Microsoft a mis à jour (v1.1) son guide permettant le déploiement accéléré et plus aisé d’Azure Information Protection. Le guide revient surtout sur l’élément le plus difficile d’un projet : les prérequis métiers qui doivent être en place pour la réalisation du projet. Il s'agit donc d'un guide pour aider les décideurs et les ITs à comprendre les meilleures façons de déployer Azure Information Protection et d'éviter les erreurs qui pourraient causer des retards dans le déploiement.

Le guide aborde :

• Les concepts et éléments
• La roadmap
• Les prérequis généraux
• La phase de découverte
• La phase de Classification
• La phase de protection
• La phase de supervision
• Les bonnes pratiques

Télécharger Azure Information Protection Deployment Acceleration Guide

Microsoft a publié une série de kits d’adoption pour les fonctionnalités proposées par Azure Active Directory. Ces kits d’adoption comprennent des liens afin de répondre à toutes les phases :

1. Informations basiques de connaissances à propos du produit, service ou des fonctionnalités
2. Des trainings pour former les personnes qui vont implémenter/déployer la fonctionnalité
3. Des informations de planification pour guider les grandes entreprises et les assister
4. Des modèles et des informations à communiquer aux utilisateurs finaux (posters, modèles d’emails, stickers, vidéos, etc.)
5. Des cahiers de recette et tests
6. Des ressources pour aider au déploiement
7. Des éléments pour la gestion opérationnelle, le dépannage et la supervision
8. Des informations concernant le support et les retours éventuels que vous pourriez effectuer

Les fonctionnalités suivantes sont couvertes :

• Azure AD Application Proxy
• Azure AD B2B
• Azure AD Company Branding
• Azure AD Conditional Access (Accès conditionnel)
• Azure AD Connect Health
• Azure AD Group Management
• Azure AD Identity Protection
• Azure AD Multi Factor Authentication
• Azure AD Privileged Identity Management
• Azure AD Seamless Single Sign-On
• Azure AD User Provisioning

Télécharger Azure AD Adoption Kits

L’équipe Microsoft Intune a publié un billet sur son blog pour signaler un problème sur les profils Wi-Fi à destination des périphériques enregistrés Android Enterprise en mode Work Profile. Le problème semble toucher les profils WiFi qui utilisent des certificats. Ces derniers sont constamment remontés en erreur lorsque les certificats sont basés sur la machine et non sur l’utilisateur. Il semble aussi que le nom de sujet utilisé soit configuré avec CN={{AAD_Device_ID}.

Microsoft a découvert un problème dans le traitement. Actuellement l’attribut UPN est un prérequis lors de la sélection du certificat lors de la création du profile Wi-Fi.

Pour résoudre ce problème, il suffit d’ajouter un nom de sujet alternatif (Subject Alternative Name) avec un attribut UPN à votre profile de certificat SCEP basé sur la machine.

Plus d’informations sur: Support Tip: AE Work Profile Device + Wi-Fi Profile “Error” when Using Device-Based Certs

Un de mes clients m’a transféré un problème (merci à lui) qui survient sur la fonctionnalité Server Group de System Center Configuration Manager. Pour rappel, cette fonctionnalité permet de configurer les paramètres de groupe de serveurs d'une collection pour définir combien, quel pourcentage ou dans quel ordre les périphériques de la collection installeront les mises à jour logicielles. Vous pouvez également configurer des scripts PowerShell de pré-déploiement et post-déploiement pour exécuter des actions personnalisées.

Le problème décrit ici touche toutes les versions de System Center Configuration Manager depuis que la fonctionnalité est disponible (1606 à 1902). En l’occurrence, il intervient dans le scénario suivant :

• Vous configurez une collection avec plusieurs machines.
• L’option All devices are part of the same server group est activée.
• Vous configurez les paramétrages pour utiliser mettre à jour 100% des machines au même moment. L’interface permet cette configuration bien qu’elle puisse paraître non censée vis-à-vis des cas d’usages initiaux de la fonctionnalité :

Le client souhaitait en l’occurrence utiliser la fonctionnalité Server Group pour exécuter des scripts de pré et post déploiement sur un ensemble de machines qui devaient être mises à jour en même temps.  

Dans ce cas de figure et dans les versions actuelles, la mise à jour est faite de manière séquentielle ; c’est-à-dire une machine après l’autre. Ceci ne correspond pas au comportement attendu.

Microsoft devrait modifier le comportement dans System Center Configuration Manager 1906. En attendant, vous pouvez appliquer la solution de contournement suivante :

1. Via SQL Server Management Studio, connectez-vous au serveur de base de données.
2. Ouvrez le nœud des procédures stockées (stored procedures) et identifiez la procédure SpDeploymentMutex
3. Cette procédure est responsable de la délivrance du verrou utilisé par la fonctionnalité Server Group.
4. Sauvegardez la procédure stockée en réalisant un export.
5. Identifiez ensuite le code suivant dans la procédure :

if @UseClusterPercentage = 1 or @UseClusterPercentage = 2

        begin

            if @UseClusterPercentage <> 0

            begin

                set @AllowedCount = @ClusterCount

            end

6. Remplacez ligne en gras par : if @UseClusterPercentage = 2
7. Sauvegardez la procédure stockée.
8. Validez le comportement sur votre infrastructure

Microsoft a annoncé qu’il ne sera plus possible d’effectuer de nouveaux déploiements de MFA Server On-Premises à partir du 1^er Juillet 2019. Les entreprises devront donc utiliser l’authentification à facteurs multiples (MFA) fournit par Azure AD MFA.

Les entreprises qui ont déjà activé un MFA Server On-Premises avant le 1^er Juillet 2019 pourront télécharger la dernière version, recevoir les mises à jour futures et générer des activations comme habituellement. Microsoft a pour objectif à longs termes de déprécier MFA Server mais n’a pas fourni de date précise quant à sa fin de vie.

Azure AD MFA couvre largement les scénarios suivants :

• Un environnement d’identité Cloud uniquement avec de l’authentification moderne. Ce mode ne requiert aucun prérequis.
• Des scénarios d’identité hybrides avec Azure AD Connect pour synchroniser ou déférer avec l’environnement On-Premises
• Pour les applications héritées On-Premises publiées pour un accès Cloud, vous pouvez utiliser Azure AD Application Proxy pour à la fois publier l’application dans le Cloud et offrir les mécanismes d’authentification à facteurs multiples.

Microsoft vient de publier un article dans la base de connaissances concernant un problème touchant Windows 10, Windows Server 2019, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 7 SP1,

Lorsque vous essayez de développer, visualiser ou créer des vues personnalisées dans l'Observateur d'événements, vous pouvez recevoir l'erreur "MMC has detected an error in a snap-in and will unload it." et l'application peut cesser de répondre ou se fermer. Vous pouvez également recevoir la même erreur en utilisant Filter Current Log dans le menu Action avec les vues ou journaux intégrés. Les vues intégrées et les autres fonctions de l'Observateur d'événements devraient fonctionner comme prévu.

Le problème survient suite à l’application du dernier correctif cumulatif :

• KB4503293LCU for Windows 10, version 1903.
• KB4503327LCU for Windows 10, version 1809 and Windows Server 2019.
• KB4503286LCU for Windows 10, version 1803.
• KB4503284LCU for Windows 10, version 1709.
• KB4503279LCU for Windows 10, version 1703.
• KB4503267LCU for Windows 10, version 1607 and Windows Server 2016.
• KB4503291LCU for Windows 10, version 1507.
• KB4503276Monthly Rollup for Windows 8.1 and Windows Server 2012 R2.
• KB4503290Security-only update for Windows 8.1 and Windows Server 2012 R2.
• KB4503285Monthly Rollup for Windows Server 2012 and Windows Embedded 8 Standard
• KB4503263Security-only update for Windows Server 2012 and Windows Embedded 8 Standard-
• KB4503292Monthly Rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1
• KB4503269Security-only update for Windows 7 SP1 and Windows Server 2008 R2 SP1
• KB4503273Monthly Rollup for Windows Server 2008 SP2
• KB4503287Security-only update for Windows Server 2008 SP2

Microsoft travaille sur une résolution d’ici fin juin.

Une solution de contournement est proposée par Microsoft : KB4508640 Event Viewer may close or you may receive an error when using Custom Views

Des retours font apparaître que la version de Windows 10 Enterprise LTSC 2019 se voit proposer par erreur, la mise à jour vers Windows 10 1903 via Windows Update. Les versions Long-Term Servicing Channel sont des versions spécifiques supportées pour 10 ans (5 ans de support principal, 5 ans de support étendu) et ciblent les périphériques critiques à usages industriels (Chaine de production, distributeurs de billets, etc.). Ces versions ne doivent pas se faire proposer des versions qui sont dans le canal semestriel et plus généralement aucune mise à niveau vers une version supérieure. La mise à niveau est contrôlée et doit normalement être faite manuellement par l’entreprise.

Ce bug survient pour deux raisons :

• Windows 10 Enterprise LTSC 2019 est basé sur Windows 10 1809.
• Un bug est présent dans le système de détection des mises à jour de la mise à niveau Windows 10 1903 via le nouveau modèle Unified Update Platform (UUP).

La mise à niveau est affichée dans Windows Update mais n’est ni téléchargée ni installée.

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en mai 2019.

Microsoft apporte les nouveautés suivantes :

• On retrouve un rapport d’utilisation et d’aperçu sur les applications d’entreprise pour obtenir des informations sur :
  • Le top des applications utilisées par votre organisation
  • Les applications avec les connexions ayant échouées
  • Le top des erreurs de connexion pour chaque application

• De nouveaux tutoriaux sont disponibles pour vous aider à configurer le provisionnement des utilisateurs pour les applications cloud suivantes : Comeet, DynamicSignal, KeeperSecurity et Dropbox.
• Disponibilité Générale du Secure Score Identité dans Azure AD permettant de :
  • Mesurer objectivement votre posture de sécurité sur l'identité, basée sur un score entre 1 et 223.
  • Planifier vos améliorations sur la sécurité de l'identité
  • Passer en revue le succès de vos améliorations en matière de sécurité

• Disponibilité Générale d’une nouvelle expérience d’enregistrement d’applications permettant une meilleure gestion des applications, un processus simplifié d’enregistrement et des informations de démarrage.
• Amélioration de l’expérience de création et de gestion des groupes dans le portail Azure AD pour permettre notamment :
  • Le filtrage de base par type d'adhésion et type de groupe.
  • L’ajout de nouvelles colonnes, telles que Source et Adresse e-mail.
  • La possibilité de sélectionner plusieurs groupes, membres et listes de propriétaires pour une suppression facile.
  • La possibilité de choisir une adresse email et d'ajouter des propriétaires lors de la création du groupe.
• L’API Risky Users d’Azure AD Identity Protection permet maintenant de récupérer l’historique de risque des utilisateurs, de rejeter les utilisateurs à risque et confirmer qu'ils sont compromis.
• De nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Freedcamp, Real Links, Kianda, Simple Sign, Braze, Displayr, Templafy, Marketo Sales Engage, ACLP, OutSystems, Meta4 Global HR, Quantum Workplace, Cobalt, webMethods API Cloud, RedFlag, Whatfix, Control, JOBHUB, NEOGOV, Foodee, et MyVR.
• Les administrateurs peuvent maintenant configurer une stratégie de nommage pour les groupes Office 365, en utilisant le portail Azure AD. Cette modification permet d'appliquer des conventions de nommage cohérentes pour les groupes Office 365 créés ou édités par les utilisateurs de l’entreprise :
  • En définissant des préfixes ou des suffixes, qui sont automatiquement ajoutés à un nom de groupe.
  • En téléchargeant un ensemble personnalisé de mots bloqués pour votre organisation, qui ne sont pas autorisés dans les noms de groupe (par exemple, "CEO, Paie, RH").

• Les administrateurs peuvent maintenant créer des stratégies d'accès conditionnel à utiliser par la page d'enregistrement combinée (MFA + SSPR). Cela comprend l'application de stratégies pour permettre l'enregistrement si :
  • Les utilisateurs sont sur un réseau de confiance.
  • Les utilisateurs présentent un faible risque de connexion
  • Les utilisateurs sont sur un périphérique géré.
  • Les utilisateurs acceptent les conditions générales d'utilisation de l’entreprise (CGU).

On retrouve les modifications de service suivantes :

• La modification du service Azure AD Application Proxy pour prendre en charge uniquement le protocole TLS 1.2. Microsoft commence la modification du service pour les clients qui utilisent déjà uniquement le protocole TLS 1.2 et ne vont pas voir de différences. La dépréciation de TLS 1.0 et 1.1 est prévue pour le 31 août 2019. Vous devez donc vérifier que les connexions client/serveur et navigateur/serveur supportent TLS 1.2.
• Disponibilité Générale du support des points de terminaison de l’API Microsoft Graph pour les logs d’activités Azure AD.

Je vous parlais dans un article précédent de l’option permettant de limiter l’accès à l’annuaire Azure Active Directory aux utilisateurs standards. L’activation de cette option a un impact si vous avez mis en place une délégation dans Microsoft Intune qui se base uniquement sur les droits RBAC internes à Microsoft Intune. Vous pouvez donc vous retrouver avec des utilisateurs administratifs (Help Desk, etc.) qui n’accèdent plus aux utilisateurs et aux groupes bien qu’ils aient accès aux restes des fonctionnalités Intune associés à leurs droits RBAC:

Note : Vous n’observez pas d’impacts si vous attribuez aussi des rôles Azure Active Directory aux personnes qui gèrent Microsoft Intune.

Pour contourner ce problème, vous pouvez leur associer un rôle d’annuaire Azure Active Directory. Vous avez le choix entre différents rôles en fonction des capacités que vous souhaitez donner :

• En lecture seul : Security Reader
• Action sur les utilisateurs et groupes (réinitialisation de mots de passe, etc.) : User Administrator

Pour attribuez ce rôle, ouvrez le portail Azure et naviguez dans Azure Active Directory – Users – All Users puis sélectionnez l’utilisateur et entrez dans Directory Role. Choisissez Add Assignement et sélectionnez le rôle d’annuaire souhaité.

Note : Malheureusement l’association se fait utilisateur par utilisateur et non pas via un groupe.

L’utilisateur administratif aura à nouveau accès aux espaces liés aux utilisateurs et aux groupes.

Microsoft fait appel à vous pour améliorer la qualité des traductions utilisées dans System Center Configuration Manager 1902. Le produit est traduit dans 18 langues pour l’interface d’administration et 22 pour l’interface cliente. A chaque version de ConfigMgr, Microsoft ajoute ou met à jour des chaines de caractères qui doivent être traduites.

Le but est donc d’aider Microsoft à la revue de ces chaines de caractères. Si vous êtes intéressés, vous pouvez :

1. Télécharger les fichiers CAB de revue des interfaces localisées de CM1902 et dézippez les fichiers.
2. Choisissez les PDFs qui correspondent aux langues que vous voulez revoir.
3. Lisez les screenshots et les changements d’interfaces
4. Envoyez des retours en fonction de votre revue
5. Dans la description, vous devez inclure :
   1. Le nom du PDF que vous avez revue
   2. L’identifiant de l’objet dans l’interface
   3. La description du retour que vous faites.
   4. Votre commentaire ou votre proposition pour remplacer la chaine.

Plus d’informations sur : Lost in Translation?

Microsoft vient de mettre à disposition la Technical Preview 1906 (5.0.8842.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1906 comprend les nouveautés suivantes :

Administration

• Support de Windows Virtual Desktop pour permettre de gérer ces environnements virtuels dans Azure. Pour améliorer les performances du client, ConfigMgr désactive désormais les stratégies utilisateur sur tout périphérique qui autorise ces sessions utilisateurs multiples. Même si vous activez les règles utilisateur, le client les désactive par défaut sur ces périphériques, qui incluent Windows Virtual Desktops et Remote Desktop.
• La console d’administration retrouve un onglet Maintenance Tasks qui permet de voir si la tâche de maintenance est activée, la planification, la dernière date de démarrage, la dernière date d’exécution et si la tâche s’est exécutée avec succès. Cet onglet est disponible dans Administration – Site Configuration – Sites.

• Lors de l’application d’une mise à jour Configuration, vous pouvez voir l’état de la mise à niveau de la base de données ConfigMgr dans la partie Installation. Ceci permet de voir si la mise à niveau de la base de données est bloquée par un programme. Vous pouvez voir l’identifiant de session qui bloque la base de données.
• Microsoft introduit la capacité de spécifier des droits RBAC et des étendues de sécurité sur les dossiers (de collections, d’applications, etc.). Si vous avez accès à un objet dans le dossier mais que vous n'avez pas accès au dossier, vous ne pourrez pas voir l'objet.

• Le hub communautaire déjà introduit dans des versions précédentes, se voit enrichi. Il permet maintenant la récupération de scripts PowerShell, de rapports, d’applications, et d’objets de configuration. Le hub permet de partager ces objets, mais ne partage aucun contenu source associé aux objets. Par exemple, les images de démarrage, les packages de mise à niveau du système d'exploitation ou les packages de pilotes référencés par une séquence de tâches ne sont pas partagés. Actuellement, le hub ne prend pas en charge les dépendances. Si une séquence de tâches inclut l'étape Installer l'application, les applications référencées ne sont pas partagées. Les mots de passe ou autres secrets sont supprimés d'une séquence de tâches avant le partage.
• Vous pouvez maintenant activer certains nœuds de la console Configuration Manager pour utiliser le service d'administration. Ce changement permet à la console de communiquer avec le SMSProvider via HTTPS au lieu de via WMI. Cela fonctionne pour les nœuds : Administrative Users, Security Roles, Security Scopes, et Console Connections.
• Management insights inclut une nouvelle règle qui détecte si vous avez activé la méthode de repli d'authentification NTLM moins sécurisée pour le site.

CMPivot

• CMPivot permet d’utiliser des opérateurs arithmétiques, d'agrégateurs et de la possibilité d'ajouter des jointures de requête pour permettre l'utilisation simultanée du registre et des fichiers. Les éléments suivants ont été ajoutés : opérateurs (Join, Render), opérateurs scalaires (+, -, *, /, %), fonctions d’agrégation (Percentile(),sumif()) et fonctions scalaires . Pour rappel, CMPivot est un nouvel utilitaire dans la console qui permet d'accéder en temps réel à l’état des périphériques dans votre environnement. Il lance immédiatement une requête sur tous les périphériques actuellement connectés dans la collection cible et renvoie les résultats.
• Ajout des permissions CMPivot au rôle Security Administrator : Read on SMS Script Run CMPivot on Collection, et Read on Inventory Report.

Cloud et Co-Management

• Un administrateur ou un opérateur du helpdesk peut désormais se connecter à un client via les outils Remote Control sur une machine sur Internet non présente dans le réseau de l’entreprise via la Cloud Management Gateway.
• La configuration du Co-Management évolue pour permettre de cibler différentes collections de pilote en fonction des charges de travail que vous souhaitez tester. Ce choix se justifie car vous pouvez avoir besoin de population pilote différent lors du passage des stratégies de conformité, ou des configurations de périphériques (par exemple) sur Microsoft Intune.

• Un nouveau périphérique cogéré peut maintenant automatiquement s’enregistrer dans Microsoft Intune en utilisant le token périphérique Azure AD. Il n'est pas nécessaire d'attendre qu'un utilisateur se connecte au périphérique pour que l'enregistrement automatique commence. Cette modification permet de réduire le nombre de périphérique ayant le statut d’enregistrement Pending user sign in. Pour supporter ce comportement, les clients doivent exécuter Windows 10 version 1803 ou ultérieur.
• Microsoft introduit une découverte des groupes d'utilisateurs et les membres de ces groupes dans Azure Active directory (Azure AD). Les utilisateurs trouvés dans les groupes Azure AD qui n'ont pas encore été découverts seront ajoutés en tant que ressources utilisateur dans Configuration Manager. Un enregistrement de ressource de groupe d'utilisateurs est créé lorsque le groupe est un groupe de sécurité.

Client

• Vous pouvez maintenant fournir un lien direct vers un onglet personnalisé dans le Centre Logiciels/Software Center. Le format doit être le suivant : softwarecenter:page=CustomTab1.
• La notification pour spécifier qu’un nouveau logiciel est disponible, ne s'affichera qu'une seule fois pour un utilisateur pour une application et une révision donnée. L'utilisateur ne verra plus la notification chaque fois qu'il se connectera. Ils ne verront une autre notification pour une application que si elle a changé.
• Il est maintenant possible de configurer plus de notifications de compte à rebours pour les redémarrages sur les clients. On retrouve deux paramétrages dans les paramétrages client : Specify the snooze duration for computer restart countdown notifications (hours) et Display a temporary notification to the user that indicates the interval before the user is logged off or the computer restarts (minutes).

• Basé sur les retours UserVoice, les catégories d'utilisateurs pour les déploiements d'applications ciblées par périphérique apparaissent désormais sous forme de filtres dans le Software Center.

Gestion des mises à jour logicielles

• La catégorie Windows 10, version 1903 and later a été ajouté à Microsoft Update comme produit propre plutôt que de faire partie du produit Windows 10 comme les versions précédentes. Ce changement vous a obligé à effectuer un certain nombre d'étapes manuelles pour vous assurer que vos clients voient ces mises à jour. Microsoft a réduit le nombre d'étapes manuelles que vous devez suivre pour le nouveau produit. Lorsque vous mettez à jour vers la Technical Preview 1906 et que le produit Windows 10 est sélectionné pour la synchronisation, les actions suivantes se produisent automatiquement :
  • Le produit Windows 10, version 1903 and later est ajouté pour la synchronisation.
  • Les règles de déploiement automatique contenant le produit Windows 10 sont mises à jour pour inclure Windows 10, version 1903 and later.
  • Les plans de maintenance sont mis à jour pour inclure le produit Windows 10, version 1903 and later.
• Vous disposez maintenant d'options de configuration supplémentaires pour la synchronisation des catalogues de mise à jour tiers dans Configuration Manager. Vous pouvez sélectionner les catégories que vous souhaitez synchroniser et la façon dont vous souhaitez télécharger les mises à jour.

Déploiement de système d’exploitation

• L'étape Install Application, vous pouvez maintenant supprimer le contenu de l'application du cache client après l'exécution de l'étape. Ce comportement est intéressant sur les périphériques avec de petits disques durs ou lors de l'installation successive d'un grand nombre d'applications de grande taille.

• Basé sur les retours UserVoice, il est maintenant plus facile d'éditer des variables lorsque vous exécutez une séquence de tâches. Après avoir sélectionné une séquence de tâches dans la fenêtre Task Sequence Wizard, la page d'édition des variables de séquence de tâches comprend un bouton Edit. 
• Basé sur les retours UserVoice, la séquence de tâches définit une nouvelle variable en lecture seule _SMSTSLastContentDownloadLocation. Cette variable contient le dernier emplacement où la séquence de tâches a téléchargé ou tenté de télécharger du contenu. Elle est utilisée comme dépannage pour éviter de consulter les journaux du client.
• Cette version reprend l'amélioration de l'étape Disable et résout le problème connu avec la fonctionnalité côté client et ajoute une nouvelle variable, OSDBitLockerRebootCountOverride. Cette valeur permet de remplacer le compte à rebours spécifié OSDBitlockerRebootCount. Elle permet de spécifier une valeur 0 ; ce qui n’est pas possible pour l’autre variable.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1906  

De la même manière que sur Active Directory, l’annuaire Azure Active Directory de votre entreprise est disponible en lecture à l’ensemble des utilisateurs authentifiés. Cela signifie qu’un utilisateur avertit, peut ouvrir le portail Azure et naviguez dans Azure Active Directory puis lister tous les utilisateurs. Bien entendu l’utilisateur ne pourra pas effectuer d’action de modifications mais il peut très bien accéder à des informations relatives à un utilisateur :

Il est tout de même possible de limiter cette capacité. Ouvrez le portail Azure avec un compte disposant des autorisations Global Admin. Naviguez ensuite dans Azure Active Directory – Users puis choisissez User Settings.
Passez l’option Restrict access to Azure AD administration portal à Yes :

Les utilisateurs standards ne peuvent maintenant plus accéder à ces informations :

Note : Ceci a un impact si vous attribuez uniquement des droits RBAC à vos administrateurs Intune. Plus d’informations.

Microsoft vient de publier la mise à jour de révision de Mai 2019 pour sa suite Microsoft Desktop Optimization Pack (MDOP). Pour rappel, Microsoft a annoncé que les produits de la suite MDOP n’était plus en développement. Ces derniers restent supportés par Microsoft mais chacun dispose d’un futur différent. MBAM va être intégré directement à System Center Configuration Manager & Microsoft Intune. App-V est remplacé par le format MSIX et MSIX AppAttach.

Cette mise à jour de révision apporte le support de Windows 10 1903 par MBAM 2.5 Service Pack 1 (SP1).

Pour obtenir plus d’informations et le correctif, rendez-vous sur la KB4505175 May 2019 servicing release for Microsoft Desktop Optimization Pack.

Télécharger Microsoft Desktop Optimization Pack May 2019 Servicing Release

Microsoft va effectuer un changement dans la manière dont l’accès conditionnel (Conditional Access) est évalué lors de l’utilisation des protocoles d’authentification hérités (Legacy Auth). Auparavant, un client qui migrait depuis un outil de MDM vers Microsoft Intune, s’il avait attribué des stratégies d’accès conditionnel spécifiques à une plateforme utilisant l’authentification héritée, l’accès conditionnel n’était alors pas appliqué au périphérique puisque la détection du périphérique échouait.

Ce comportement n’était pas celui attendu. Microsoft s’apprête à corriger le problème dans les prochaines semaines. De ce faire, des utilisateurs qui pouvaient avois accès aux ressources d’entreprises, vont peut-être se voir bloquer l’accès quand elles utilisent une authentification héritée.

Ceci n’impacte pas le cas des stratégies d’accès conditionnel qui s’appliquent à l’ensemble des plateformes mais uniquement à celles-ci ciblées à des plateformes spécifiques.

Aucune action n’est à prévoir ; excepté de notifier les acteurs Help Desk pour aider les utilisateurs dans cette situation.

L’équipe Exchange vient de publier le 22ème Cumulative Update (CU22) (15.00.1473.005) pour Exchange Server 2013. Ce Cumulative Update ne comprend pas de corrections de bugs puisqu’Exchange Server 2013 est entré en support étendu en avril 2018. Les clients doivent l’installer pour continuer de recevoir les mises à jour de sécurité future.

Notez que l’installation des prérequis suivants sont nécessaires pour l’implémentation de ce Cumulative Update :

• .NET Framework 4.7.1 
• Visual C++ 2013 Runtime

Il permet de résoudre la vulnérabilité révélée suivante :

• ADV190018 | Microsoft Exchange Server Defense in Depth Update

Télécharger Cumulative Update 22 for Exchange Server 2013 (KB4503028)

Microsoft vient de communiquer à propos de la correction d’un bug sur le déploiement de profils email Windows 10 via Microsoft Intune. Cette correction a eu lieu dans la version 1904 (Avril) de Microsoft Intune. Ce changement vous concerne si vous utilisez les profils de messagerie Windows 10 avec

• Le client de messagerie natif sur les postes de travail Windows 10 OU
• Le client de messagerie Outlook sous Windows 10 Mobile

Ceci a un impact à la fois sur les Intune en mode autonome et hybrides avec Configuration Manager.

 Maintenant que cette modification a été effectuée, vous devrez recréer ces profils dans la console Intune (dans la console d'administration Configuration Manager si vous utilisez MDM hybride).

 Si vous ne le faites pas, voici ce que vous verrez pour les profils créés avant 1904 :

• Les profils de messagerie existants apparaîtront en état d'erreur dans la console Intune ou dans la console d'administration ConfigMgr, mais les utilisateurs finaux auront toujours accès à la messagerie. Cependant, après une mise à jour ultérieure de Windows, ces profils ne fonctionneront plus. Les utilisateurs finaux des périphériques ciblés par ces profils perdront l'accès à leurs courriels.
• Les modifications apportées à ces profils après 1904 ne seront pas prises en compte sur les périphériques ciblés.
• L’effacement sélectif ne fonctionnera pas pour supprimer ces profils.

Si vous prenez des mesures et recréez des profils de messagerie, les utilisateurs finaux devront suivre des étapes similaires à celles du déploiement d'un profil de messagerie pour la première fois. Les emails seront bloqués jusqu'à ce qu'ils acceptent la mise à jour qui applique le nouveau profil.

 Vous devez donc :

1. Capturez les paramètres des profil email Win 10 existants.
2. Retirer l’attribution et/ou supprimer des profils existants.
3. Créez de nouveaux profils à l'aide des paramètres capturés et affectez les nouveaux profils aux mêmes groupes.

Plus d’informations sur : https://aka.ms/Win10EmailProfiles

L’équipe Exchange vient de publier le 27ème Rollup (KB4503028) pour Exchange Server 2010 SP3 (version 14.03.0461.001).

Il corrige la vulnérabilité suivante : ADV190018 | Microsoft Exchange Server Defense in Depth Update

Télécharger Update Rollup 27 For Exchange 2010 SP3 (KB4503028)

Si vous souhaitez mettre en place Windows Autopilot dans un scénario de jointure hybride à Azure Active Directory (Hybrid Azure AD Join), vous devez installer le connecteur Intune pour Active Directory (Intune Connector for Active Directory).

De nombreuses entreprises utilisent des proxys pour contrôler l’accès à Internet. Dans ce cas de figure, il vous faudra configurer le connecteur Intune de la façon suivante :

1. Commencez par installer Intune Connector for Active Directory
2. Naviguez ensuite dans le répertoire d’installation (ex : :\Program Files\Microsoft Intune\ODJConnector\ODJConnectorUI\).
3. Ouvrez le dossier ODJConnectorUI et éditez le fichier ODJConnectorUI.exe.config. Je vous recommande faire une sauvegarde du fichier avant toute modification. Ajoutez la section suivante au fichier de configuration en remplacant les informations concernant votre proxy :

<?xml version="1.0" encoding="utf-8" ?>

<configuration>

    <system.net> 

        <defaultProxy>  

            <proxy proxyaddress="<ADRESSE DU PROXY>:<PORT>" bypassonlocal="True" usesystemdefault="True"/>  

        </defaultProxy> 

    </system.net>

    <runtime>

        <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">

            <dependentAssembly>

                <assemblyIdentity name="mscorlib" publicKeyToken="b77a5c561934e089" culture="neutral"/>

                <bindingRedirect oldVersion="0.0.0.0-2.0.0.0" newVersion="4.6.0.0" />

            </dependentAssembly>

        </assemblyBinding>

    </runtime>

    <startup>

        <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" />

    </startup>

    <appSettings>

        <add key="SignInURL" value="https://portal.manage.microsoft.com/Home/ClientLogon"/>

        <add key="LocationServiceEndpoint" value="RestUserAuthLocationService/RestUserAuthLocationService/ServiceAddresses"/>

    </appSettings>

</configuration>

4. Dans le répertoire d’installation, ouvrez le dossier ODJConnectorSvc et éditez le fichier ODJConnectorSvc.exe.config. Je vous recommande faire une sauvegarde du fichier avant toute modification. Ajoutez la section suivante au fichier de configuration en remplacant les informations concernant votre proxy :

<?xml version="1.0" encoding="utf-8" ?>

<configuration>

    <system.net> 

        <defaultProxy>  

            <proxy proxyaddress="< ADRESSE DU PROXY>:<PORT>" bypassonlocal="True" usesystemdefault="True"/>  

        </defaultProxy> 

    </system.net>

    <startup>

        <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" />

    </startup>

    <appSettings>

        <add key="BaseServiceAddress" value="https://manage.microsoft.com/" />

    </appSettings>

</configuration>

5. Redémarrez ensuite le service Intune ODJConnector Service via la console services.msc.

Source : https://docs.microsoft.com/en-us/intune/autopilot-hybrid-connector-proxy   

Microsoft a mis à jour son kit d’adoption pour Microsoft Intune. Ce kit d’adoption comprend des liens afin de répondre à toutes les phases :

1. Informations basiques de connaissances à propos du produit, service ou des fonctionnalités
2. Des informations de planification pour guider les grandes entreprises et les assister
3. Des modèles et des informations à communiquer aux utilisateurs finaux (vidéos)
   1. Enregistrer vos périphériques Android en mode Android Enterprise Fully Managed
   2. Enregistrer vos périphériques Android en mode Android Enterprise Work Profile
   3. Enregistrer vos périphériques iOS
   4. Enregistrer vos périphériques macOS
   5. Enregistrer vos périphériques Windows 10
4. Des ressources pour aider au déploiement (Email de communication, etc.)

Télécharger Intune Adoption Pack

Source : https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Microsoft-Intune-customer-adoption-pack-is-now-available/ba-p/679866

Microsoft vient de communiquer via un message (IT181632) ciblé dans le centre de messages Office 365 concernant un problème touchant la gestion des PC héritée de Microsoft Intune. Ceci correspond à l’agent basé sur la console d’administration Silverlight qui ne supporte pas les mises à jour automatiques de fonctionnalités. Néanmoins, l’entreprise peut mettre à jour manuellement les machines vers des versions supérieures de Windows 10. Après la mise à jour des machines vers Windows 10 1903, l’agent PC Intune permet la communication avec les services Microsoft Intune.
Côté portail, vous voyez que la dernière date de contact est ancienne. Notez que ce problème n’affecte pas les machines Windows 10 gérées de manière moderne avec le MDM Intune.

Sur l’interface Intune Center, vous voyez l’erreur : 0x8007065b.

Vous résoudre le problème, vous devez effectuer les actions suivantes sur la machine avec une invite de commande avec des privilèges élevés :

• Exécuter les commandes suivantes :
  • exe /s "C:\Program Files\Microsoft\OnlineManagement\Client\Svc\OmcSvc.dll"
  • exe /s "C:\Program Files\Microsoft\OnlineManagement\Updates\Bin\omupdsrv.dll"
  • exe /s "C:\Program Files\Microsoft\OnlineManagement\Client\UI\auinstallwiz.dll"
• Redémarrer l’Intune Center et effectuer une analyse.

Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-Intune-legacy-PC-agent-stops-working-on-PCs-updated/ba-p/681919

Microsoft prépare une nouvelle expérience pour le portail Microsoft Intune à destination des administrateurs permettant la création et l’édition sur un seul et même unique écran. Ceci met fin au concept d’ouverture perpétuel et d’étalement de blade/tuile dans le portail. Les workflows et assistants de création et d’édition vont donc être condensé en un seul et unique écran/tuile. Vous n’aurez donc plus à naviguer en profondeur dans les tuiles.

L'expérience plein écran sera déployée sur le portail Intune sur portal.azure.com et devicemanagement.microsoft.com au cours des prochains mois. Cette mise à jour de l'interface utilisateur n'aura pas d'impact sur les fonctionnalités des stratégies et profils existants, mais vous verrez une cinématique de création/modification légèrement modifié. Lorsque vous créez de nouvelles stratégies, par exemple, vous pourrez définir certaines affectations au lieu de le faire une fois la stratégie créée.

Pour les entreprises ayant créé des documentations d’exploitation, vous allez devoir les mettre à jour pour refléter ces changements.

Plus d’informations et un aperçu des écrans sur : https://aka.ms/intune_fullscreen

C’est un retour qui est fait depuis plusieurs mois à Microsoft. Il faut croire que nous avons été écoutés puisque l’accès conditionnel (Conditional Access) est maintenant disponible pour les clients qui ont acheté Microsoft 365 Business. Les stratégies d’accès conditionnels et de configuration sont les mêmes que celles proposées pour les clients qui ont acheté Azure Active Directory Premium P1.

Ceci inclut :

• Le ciblage des utilisateurs en fonction du nom d'utilisateur, du groupe et du rôle
• Le ciblage par application
• Par emplacement - n'autorisez l'accès qu'à partir de plages IP fiables ou de pays spécifiques.
• Par type d'application - navigateur, applications de bureau / mobiles utilisant l'authentification moderne et ancienne.
• Exiger le MFA
• Exiger un périphérique conforme ou un périphérique joint à un domaine
• Exiger des applications utilisant les stratégies de protection d'application d'Intune
• Des facteurs d'authentification personnalisés (contrôles personnalisés) - MFA avec des fournisseurs de MFA tiers (p. ex. DUO ou RSA)

Cela ne signifie pas que toutes les autres fonctionnalités Azure AD P1 sont inclus dans Microsoft 365 Business. Ces dernières se limitent à la réinitialisation de mot de passe en libre-service hybride, Azure MFA et l’accès conditionnels.

Plus d’informations sur l’annonce : Conditional Access is now part of Microsoft 365 Business

Microsoft continue ses investissements sur sa solution de provisionnement Windows Autopilot à destination de Windows 10. Avec l’arrivée de Windows 10 1903, on retrouve un nouveau scénario appelé White Glove. Le processus White Glove permet à l’entreprise de

• Faire préparer la machine par l’OEM, un intégrateur ou un prestataire de service. Ce dernier lance le processus afin d’appliquer les configurations machines (Applications, Stratégies, etc.). La machine s’éteint ensuite et peut être envoyée à l’utilisateur
• L’utilisateur démarre la machine et finit la phase de provisionnement en appliquant les éléments qui lui sont ciblés directement (Applications spécifiques, paramétrages spécifiques, etc.)

Ce scénario requiert les éléments suivants :

• Windows 10 1903 ou ultérieur
• Un abonnement Microsoft Intune
• Une machine physique avec une puce TPM 2.0 et supportant le service device attestation. Ceci signifie que les machines virtuelles ne sont pas supportées. Globalement les prérequis sont similaires à ceux du mode Self-Deploying.
• Une machine physique avec une connectivité Ethernet. Microsoft ne supporte pas l’usage d’une connectivité Wi-FI en raison de la nécessité de choisir une langue, une locale et un clavier pour établir cette connexion Wi-fi. L’utilisation du Wi-Fi engendrerait la pré-configuation de ces éléments et empêcherait l'utilisateur de choisir sa propre langue, locale et clavier quand il reçoit le périphérique.

Le scénario supporte à la fois la jointure Azure Active Directory et la jointure hybride à Azure Active Directory.

Pour rappel, Windows AutoPilot est l’équivalent du programme Apple Device Enrollment Program (DEP). Il permet de pré-provisionner des périphériques sans action particulière de la part de l’utilisateur. On peut donc acheter le périphérique et le faire livrer directement à l’utilisateur. Ce dernier le démarre et le périphérique se configure tout seul avec les éléments nécessaires pour l’entreprise (applications, stratégies, etc.).

Attention ! Windows Autopilot ne constitue pas une solution de déploiement. Le système d’exploitation n’est pas redéployé ; l’entreprise prend ce que le fabricant OEM lui a déployé sur la machine.

De ce fait, Windows Autopilot permet de drastiquement réduire les coûts liés au déploiement de la machine en :

• S’affranchissant de l’ingénierie lourde nécessaire à la création et au maintien du processus de déploiement de système d’exploitation.
• De ne pas gérer de catalogue de drivers à maintenir à travers les versions de Windows 10
• D’intégrer facilement de nouvelles références de matériel sans avoir à les revalider avec son processus de déploiement

Plus d’informations sur la documentation : Windows Autopilot for white glove deployment

Ou sur l'article de Michael Niehaus : Try out Windows Autopilot white glove preprovisioning

Microsoft propose aujourd’hui un événement de questions/réponses. Cet évènement a lieu aujourd’hui le 12 juin à partir de 18h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Windows Virtual Desktop avec une réponse directe.

 Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://techcommunity.microsoft.com/t5/Windows-10-AMA/bd-p/Windows10AMA

A l’occasion de la conférence Build de Microsoft, Microsoft a annoncé que Microsoft Application Virtualization (App-V) n’était plus en développement actif chez Microsoft. Cela ne signifie pas que Microsoft déprécie la solution et aucune date n’a été annoncé en ce sens. Cela signifie que Microsoft n’investira plus dans le développement de cette technologie.

Microsoft continuera de supporter et d’inclure App-V dans Windows 10 comme cela a été le cas depuis Windows 10 1607.

En lieu et place d’App-V, Microsoft investit dans le format MSIX. Pour continuer ses investissements, Microsoft a annoncé à la Build : MSIX AppAttach.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

MSIX AppAttach est dédié aux environnements Remote Desktop Services (RDS), Virtual Desktop Infrastructure (VDI) ou Windows Virtual Desktop (WVD). AppAttach est issu de la technologie acquise via FSLogix. Elle permet la distribution sans installation et sans impacter la machine virtuelle au travers du réseau. La solution est un contournement parfait à la technologie streaming d’App-V. MSIX AppAttach va être intégré à System Center Configuration Manager et Microsoft Intune pour permettre de nouveaux scénarios de gestion pour ces environnements virtuels.