 et plus lorsque le périphérique est inscrit en mode Device Administrator. Microsoft a publié la version 5.0.4722.0 du portail de l'entreprise qui traite de ce problème.

Avec ce problème, certains périphériques affichent la mention "Pending" pour les mises à jour d'applications métiers. Si c'est le cas, vous avez peut-être rencontré ce problème.

Une fois que l’utilisateur aura reçu la mise à jour du portail d'entreprise, son expérience des applications sera légèrement différente. À l'avenir, toutes les applications fournies par Intune, telles que les applications métiers, vous inviteront à mettre à jour les applications lorsqu'une mise à jour sera disponible.

C’est une demande commune quand on traite des sujets autour de Microsoft Information Protection (MIP) ou Azure Information Protection. Microsoft propose un livre blanc sur la mise en place de la taxonomie des labels de classification et de confidentialité. Il donne les bonnes pratiques pour établir un framework de classification de donnée avec 5 labels parents et 5 sous-labels par label parent pour un total de 25 labels au total. On retrouve aussi des indications sur les noms à utiliser.

Télécharger le livre blanc : https://aka.ms/DataClassificationWhitepaper

Avec la disponibilité générale du client unifié Azure Information Protection couvrant l’ensemble des fonctionnalités du client classique, Microsoft vient d’annoncer la dépréciation du client classique et du portail de gestion Azure pour le 31 Mars 2021. Ceci va laisser un an aux clients pour migrer les étiquettes/labels, stratégies et clients.  Il n'y a qu'une seule exception ici : Les tenant d’Azure Government GCC dont le support du client Unifié est prévu au cours du troisième trimestre.

Pour ce faire, vous devez :

1. Migrer vos labels/étiquettes et stratégies vers le centre de conformité Microsoft 365 en activant le portail Unified Labeling in Azure. Cette opération prend de 5 à 10 minutes et est exécutée comme une transaction, ce qui signifie que tant que vous n'aurez pas déplacé toutes les étiquettes, le portail Azure continuera à utiliser l'ancien magasin d'étiquettes. Il n'y a donc aucun impact sur le déploiement des produits.
   Une petite exception à ce processus automatique concerne les informations régionales et de localisation qui doivent être migrées manuellement. Microsoft fournit pour cela un script sans support.
   Plus d'informations sur le billet :
2. Mettre à niveau les clients vers le client Unifié ou commencez à utiliser l'étiquetage intégré dans le client Office ProPlus et supprimez le client classique. Deux raisons qui pourraient vous empêcher de mettre à jour les clients :
   1. La Public Preview pour le remplacement de HYOK est actuellement prévue pour le second trimestre
   2. Track and Revoke. Localization migration from AIP classic client to Security and Compliance Center
      Les clients qui utilisent activement ces fonctionnalités peuvent déposer une demande d'assistance étendue. Ces demandes doivent être déposées jusqu'au 30 juin 2020.

Voici une vidéo qui montre le processus de migration

Une fois ces deux étapes terminées, vous pouvez arrêter d'utiliser les tuiles "Labels" et "Policies" dans le portail Azure. Toutes les autres tuiles disponibles pour le portail Azure Information Protection devraient continuer d'exister et ne seront pas obsolètes le 31 mars 2021.

Plus d’information sur : https://aka.ms/aipclassicsunset

Microsoft continue d’adapter sa stratégie afin d’offrir de la flexibilité dû à la crise exceptionnelle du COVID-19. Ainsi une série de produits et services qui devaient arriver en fin de support pendant cette période, se voient offrir une extension du support. Parmi les annonces, on retrouve

• Windows 10 1709 (Enterprise, Education, IoT Enterprise) : 13 Octobre 2020 (en lieu et place du 14 Avril 2020).
• Windows 10 1809 (Home, Pro, Pro Education, Pro for Workstation, IoT Core) : 10 Novembre 2020 (en lieu et place du 12 Mai 2020). En outre, Microsoft interrompt temporairement les mises à jour des fonctionnalités pour les éditions Home et Pro. Le redémarrage du processus de déploiement des mises à jour de fonctionnalités initiées par Microsoft pour les appareils fonctionnant sous Windows 10, version 1809, sera considérablement ralenti et étroitement surveillé avant la date de fin de service reportée au 10 novembre 2020 afin de laisser suffisamment de temps pour un processus de mise à jour sans problèmes.
• Windows Server 1809 (Standard, Datacenter) : 10 Novembre 2020 (en lieu et place du 12 Mai 2020).
• System Center Configuration Manager 1810 : 1^er Décembre 2020 (en lieu et place du 27 Mai 2020)
• SharePoint Server 2020, SharePoint Foundation 2010, Project Server 2010 : 13 Avril 2021 (en lieu et place du 13 Octobre 2020)
• Dynamics 365 Cloud Services : La date de dépréciation du client web Microsoft Dynamics 365 Customer Engagement a été reportée de deux mois, à décembre 2020. En outre, Microsoft a mis en place un processus simplifié permettant aux clients de Dynamics 365 Finance, Supply Chain Management et Commerce de suspendre les mises à jour pendant une période prolongée.

Il est à noter que la date de fin de support pour Exchange Server 2010, Office 2010, Project 2010, Office 2016 pour Mac et Office 2013 pour la connectivité aux services Office 365 reste inchangée.

Source : https://support.microsoft.com/en-us/help/4557164/lifecycle-changes-to-end-of-support-and-servicing-dates

Début Mars, Microsoft annonçait la publication de la nouvelle application Office sur iOS et Android. Cette dernière regroupe Word, Excel et PowerPoint ainsi que d’autres outils de productivité dans une seule et unique application. Si vous utilisez les stratégies de protection d’applications mobiles (APP/MAM) pour protéger les données de l’entreprise dans des scénarios Bring Your Own Device par exemple, vous devez inclure cette nouvelle application dans vos stratégies existantes.

Pour ce faire :

1. Ouvrez le portail Microsoft Endpoint Manager
2. Naviguez dans Apps – App Protection Policies.
3. Identifiez votre stratégie et éditez-là.
4. Editez les applications :

1. Cliquez sur Select public Apps et ajoutez :
   • Office Hub pour iOS
   • Office Hub, Office Hub [HL] et Office Hub [ROW] pour Android

1. Cliquez sur Select puis sauvegardez la stratégie

Il est à noter que depuis le début 2019, une application similaire appelée Office Mobile est préinstallée sur les appareils Samsung ; elle sera automatiquement mise à jour vers la nouvelle application Office. Toute stratégie configurée pour Office Mobile sera reportée sur la nouvelle application Office.

L’information est un peu ancienne mais elle mérite d’être repartagée, Microsoft a corrigé fin février dernier, la méthode détection avancée de Microsoft Intune du Jailbreak sur iOS. Cette dernière ne fonctionnait pas correctement et avait été désactivée temporairement.

Les entreprises ont été avertis lorsqu’ils avaient déjà configuré la détection améliorée du Jailbreak. Microsoft a évalué que le rétablissement de la vérification requise dans les 72 heures serait plus perturbateur que prévu pour l’entreprise et les utilisateurs. Microsoft supprime donc la règle qui exigeait que les périphériques signalent leur statut de jailbreak toutes les 72 heures pour rester conformes. Tous les autres éléments de la fonctionnalité restent tels qu'ils étaient avant cet incident. L'ouverture manuelle de l'application du portail de l'entreprise ou le déplacement d'une distance importante dans un lieu donné déclenchera une vérification de détection du jailbreak lorsque la fonction sera de nouveau activée.

Afin de résoudre le problème, vous devez vous assurer que les utilisateurs ont bien mis à jour l’application du portail d’entreprise vers la version 4.3.1 ou plus.
Si un utilisateur a désactivé les services de localisation, il devra régler le service de localisation du portail d'entreprise sur "Always". Une fois qu'ils ont effectué ce changement et fourni les références nécessaires dans le portail d'entreprise, Intune peut alors enregistrer la conformité.

Microsoft a annoncé la fin du support principal de Windows 10 Mobile en décembre 2019. Comme mentionné, les utilisateurs de Windows 10 Mobile ne pourront plus recevoir de nouvelles mises à jour de sécurité, des correctifs non liés à la sécurité. Microsoft Intune mettra fin au support du portail d'entreprise pour l'application Windows 10 Mobile et le système d'exploitation Windows 10 Mobile le 11 mai 2020.

Si les entreprises ont des périphériques Windows 10 Mobile déployés dans leur entreprise, ils pourront, d'ici au 11 mai 2020, enregistrer de nouveaux périphériques, ajouter ou supprimer des stratégies et des applications, ou mettre à jour les paramètres de gestion. Après le 11 mai, Microsoft ne permettra plus les nouveaux enregistrements et supprimerons éventuellement la gestion de Windows 10 Mobile du portail Microsoft Intune. Dans ce cas, les périphériques ne pourront plus récupérer des stratégies Intune et Microsoft supprimera les données relatives aux périphériques et aux stratégies.  

Vous pouvez consulter la liste des périphériques concernés en allant dans Devices > All Devices et en filtrant sur le système d’exploitation.

Suite à la conférence RSA 2020 mais aussi dû aux impacts de la crise du COVID-19, Microsoft a mis à jour ses conditions d’accès aux licences pour les add-ons Microsoft 365 E5 Compliance et Information Protection & Governance.

Depuis le 1^er Avril, le bundle Microsoft 365 E5 Compliance comprend les fonctionnalités suivantes :

• Audit avancé
• Insider Risk Management
• Endpoint data loss prevention (DLP)
• Cloud DLP
• Les prochaines capacités comme la classification basée sur le Machine Learning (AI)

Microsoft a publié :

• Un tableau comparatif des licences relatives à la conformité. Ce tableau permet de savoir quelles sont les fonctionnalités disponibles dans chaque Bundle proposé par Microsoft.
• Une page résumant pour chaque produit/service, les abonnements et licences qui y donnent accès.

Enfin, une augmentation de prix avait été annoncé pour ce bundle. Avec la crise du COVID-19, Microsoft est revenu sur cette augmentation en laissant le prix initial.

Microsoft a encore su montrer une grande créativité dans le renommage de ces produits existants pouvant apporter confusions aux acteurs du secteur. Cette opération touche :

• Les abonnements personnels et familles
• Les abonnements pour les petites et moyennes entreprises

Ainsi les abonnements Office 365 Personal et Family deviendront Microsoft 365 afin d’offrir une expérience riche en intelligence artificielle, en contenu et modèles et expériences proposées via le Cloud. En outre, Microsoft proposera une application Microsoft Family Safety afin de garder sa famille en sécurité à travers le monde numérique.

Côté petites et moyennes entreprises, les renommages suivants sont opérés :

• Office 365 Business Essentials devient Microsoft 365 Business Basic.
• Office 365 Business Premium devient Microsoft 365 Business Standard.
• Microsoft 365 Business devient Microsoft 365 Business Premium.

Plus globalement la suite Office 365 Business et Office 365 ProPlus deviendront Microsoft 365 Apps. Microsoft utilisera les mentions “for business” et “for enterprise” pour distinguer ces deux versions.

Vous commencez à voir l’ambiguité du changement :

• Microsoft 365 Business XXX ne comprend que les services Office 365 et éventuellement Azure AD Premium P1
• Microsoft 365 Enterprise comprend Windows 10 Enterprise, Office 365 Enterprise, et Enterprise Mobility + Security (EMS)

Il est donc à noter que les bundles :

• Office 365 Enterprise/Education/Government ne changent pas de noms et on retrouve toujours les Bundles E1, E3, E5, F1, A1, A3, A5, G1, G3, G5.

Une des annonces les plus importantes est l’intégration d’Azure Active Directory Premium P1 dans Microsoft 365 Business. Ceci est déjà présent pour les nouveaux clients et les clients existants se verront intégrer les fonctionnalités d’ici quelques semaines. Ils pourront alors bénéficier de l’accès conditionnel, de la réinitialisation du mot de passe en libre-service, de l’authentification à facteurs multiples (MFA), de Cloud App Discovery, d’Azure AD Application Proxy ou des groupes dynamiques, etc.

Enfin, Microsoft annonce Microsoft 365 Business Voice, un service Cloud de téléphonie, conçu pour les petites et moyennes entreprises (PME) utilisant Microsoft 365 et comptant jusqu'à 300 utilisateurs, y compris un système téléphonique et une audioconférence. À partir d'aujourd'hui, les produits Microsoft 365 Business Voice avec plan d’appels et Microsoft 365 Business Voice Direct Routing sont également disponibles aux États-Unis. Microsoft 365 Business Voice sans Calling Plan (Direct Routing) sera également disponible dans plus de 70 pays. Microsoft 365 Business Voice est également disponible en tant que complément aux plans Microsoft 365.

Plus d’informations sur :

• Introducing the new Microsoft 365 Personal and Family subscriptions
• New Microsoft 365 offerings for small and medium-sized businesses
• Introducing Microsoft 365 Business Voice

Microsoft a publié un problème connu (MC203629) dans le centre de messages où 1% de périphériques iOS 13+ enregistrés dans Microsoft Intune, ne renvoi pas le token nécessaire à la réinitialisation du code PIN. Apple a maintenant corrigé le bug avec la version 13.3.1 et des versions ultérieures, mais une simple mise à jour vers la version 13.3.1 ne peut pas corriger les périphériques déjà enregistrés. Les périphériques sans jeton de réinitialisation de mot de passe devront être mis à jour vers la version 13.3.1, puis être désinscrits et réinscrits dans le service.

Les utilisateurs ne se heurteront à ce problème que s'ils se sont enregistrés à Intune avec iOS 13+, s’ils ont oublié leur code d'accès et doivent le réinitialiser.

• Si le propriétaire du périphérique n'a jamais besoin de supprimer ou de réinitialiser le code de passe en utilisant Intune, il n'y a pas de problème.
• Si le code d'un périphérique est perdu et que vous n'avez aucune méthode en dehors d'Intune pour le récupérer, le périphérique devra être réinitialisé et réinscrit à nouveau.

Les périphériques qui se retrouvent dans cet état sont généralement ceux qui ont un alias d'utilisateur changé ou un compte d'utilisateur désactivé puis réactivé. Lors de leur enregistrement, ils n'ont pas reçu le jeton nécessaire pour permettre une réinitialisation du code d'accès. Par conséquent, Intune ne peut pas réinitialiser le code d'accès sur ces appareils, soit par l'intermédiaire du portail Microsoft Endpoint Manager Intune sous le paramètre "Remove passcode setting", soit par le paramètre "Reset Passcode setting" de l'utilisateur final sur https://portal.manage.microsoft.com.

Microsoft a fourni un script PowerShell permettant d’identifier la liste des périphériques affectés.

Vous devez ensuite :

1. Vérifiez que l’utilisateur dispose d'une sauvegarde de ses données à partir du périphérique (généralement via iCloud ou une autre offre de sauvegarde).
2. Mettez à jour les appareils concernés en 13.3.1
3. Désinscrivez et réinscrivez l'appareil.
4. Exécutez à nouveau le script PowerShell. Si l'appareil s'affiche toujours, vous devrez alors effacer complètement l'appareil puis le réinscrire.
5. Si l'appareil est toujours présent dans le rapport lorsque vous le relancez, c'est qu'il n'est pas en bon état. Apple recommande de l'effacer sans restaurer une sauvegarde, puis de le réinscrire à nouveau.
6. Tout appareil qui figure toujours dans le rapport après avoir été essayé dans cet état après plusieurs inscriptions devra faire l'objet d'un ticket avec Apple afin de poursuivre l’investigation.

Plus d’informations sur : Support Tip: PowerShell Script now Available for iOS Passcode Reset Token Known Issue

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Général

Pour aligner sur l'annonce de Microsoft Endpoint Manager à l’Ignite, Microsoft a changé l'URL du portail Microsoft Endpoint Manager (anciennement Microsoft 365 Device Management) en https://endpoint.microsoft.com. L'ancienne URL (https://devicemanagement.microsoft.com) continuera à fonctionner, mais Microsoft recommande de commencer à accéder au portail Microsoft Endpoint Manager en utilisant la nouvelle URL.

Enregistrement des périphériques

• [iOS/Android] Vous pouvez configurer si l’enregistrement des périphériques au portail d'entreprise sur les périphériques Android et iOS est disponible avec des invites, disponible sans invites, ou non disponible pour les utilisateurs. Pour trouver ces paramètres, naviguez dans le portail Microsoft Endpoint Manager et sélectionnez Tenant administration > Customization > Edit > Device enrollment. La prise en charge du paramètre d'inscription des périphériques nécessite que les utilisateurs finaux disposent de ces versions du portail de l'entreprise :
  • Portail d'entreprise sur iOS : version 4.4 ou supérieure
  • Portail d'entreprise sur Android : version 5.0.4715.0 ou supérieure.

• [Android] Microsoft a publié un workflow permettant de passer du mode Device Administrator vers Android Enterprise Work Profile. Ce nouveau paramètre de conformité est à destination des périphériques enregistrés en mode Device Administrator. Ce paramètre vous permet de rendre un périphérique non conforme s'il est géré en mode Device Administrator. Sur ces périphériques non conformes, sur la page Mettre à jour les paramètres de l'appareil, les utilisateurs verront le message "Move to new device management setup". S'ils appuient sur le bouton Résoudre, ils seront guidés avec les étapes suivantes :
  • Désinscription du mode Device Administrator
  • S'inscrire à la gestion Android Enterprise Work Profile
  • Résoudre les problèmes de conformité

Google réduit le support du mode Device Administrator dans les nouvelles versions d'Android afin de passer à une gestion moderne avec Android Enterprise. Intune ne fournira un support complet au mode Device Administrator sous Android 10 et plus jusqu'au deuxième trimestre 2020. Les périphériques Android 10 ou + en mode Device Administrator (sauf Samsung) ne pourront pas être entièrement gérés après cette période.

• [iOS] Les utilisateurs peuvent désormais enregistrer leurs périphériques, trouver des applications et obtenir une assistance informatique en utilisant l'orientation d'écran de leur choix. L'application détectera et ajustera automatiquement les écrans pour qu'ils correspondent au mode portrait ou paysage, à moins que les utilisateurs ne verrouillent l'écran en mode portrait.

Gestion du périphérique

• [Windows 10] Preview : Vous pouvez changer l'utilisateur principal (Primary User) pour les périphériques hybrides Windows et Azure AD Joined. Pour ce faire, allez dans Intune > Devices > All devices > choisir un périphérique > Properties > Primary User. Une nouvelle autorisation RBAC (Managed Devices / Set primary user) a également été créée pour cette tâche. Cette autorisation a été ajoutée aux rôles intégrés, notamment Helpdesk Operator, School Administrator, et Endpoint Security Manager.

• [Android] Microsoft a ajouté un rapport au portail Microsoft Endpoint Manager dans la page d'aperçu des périphériques Android qui affiche le nombre de périphériques Android inscrits dans chaque solution de gestion des périphériques. Ce tableau (comme le même tableau déjà présent dans la console Azure) indique le nombre de périphériques Full Devices > Android > Overview.

Configuration du périphérique

• [General] Microsoft a mis à jour l'interface utilisateur pour la création de stratégies de conformité (Devices > Compliance policies > Policies > Create Policy) avec une nouvelle expérience suivant un processus de type assistant pour créer la politique de conformité.  
• [General] Microsoft a mis à jour l'interface utilisateur pour la création des profils de configuration (Devices > Configuration profiles > Create profile) avec une nouvelle expérience suivant un processus de type assistant.  Ceci s’applique aux profils suivants : Derived credential, Email, PKCS certificate, PKCS imported certificate, SCEP certificate, Trusted certificate, VPN, et Wi-Fi.
• [Général] Microsoft a une nouvelle action pour les périphériques non conformes que vous pouvez ajouter à n'importe quelle stratégie, pour retirer le périphérique non conforme. La nouvelle action, Retirer le périphérique non conforme, entraîne la suppression de toutes les données de l'entreprise sur le périphérique, et empêche également le périphérique d'être géré par Intune. Cette action s'exécute lorsque la valeur configurée en jours est atteinte et à ce moment-là, le périphérique devient éligible pour être retiré. La valeur minimale est de 30 jours. L'approbation explicite de l'administrateur sera nécessaire pour retirer les périphériques en utilisant la section Retire Non-compliant devices, où les administrateurs peuvent retirer tous les périphériques éligibles.

• [Windows 10] Sur la base des retours, Microsoft a reconstruit l'expérience du profil des modèles administratifs (Administrative Template) avec une vue par dossier. Cette vue se rapproche de l’expérience existante de la console GPMC. Microsoft n’a apporté aucune modification aux paramètres ou aux profils existants. Ainsi, les profils existants resteront les mêmes et seront utilisables dans la nouvelle vue. Il est toujours possible de naviguer dans toutes les options de paramétrage en sélectionnant All Settings et en utilisant la fonction de recherche. L'arborescence est divisée en deux parties : Configuration de l'ordinateur et Configuration de l'utilisateur. Vous trouverez les paramètres de Windows, Office et Edge dans leurs dossiers associés.

• [Android] Lorsque vous créez un profil pour les périphériques Android ou Android Enterprise, l'expérience le portail Endpoint Management est mise à jour. Ce changement a un impact sur les profils de configuration des périphériques suivants (Devices > Configuration Profiles > Create profile > Android device administrator ou Android Enterprise pour plateforme) :
  • Device Restrictions: Android device administrator
  • Device Restrictions: Android Enterprise device owner
  • Device Restrictions : Android Enterprise work profile
• [Android Enterprise] Microsoft optimise l'inscription pour les périphériques Android Enterprise dédiés (Dedicated Devices) et facilite l'application des certificats SCEP associés au Wi-Fi pour les périphériques dédiés inscrits avant le 22 novembre 2019. Pour les nouveaux enregistrements, l'application Intune continuera à s'installer, mais les utilisateurs finaux n'auront plus besoin d'exécuter l'étape "Enable Intune Agent" lors de l'inscription. L'installation se fera automatiquement en arrière-plan et les certificats SCEP associés au Wi-Fi peuvent être déployés et définis sans interaction de l'utilisateur final.
• [Android Enterprise] Sur les appareils Android Enterprise, il est possible désormais de supprimer des bundles et des bundle arrays à l'aide du Configuration designer dans Intune.
• [iOS/iPadOS/macOS] Amélioration de l'expérience de l'interface utilisateur lors de la création de profils de configuration sur les périphérique iOS/iPadOS et macOS. Ce changement a un impact sur les profils de configuration des périphériques suivants (Devices > Configuration Profiles > Create profile > iOS/iPadOS or macOS pour plateforme) :
  • Custom: iOS/iPadOS, macOS
  • Device features: iOS/iPadOS, macOS
  • Device restrictions: iOS/iPadOS, macOS
  • Endpoint protection: macOS
  • Extensions: macOS
  • Preference file: macOS
• [iOS/iPadOS] Il est possible de créer un profil VPN qui utilise une connexion IKEv2 (Devices > Configuration profiles > Create profile > iOS/iPadOS comme plateforme > VPN pour type de profil). Maintenant, il est possible de configurer une connexion IKEv2 permanente. Une fois configurés, les profils VPN IKEv2 se connectent automatiquement et restent connectés (ou se reconnectent rapidement) au VPN. Il reste connecté même lorsqu'il passe d'un réseau à l'autre ou les périphériques sont redémarrés. Sous iOS/iPadOS, le VPN Always ON est limité aux profils IKEv2.

• [iOS/iPadOS] L'équipe AD a créé une extension de redirection de l'application à connexion unique (SSO) pour permettre aux utilisateurs d'iOS/iPadOS 13.0+ d'accéder aux applications et sites web de Microsoft avec une seule connexion. Toutes les applications qui avaient auparavant négocié l'authentification avec l'application Microsoft Authenticator continueront à obtenir le SSO avec la nouvelle extension SSO. Avec la version de l'extension SSO d'Azure AD, vous pouvez configurer l'extension SSO avec le type d'extension SSO de redirection (Devices > Configuration profiles > Create profile > iOS/iPadOS pour plateforme > Device features comme type de profil > Single sign-on app extension).
• [iOS/iPadOS] Il est possible de créer un profil de restrictions de périphériques (Devices > Configuration profiles > Create profile > iOS/iPadOS pour plateforme > Device restrictions comme type de profile). Le paramètre de modification des paramètres de confiance de l'application Enterprise est supprimé par Apple, et est retiré d'Intune. Si vous utilisez actuellement ce paramètre dans un profil, il n'a aucune incidence et est supprimé des profils existants. Ce paramètre est également supprimé de tout rapport dans Intune.
• [iOS] Les profils Wi-Fi d'entreprise pour iOS prennent désormais en charge le champ de type de sécurité. Pour le type de sécurité, vous pouvez sélectionner soit WPA Enterprise, soit WPA/WPA2 Enterprise, puis spécifier une sélection pour le type EAP. (Devices > Configuration profiles > Create profile et séléctionnez iOS/iPadOS pour plateforme et Wi-Fi comme profil).

• [macOS] Vous pouvez ajouter et déployer des scripts sur les périphériques macOS. Ce support étend la capacité à configurer les périphériques macOS au-delà de ce qui est possible en utilisant les capacités natives MDM (sans Jamf Pro).

• [macOS] Lorsque vous créez un profil de configuration device features sur les périphériques macOS, il y a un nouveau paramètre de configuration Hide from user configuration (Devices > Configuration profiles > Create profile > macOS pour plateforme > Device features comme profil > Login items). Cette fonction permet de cocher la case "Masquer l'application" dans la liste des applications des éléments de connexion des utilisateurs et des groupes sur les périphériques macOS. Les profils existants montrent ce paramètre dans la liste comme étant non configuré. Pour configurer ce paramètre, les administrateurs peuvent mettre à jour les profils existants. Lorsque ce paramètre est défini sur Cacher, la case à cocher de l'application est cochée et les utilisateurs ne peuvent pas la modifier. L'application est également cachée aux utilisateurs après que ceux-ci se soient connectés à leur périphérique.

Gestion des applications

• [Général] L'icône de notification pour une stratégie MAM en attente sur la tuile de dépannage a été remplacée par une icône d'information.

• [Général] Microsoft a mis à jour le volet d'Intune qui s'appelait "Branding and customization" en y apportant des améliorations, notamment :
  • Renommage du volet "Personnalisation".
  • Amélioration de l'organisation et de la conception des paramètres.
  • Amélioration du texte des paramètres et des infobulles.
• [Windows 10] Vous pouvez configurer l'agent Delivery Optimization pour télécharger le contenu des applications Win32 en arrière-plan ou en avant-plan selon l'affectation. Pour les applications Win32 existantes, le contenu continuera à être téléchargé en mode arrière-plan. Dans le portail Microsoft Endpoint Manager, sélectionnez Apps > All apps > sélectionnez l'application Win32 > Properties. Sélectionnez Edit à côté d’Assignments. Modifiez l'affectation en sélectionnant Include sous Mode dans la section Required. Vous trouverez le nouveau paramètre dans la section App settings.

• [iOS/macOS] Le volet Profil du portail d'entreprise macOS et iOS a été mis à jour pour inclure un bouton de déconnexion. En outre, des améliorations ont été apportées à l'interface utilisateur du volet "Profil" du portail d'entreprise macOS.
• [iOS] Les clips web nouvellement déployés (applications web épinglées) sur les appareils iOS qui doivent s'ouvrir dans un navigateur protégé, s'ouvriront dans Microsoft Edge plutôt que dans le navigateur Intune Managed Brownser. Vous devez recibler les clips web préexistants pour vous assurer qu'ils s'ouvrent dans Microsoft Edge plutôt que dans le Managed Browser.
• [macOS] Une nouvelle fonctionnalité permet aux utilisateurs de récupérer leur clé de récupération personnelle FileVault pour les périphériques mac chiffrés via l'application du portail d’entreprise Android ou via l'application Android Intune. L'application du portail d'entreprise et l'application Intune comportent toutes deux, un lien qui ouvre un navigateur Chrome vers le portail d'entreprise Web où l'utilisateur peut voir la clé de récupération FileVault nécessaire pour accéder à ses périphériques Mac.
• [Android] Microsoft Edge pour Android est désormais intégré à l'outil de diagnostic Intune. Comme pour Microsoft Edge pour iOS, il suffit d'entrer "about:intunehelp" dans la barre d'URL (la boîte d'adresse) de Microsoft Edge sur l'appareil pour lancer l'outil de diagnostic Intune. Cet outil fournira des journaux détaillés. Les utilisateurs peuvent être guidés pour collecter et envoyer ces journaux à l’administrateur, ou consulter les journaux MAM pour des applications spécifiques.

Supervision et Dépannage

• [Général] Le Data Warehouse fournit l'adresse MAC en tant que nouvelle propriété (EthernetMacAddress) dans l'entité du périphérique pour permettre aux administrateurs d'établir une corrélation entre l'adresse de l'utilisateur et celle du mac hôte. Cette propriété permet d'atteindre des utilisateurs spécifiques et de dépanner les incidents survenant sur le réseau. Les administrateurs peuvent également utiliser cette propriété dans les rapports Power BI afin de créer des rapports plus riches.

• [Général] Des propriétés supplémentaires d'inventaire des périphériques sont disponibles en utilisant le Data Warehouse. Les propriétés suivantes sont maintenant exposées via la collection périphérique :
  • Modèle" - Le modèle de l'appareil.
  • Office365Version" - La version d'Office 365 qui est installée sur l'appareil.
  • PhysicalMemoryInBytes' - La mémoire physique en octets.
  • TotalStorageSpaceInBytes - Capacité totale de stockage en octets.
• [Général] Microsoft a mis à jour la page d'aide et de support dans le portail Microsoft Endpoint Manager où vous pouvez maintenant choisir le type de gestion que vous utilisez parmi : Configuration Manager (inclut Desktop Analytics), Intune, CoManagement

Sécurité

• [Général] Preview d’un nouveau nœud Endpoint Security dans le portail Microsoft Endpoint Manager regroupant des stratégies. En tant qu'administrateur de la sécurité, vous pouvez utiliser ces nouvelles stratégies pour vous concentrer sur des aspects spécifiques de la sécurité des périphériques. À l'exception de la nouvelle politique antivirus pour Microsoft Defender Antivirus, les paramètres de chaque nouvelle politique et de chaque nouveau profil de prévisualisation sont les mêmes que ceux que vous pouvez déjà configurer par le biais des profils de configuration. Voici les nouveaux types de stratégies, ainsi que les types de profils disponibles : Antivirus (macOS, Windows 10), Windows Security experience (Windows 10), Disk Encryption (macOS : FileVault, Windows 10 : BitLocker), Firewall (macOS, Windows 10 : Microsoft Defender Firewall), Endpoint detection and response (Windows 10), Attack Surface Reduction (Windows 10), Account Protection (Windows 10)

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Moins d’une semaine après la version 1.5.18.0, Microsoft vient de publier une mise à jour (1.5.20.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

Elle corrige un problème avec la version 1.5.18.0 si vous avez activé la fonction de filtrage de groupe et utilisez mS-DS-ConsistencyGuid comme ancre source.

Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#15200

Télécharger Microsoft Azure Active Directory Connect

Dernièrement, Microsoft a publié une interface permettant de modifier l’utilisateur principal (Primary User) d’une machine Windows 10 dans Microsoft Endpoint Manager Microsoft Intune. Cette interface comporte des bugs parmi les suivants :

• La page de détails du périphérique, la propriété "Primary User" (Utilisateur principal) reflète correctement l'utilisateur principal que vous avez changé, ou "None" (aucun) si vous avez supprimé l'utilisateur principal, mais après 24-48 heures, cette propriété revient à la même valeur que l'utilisateur "Enrolled by" (inscrit par).
• En outre, les colonnes "Enrolledby" (Enrolled by user UPN, Enrolled by user display name, Enrolled by user Email address) de l’espace "All devices" sont mal étiquetées. Ces colonnes représentent toutes des informations sur l'utilisateur principal.
• Enfin, certains périphériques (tels que iOS et Android) qui ne prennent pas en charge la modification des informations relatives à l'utilisateur principal affichent de manière incorrecte les boutons "Change Primary User” et “Remove Primary User ".

Microsoft planifie de déployer un correctif prévu pour la version d’Avril (2004).