Des retours font apparaître que la version de Windows 10 Enterprise LTSC 2019 se voit proposer par erreur, la mise à jour vers Windows 10 1903 via Windows Update. Les versions Long-Term Servicing Channel sont des versions spécifiques supportées pour 10 ans (5 ans de support principal, 5 ans de support étendu) et ciblent les périphériques critiques à usages industriels (Chaine de production, distributeurs de billets, etc.). Ces versions ne doivent pas se faire proposer des versions qui sont dans le canal semestriel et plus généralement aucune mise à niveau vers une version supérieure. La mise à niveau est contrôlée et doit normalement être faite manuellement par l’entreprise.

Ce bug survient pour deux raisons :

• Windows 10 Enterprise LTSC 2019 est basé sur Windows 10 1809.
• Un bug est présent dans le système de détection des mises à jour de la mise à niveau Windows 10 1903 via le nouveau modèle Unified Update Platform (UUP).

La mise à niveau est affichée dans Windows Update mais n’est ni téléchargée ni installée.

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en mai 2019.

Microsoft apporte les nouveautés suivantes :

• On retrouve un rapport d’utilisation et d’aperçu sur les applications d’entreprise pour obtenir des informations sur :
  • Le top des applications utilisées par votre organisation
  • Les applications avec les connexions ayant échouées
  • Le top des erreurs de connexion pour chaque application

• De nouveaux tutoriaux sont disponibles pour vous aider à configurer le provisionnement des utilisateurs pour les applications cloud suivantes : Comeet, DynamicSignal, KeeperSecurity et Dropbox.
• Disponibilité Générale du Secure Score Identité dans Azure AD permettant de :
  • Mesurer objectivement votre posture de sécurité sur l'identité, basée sur un score entre 1 et 223.
  • Planifier vos améliorations sur la sécurité de l'identité
  • Passer en revue le succès de vos améliorations en matière de sécurité

• Disponibilité Générale d’une nouvelle expérience d’enregistrement d’applications permettant une meilleure gestion des applications, un processus simplifié d’enregistrement et des informations de démarrage.
• Amélioration de l’expérience de création et de gestion des groupes dans le portail Azure AD pour permettre notamment :
  • Le filtrage de base par type d'adhésion et type de groupe.
  • L’ajout de nouvelles colonnes, telles que Source et Adresse e-mail.
  • La possibilité de sélectionner plusieurs groupes, membres et listes de propriétaires pour une suppression facile.
  • La possibilité de choisir une adresse email et d'ajouter des propriétaires lors de la création du groupe.
• L’API Risky Users d’Azure AD Identity Protection permet maintenant de récupérer l’historique de risque des utilisateurs, de rejeter les utilisateurs à risque et confirmer qu'ils sont compromis.
• De nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Freedcamp, Real Links, Kianda, Simple Sign, Braze, Displayr, Templafy, Marketo Sales Engage, ACLP, OutSystems, Meta4 Global HR, Quantum Workplace, Cobalt, webMethods API Cloud, RedFlag, Whatfix, Control, JOBHUB, NEOGOV, Foodee, et MyVR.
• Les administrateurs peuvent maintenant configurer une stratégie de nommage pour les groupes Office 365, en utilisant le portail Azure AD. Cette modification permet d'appliquer des conventions de nommage cohérentes pour les groupes Office 365 créés ou édités par les utilisateurs de l’entreprise :
  • En définissant des préfixes ou des suffixes, qui sont automatiquement ajoutés à un nom de groupe.
  • En téléchargeant un ensemble personnalisé de mots bloqués pour votre organisation, qui ne sont pas autorisés dans les noms de groupe (par exemple, "CEO, Paie, RH").

• Les administrateurs peuvent maintenant créer des stratégies d'accès conditionnel à utiliser par la page d'enregistrement combinée (MFA + SSPR). Cela comprend l'application de stratégies pour permettre l'enregistrement si :
  • Les utilisateurs sont sur un réseau de confiance.
  • Les utilisateurs présentent un faible risque de connexion
  • Les utilisateurs sont sur un périphérique géré.
  • Les utilisateurs acceptent les conditions générales d'utilisation de l’entreprise (CGU).

On retrouve les modifications de service suivantes :

• La modification du service Azure AD Application Proxy pour prendre en charge uniquement le protocole TLS 1.2. Microsoft commence la modification du service pour les clients qui utilisent déjà uniquement le protocole TLS 1.2 et ne vont pas voir de différences. La dépréciation de TLS 1.0 et 1.1 est prévue pour le 31 août 2019. Vous devez donc vérifier que les connexions client/serveur et navigateur/serveur supportent TLS 1.2.
• Disponibilité Générale du support des points de terminaison de l’API Microsoft Graph pour les logs d’activités Azure AD.

Je vous parlais dans un article précédent de l’option permettant de limiter l’accès à l’annuaire Azure Active Directory aux utilisateurs standards. L’activation de cette option a un impact si vous avez mis en place une délégation dans Microsoft Intune qui se base uniquement sur les droits RBAC internes à Microsoft Intune. Vous pouvez donc vous retrouver avec des utilisateurs administratifs (Help Desk, etc.) qui n’accèdent plus aux utilisateurs et aux groupes bien qu’ils aient accès aux restes des fonctionnalités Intune associés à leurs droits RBAC:

Note : Vous n’observez pas d’impacts si vous attribuez aussi des rôles Azure Active Directory aux personnes qui gèrent Microsoft Intune.

Pour contourner ce problème, vous pouvez leur associer un rôle d’annuaire Azure Active Directory. Vous avez le choix entre différents rôles en fonction des capacités que vous souhaitez donner :

• En lecture seul : Security Reader
• Action sur les utilisateurs et groupes (réinitialisation de mots de passe, etc.) : User Administrator

Pour attribuez ce rôle, ouvrez le portail Azure et naviguez dans Azure Active Directory – Users – All Users puis sélectionnez l’utilisateur et entrez dans Directory Role. Choisissez Add Assignement et sélectionnez le rôle d’annuaire souhaité.

Note : Malheureusement l’association se fait utilisateur par utilisateur et non pas via un groupe.

L’utilisateur administratif aura à nouveau accès aux espaces liés aux utilisateurs et aux groupes.

Microsoft fait appel à vous pour améliorer la qualité des traductions utilisées dans System Center Configuration Manager 1902. Le produit est traduit dans 18 langues pour l’interface d’administration et 22 pour l’interface cliente. A chaque version de ConfigMgr, Microsoft ajoute ou met à jour des chaines de caractères qui doivent être traduites.

Le but est donc d’aider Microsoft à la revue de ces chaines de caractères. Si vous êtes intéressés, vous pouvez :

1. Télécharger les fichiers CAB de revue des interfaces localisées de CM1902 et dézippez les fichiers.
2. Choisissez les PDFs qui correspondent aux langues que vous voulez revoir.
3. Lisez les screenshots et les changements d’interfaces
4. Envoyez des retours en fonction de votre revue
5. Dans la description, vous devez inclure :
   1. Le nom du PDF que vous avez revue
   2. L’identifiant de l’objet dans l’interface
   3. La description du retour que vous faites.
   4. Votre commentaire ou votre proposition pour remplacer la chaine.

Plus d’informations sur : Lost in Translation?

Microsoft vient de mettre à disposition la Technical Preview 1906 (5.0.8842.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1906 comprend les nouveautés suivantes :

Administration

• Support de Windows Virtual Desktop pour permettre de gérer ces environnements virtuels dans Azure. Pour améliorer les performances du client, ConfigMgr désactive désormais les stratégies utilisateur sur tout périphérique qui autorise ces sessions utilisateurs multiples. Même si vous activez les règles utilisateur, le client les désactive par défaut sur ces périphériques, qui incluent Windows Virtual Desktops et Remote Desktop.
• La console d’administration retrouve un onglet Maintenance Tasks qui permet de voir si la tâche de maintenance est activée, la planification, la dernière date de démarrage, la dernière date d’exécution et si la tâche s’est exécutée avec succès. Cet onglet est disponible dans Administration – Site Configuration – Sites.

• Lors de l’application d’une mise à jour Configuration, vous pouvez voir l’état de la mise à niveau de la base de données ConfigMgr dans la partie Installation. Ceci permet de voir si la mise à niveau de la base de données est bloquée par un programme. Vous pouvez voir l’identifiant de session qui bloque la base de données.
• Microsoft introduit la capacité de spécifier des droits RBAC et des étendues de sécurité sur les dossiers (de collections, d’applications, etc.). Si vous avez accès à un objet dans le dossier mais que vous n'avez pas accès au dossier, vous ne pourrez pas voir l'objet.

• Le hub communautaire déjà introduit dans des versions précédentes, se voit enrichi. Il permet maintenant la récupération de scripts PowerShell, de rapports, d’applications, et d’objets de configuration. Le hub permet de partager ces objets, mais ne partage aucun contenu source associé aux objets. Par exemple, les images de démarrage, les packages de mise à niveau du système d'exploitation ou les packages de pilotes référencés par une séquence de tâches ne sont pas partagés. Actuellement, le hub ne prend pas en charge les dépendances. Si une séquence de tâches inclut l'étape Installer l'application, les applications référencées ne sont pas partagées. Les mots de passe ou autres secrets sont supprimés d'une séquence de tâches avant le partage.
• Vous pouvez maintenant activer certains nœuds de la console Configuration Manager pour utiliser le service d'administration. Ce changement permet à la console de communiquer avec le SMSProvider via HTTPS au lieu de via WMI. Cela fonctionne pour les nœuds : Administrative Users, Security Roles, Security Scopes, et Console Connections.
• Management insights inclut une nouvelle règle qui détecte si vous avez activé la méthode de repli d'authentification NTLM moins sécurisée pour le site.

CMPivot

• CMPivot permet d’utiliser des opérateurs arithmétiques, d'agrégateurs et de la possibilité d'ajouter des jointures de requête pour permettre l'utilisation simultanée du registre et des fichiers. Les éléments suivants ont été ajoutés : opérateurs (Join, Render), opérateurs scalaires (+, -, *, /, %), fonctions d’agrégation (Percentile(),sumif()) et fonctions scalaires . Pour rappel, CMPivot est un nouvel utilitaire dans la console qui permet d'accéder en temps réel à l’état des périphériques dans votre environnement. Il lance immédiatement une requête sur tous les périphériques actuellement connectés dans la collection cible et renvoie les résultats.
• Ajout des permissions CMPivot au rôle Security Administrator : Read on SMS Script Run CMPivot on Collection, et Read on Inventory Report.

Cloud et Co-Management

• Un administrateur ou un opérateur du helpdesk peut désormais se connecter à un client via les outils Remote Control sur une machine sur Internet non présente dans le réseau de l’entreprise via la Cloud Management Gateway.
• La configuration du Co-Management évolue pour permettre de cibler différentes collections de pilote en fonction des charges de travail que vous souhaitez tester. Ce choix se justifie car vous pouvez avoir besoin de population pilote différent lors du passage des stratégies de conformité, ou des configurations de périphériques (par exemple) sur Microsoft Intune.

• Un nouveau périphérique cogéré peut maintenant automatiquement s’enregistrer dans Microsoft Intune en utilisant le token périphérique Azure AD. Il n'est pas nécessaire d'attendre qu'un utilisateur se connecte au périphérique pour que l'enregistrement automatique commence. Cette modification permet de réduire le nombre de périphérique ayant le statut d’enregistrement Pending user sign in. Pour supporter ce comportement, les clients doivent exécuter Windows 10 version 1803 ou ultérieur.
• Microsoft introduit une découverte des groupes d'utilisateurs et les membres de ces groupes dans Azure Active directory (Azure AD). Les utilisateurs trouvés dans les groupes Azure AD qui n'ont pas encore été découverts seront ajoutés en tant que ressources utilisateur dans Configuration Manager. Un enregistrement de ressource de groupe d'utilisateurs est créé lorsque le groupe est un groupe de sécurité.

Client

• Vous pouvez maintenant fournir un lien direct vers un onglet personnalisé dans le Centre Logiciels/Software Center. Le format doit être le suivant : softwarecenter:page=CustomTab1.
• La notification pour spécifier qu’un nouveau logiciel est disponible, ne s'affichera qu'une seule fois pour un utilisateur pour une application et une révision donnée. L'utilisateur ne verra plus la notification chaque fois qu'il se connectera. Ils ne verront une autre notification pour une application que si elle a changé.
• Il est maintenant possible de configurer plus de notifications de compte à rebours pour les redémarrages sur les clients. On retrouve deux paramétrages dans les paramétrages client : Specify the snooze duration for computer restart countdown notifications (hours) et Display a temporary notification to the user that indicates the interval before the user is logged off or the computer restarts (minutes).

• Basé sur les retours UserVoice, les catégories d'utilisateurs pour les déploiements d'applications ciblées par périphérique apparaissent désormais sous forme de filtres dans le Software Center.

Gestion des mises à jour logicielles

• La catégorie Windows 10, version 1903 and later a été ajouté à Microsoft Update comme produit propre plutôt que de faire partie du produit Windows 10 comme les versions précédentes. Ce changement vous a obligé à effectuer un certain nombre d'étapes manuelles pour vous assurer que vos clients voient ces mises à jour. Microsoft a réduit le nombre d'étapes manuelles que vous devez suivre pour le nouveau produit. Lorsque vous mettez à jour vers la Technical Preview 1906 et que le produit Windows 10 est sélectionné pour la synchronisation, les actions suivantes se produisent automatiquement :
  • Le produit Windows 10, version 1903 and later est ajouté pour la synchronisation.
  • Les règles de déploiement automatique contenant le produit Windows 10 sont mises à jour pour inclure Windows 10, version 1903 and later.
  • Les plans de maintenance sont mis à jour pour inclure le produit Windows 10, version 1903 and later.
• Vous disposez maintenant d'options de configuration supplémentaires pour la synchronisation des catalogues de mise à jour tiers dans Configuration Manager. Vous pouvez sélectionner les catégories que vous souhaitez synchroniser et la façon dont vous souhaitez télécharger les mises à jour.

Déploiement de système d’exploitation

• L'étape Install Application, vous pouvez maintenant supprimer le contenu de l'application du cache client après l'exécution de l'étape. Ce comportement est intéressant sur les périphériques avec de petits disques durs ou lors de l'installation successive d'un grand nombre d'applications de grande taille.

• Basé sur les retours UserVoice, il est maintenant plus facile d'éditer des variables lorsque vous exécutez une séquence de tâches. Après avoir sélectionné une séquence de tâches dans la fenêtre Task Sequence Wizard, la page d'édition des variables de séquence de tâches comprend un bouton Edit. 
• Basé sur les retours UserVoice, la séquence de tâches définit une nouvelle variable en lecture seule _SMSTSLastContentDownloadLocation. Cette variable contient le dernier emplacement où la séquence de tâches a téléchargé ou tenté de télécharger du contenu. Elle est utilisée comme dépannage pour éviter de consulter les journaux du client.
• Cette version reprend l'amélioration de l'étape Disable et résout le problème connu avec la fonctionnalité côté client et ajoute une nouvelle variable, OSDBitLockerRebootCountOverride. Cette valeur permet de remplacer le compte à rebours spécifié OSDBitlockerRebootCount. Elle permet de spécifier une valeur 0 ; ce qui n’est pas possible pour l’autre variable.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1906  

De la même manière que sur Active Directory, l’annuaire Azure Active Directory de votre entreprise est disponible en lecture à l’ensemble des utilisateurs authentifiés. Cela signifie qu’un utilisateur avertit, peut ouvrir le portail Azure et naviguez dans Azure Active Directory puis lister tous les utilisateurs. Bien entendu l’utilisateur ne pourra pas effectuer d’action de modifications mais il peut très bien accéder à des informations relatives à un utilisateur :

Il est tout de même possible de limiter cette capacité. Ouvrez le portail Azure avec un compte disposant des autorisations Global Admin. Naviguez ensuite dans Azure Active Directory – Users puis choisissez User Settings.
Passez l’option Restrict access to Azure AD administration portal à Yes :

Les utilisateurs standards ne peuvent maintenant plus accéder à ces informations :

Note : Ceci a un impact si vous attribuez uniquement des droits RBAC à vos administrateurs Intune. Plus d’informations.

Microsoft vient de publier la mise à jour de révision de Mai 2019 pour sa suite Microsoft Desktop Optimization Pack (MDOP). Pour rappel, Microsoft a annoncé que les produits de la suite MDOP n’était plus en développement. Ces derniers restent supportés par Microsoft mais chacun dispose d’un futur différent. MBAM va être intégré directement à System Center Configuration Manager & Microsoft Intune. App-V est remplacé par le format MSIX et MSIX AppAttach.

Cette mise à jour de révision apporte le support de Windows 10 1903 par MBAM 2.5 Service Pack 1 (SP1).

Pour obtenir plus d’informations et le correctif, rendez-vous sur la KB4505175 May 2019 servicing release for Microsoft Desktop Optimization Pack.

Télécharger Microsoft Desktop Optimization Pack May 2019 Servicing Release

Microsoft va effectuer un changement dans la manière dont l’accès conditionnel (Conditional Access) est évalué lors de l’utilisation des protocoles d’authentification hérités (Legacy Auth). Auparavant, un client qui migrait depuis un outil de MDM vers Microsoft Intune, s’il avait attribué des stratégies d’accès conditionnel spécifiques à une plateforme utilisant l’authentification héritée, l’accès conditionnel n’était alors pas appliqué au périphérique puisque la détection du périphérique échouait.

Ce comportement n’était pas celui attendu. Microsoft s’apprête à corriger le problème dans les prochaines semaines. De ce faire, des utilisateurs qui pouvaient avois accès aux ressources d’entreprises, vont peut-être se voir bloquer l’accès quand elles utilisent une authentification héritée.

Ceci n’impacte pas le cas des stratégies d’accès conditionnel qui s’appliquent à l’ensemble des plateformes mais uniquement à celles-ci ciblées à des plateformes spécifiques.

Aucune action n’est à prévoir ; excepté de notifier les acteurs Help Desk pour aider les utilisateurs dans cette situation.

L’équipe Exchange vient de publier le 22ème Cumulative Update (CU22) (15.00.1473.005) pour Exchange Server 2013. Ce Cumulative Update ne comprend pas de corrections de bugs puisqu’Exchange Server 2013 est entré en support étendu en avril 2018. Les clients doivent l’installer pour continuer de recevoir les mises à jour de sécurité future.

Notez que l’installation des prérequis suivants sont nécessaires pour l’implémentation de ce Cumulative Update :

• .NET Framework 4.7.1 
• Visual C++ 2013 Runtime

Il permet de résoudre la vulnérabilité révélée suivante :

• ADV190018 | Microsoft Exchange Server Defense in Depth Update

Télécharger Cumulative Update 22 for Exchange Server 2013 (KB4503028)

Microsoft vient de communiquer à propos de la correction d’un bug sur le déploiement de profils email Windows 10 via Microsoft Intune. Cette correction a eu lieu dans la version 1904 (Avril) de Microsoft Intune. Ce changement vous concerne si vous utilisez les profils de messagerie Windows 10 avec

• Le client de messagerie natif sur les postes de travail Windows 10 OU
• Le client de messagerie Outlook sous Windows 10 Mobile

Ceci a un impact à la fois sur les Intune en mode autonome et hybrides avec Configuration Manager.

 Maintenant que cette modification a été effectuée, vous devrez recréer ces profils dans la console Intune (dans la console d'administration Configuration Manager si vous utilisez MDM hybride).

 Si vous ne le faites pas, voici ce que vous verrez pour les profils créés avant 1904 :

• Les profils de messagerie existants apparaîtront en état d'erreur dans la console Intune ou dans la console d'administration ConfigMgr, mais les utilisateurs finaux auront toujours accès à la messagerie. Cependant, après une mise à jour ultérieure de Windows, ces profils ne fonctionneront plus. Les utilisateurs finaux des périphériques ciblés par ces profils perdront l'accès à leurs courriels.
• Les modifications apportées à ces profils après 1904 ne seront pas prises en compte sur les périphériques ciblés.
• L’effacement sélectif ne fonctionnera pas pour supprimer ces profils.

Si vous prenez des mesures et recréez des profils de messagerie, les utilisateurs finaux devront suivre des étapes similaires à celles du déploiement d'un profil de messagerie pour la première fois. Les emails seront bloqués jusqu'à ce qu'ils acceptent la mise à jour qui applique le nouveau profil.

 Vous devez donc :

1. Capturez les paramètres des profil email Win 10 existants.
2. Retirer l’attribution et/ou supprimer des profils existants.
3. Créez de nouveaux profils à l'aide des paramètres capturés et affectez les nouveaux profils aux mêmes groupes.

Plus d’informations sur : https://aka.ms/Win10EmailProfiles

L’équipe Exchange vient de publier le 27ème Rollup (KB4503028) pour Exchange Server 2010 SP3 (version 14.03.0461.001).

Il corrige la vulnérabilité suivante : ADV190018 | Microsoft Exchange Server Defense in Depth Update

Télécharger Update Rollup 27 For Exchange 2010 SP3 (KB4503028)

Si vous souhaitez mettre en place Windows Autopilot dans un scénario de jointure hybride à Azure Active Directory (Hybrid Azure AD Join), vous devez installer le connecteur Intune pour Active Directory (Intune Connector for Active Directory).

De nombreuses entreprises utilisent des proxys pour contrôler l’accès à Internet. Dans ce cas de figure, il vous faudra configurer le connecteur Intune de la façon suivante :

1. Commencez par installer Intune Connector for Active Directory
2. Naviguez ensuite dans le répertoire d’installation (ex : :\Program Files\Microsoft Intune\ODJConnector\ODJConnectorUI\).
3. Ouvrez le dossier ODJConnectorUI et éditez le fichier ODJConnectorUI.exe.config. Je vous recommande faire une sauvegarde du fichier avant toute modification. Ajoutez la section suivante au fichier de configuration en remplacant les informations concernant votre proxy :

<?xml version="1.0" encoding="utf-8" ?>

<configuration>

    <system.net> 

        <defaultProxy>  

            <proxy proxyaddress="<ADRESSE DU PROXY>:<PORT>" bypassonlocal="True" usesystemdefault="True"/>  

        </defaultProxy> 

    </system.net>

    <runtime>

        <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">

            <dependentAssembly>

                <assemblyIdentity name="mscorlib" publicKeyToken="b77a5c561934e089" culture="neutral"/>

                <bindingRedirect oldVersion="0.0.0.0-2.0.0.0" newVersion="4.6.0.0" />

            </dependentAssembly>

        </assemblyBinding>

    </runtime>

    <startup>

        <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" />

    </startup>

    <appSettings>

        <add key="SignInURL" value="https://portal.manage.microsoft.com/Home/ClientLogon"/>

        <add key="LocationServiceEndpoint" value="RestUserAuthLocationService/RestUserAuthLocationService/ServiceAddresses"/>

    </appSettings>

</configuration>

4. Dans le répertoire d’installation, ouvrez le dossier ODJConnectorSvc et éditez le fichier ODJConnectorSvc.exe.config. Je vous recommande faire une sauvegarde du fichier avant toute modification. Ajoutez la section suivante au fichier de configuration en remplacant les informations concernant votre proxy :

<?xml version="1.0" encoding="utf-8" ?>

<configuration>

    <system.net> 

        <defaultProxy>  

            <proxy proxyaddress="< ADRESSE DU PROXY>:<PORT>" bypassonlocal="True" usesystemdefault="True"/>  

        </defaultProxy> 

    </system.net>

    <startup>

        <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" />

    </startup>

    <appSettings>

        <add key="BaseServiceAddress" value="https://manage.microsoft.com/" />

    </appSettings>

</configuration>

5. Redémarrez ensuite le service Intune ODJConnector Service via la console services.msc.

Source : https://docs.microsoft.com/en-us/intune/autopilot-hybrid-connector-proxy   

Microsoft a mis à jour son kit d’adoption pour Microsoft Intune. Ce kit d’adoption comprend des liens afin de répondre à toutes les phases :

1. Informations basiques de connaissances à propos du produit, service ou des fonctionnalités
2. Des informations de planification pour guider les grandes entreprises et les assister
3. Des modèles et des informations à communiquer aux utilisateurs finaux (vidéos)
   1. Enregistrer vos périphériques Android en mode Android Enterprise Fully Managed
   2. Enregistrer vos périphériques Android en mode Android Enterprise Work Profile
   3. Enregistrer vos périphériques iOS
   4. Enregistrer vos périphériques macOS
   5. Enregistrer vos périphériques Windows 10
4. Des ressources pour aider au déploiement (Email de communication, etc.)

Télécharger Intune Adoption Pack

Source : https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Microsoft-Intune-customer-adoption-pack-is-now-available/ba-p/679866

Microsoft vient de communiquer via un message (IT181632) ciblé dans le centre de messages Office 365 concernant un problème touchant la gestion des PC héritée de Microsoft Intune. Ceci correspond à l’agent basé sur la console d’administration Silverlight qui ne supporte pas les mises à jour automatiques de fonctionnalités. Néanmoins, l’entreprise peut mettre à jour manuellement les machines vers des versions supérieures de Windows 10. Après la mise à jour des machines vers Windows 10 1903, l’agent PC Intune permet la communication avec les services Microsoft Intune.
Côté portail, vous voyez que la dernière date de contact est ancienne. Notez que ce problème n’affecte pas les machines Windows 10 gérées de manière moderne avec le MDM Intune.

Sur l’interface Intune Center, vous voyez l’erreur : 0x8007065b.

Vous résoudre le problème, vous devez effectuer les actions suivantes sur la machine avec une invite de commande avec des privilèges élevés :

• Exécuter les commandes suivantes :
  • exe /s "C:\Program Files\Microsoft\OnlineManagement\Client\Svc\OmcSvc.dll"
  • exe /s "C:\Program Files\Microsoft\OnlineManagement\Updates\Bin\omupdsrv.dll"
  • exe /s "C:\Program Files\Microsoft\OnlineManagement\Client\UI\auinstallwiz.dll"
• Redémarrer l’Intune Center et effectuer une analyse.

Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-Intune-legacy-PC-agent-stops-working-on-PCs-updated/ba-p/681919

Microsoft prépare une nouvelle expérience pour le portail Microsoft Intune à destination des administrateurs permettant la création et l’édition sur un seul et même unique écran. Ceci met fin au concept d’ouverture perpétuel et d’étalement de blade/tuile dans le portail. Les workflows et assistants de création et d’édition vont donc être condensé en un seul et unique écran/tuile. Vous n’aurez donc plus à naviguer en profondeur dans les tuiles.

L'expérience plein écran sera déployée sur le portail Intune sur portal.azure.com et devicemanagement.microsoft.com au cours des prochains mois. Cette mise à jour de l'interface utilisateur n'aura pas d'impact sur les fonctionnalités des stratégies et profils existants, mais vous verrez une cinématique de création/modification légèrement modifié. Lorsque vous créez de nouvelles stratégies, par exemple, vous pourrez définir certaines affectations au lieu de le faire une fois la stratégie créée.

Pour les entreprises ayant créé des documentations d’exploitation, vous allez devoir les mettre à jour pour refléter ces changements.

Plus d’informations et un aperçu des écrans sur : https://aka.ms/intune_fullscreen

C’est un retour qui est fait depuis plusieurs mois à Microsoft. Il faut croire que nous avons été écoutés puisque l’accès conditionnel (Conditional Access) est maintenant disponible pour les clients qui ont acheté Microsoft 365 Business. Les stratégies d’accès conditionnels et de configuration sont les mêmes que celles proposées pour les clients qui ont acheté Azure Active Directory Premium P1.

Ceci inclut :

• Le ciblage des utilisateurs en fonction du nom d'utilisateur, du groupe et du rôle
• Le ciblage par application
• Par emplacement - n'autorisez l'accès qu'à partir de plages IP fiables ou de pays spécifiques.
• Par type d'application - navigateur, applications de bureau / mobiles utilisant l'authentification moderne et ancienne.
• Exiger le MFA
• Exiger un périphérique conforme ou un périphérique joint à un domaine
• Exiger des applications utilisant les stratégies de protection d'application d'Intune
• Des facteurs d'authentification personnalisés (contrôles personnalisés) - MFA avec des fournisseurs de MFA tiers (p. ex. DUO ou RSA)

Cela ne signifie pas que toutes les autres fonctionnalités Azure AD P1 sont inclus dans Microsoft 365 Business. Ces dernières se limitent à la réinitialisation de mot de passe en libre-service hybride, Azure MFA et l’accès conditionnels.

Plus d’informations sur l’annonce : Conditional Access is now part of Microsoft 365 Business

Microsoft continue ses investissements sur sa solution de provisionnement Windows Autopilot à destination de Windows 10. Avec l’arrivée de Windows 10 1903, on retrouve un nouveau scénario appelé White Glove. Le processus White Glove permet à l’entreprise de

• Faire préparer la machine par l’OEM, un intégrateur ou un prestataire de service. Ce dernier lance le processus afin d’appliquer les configurations machines (Applications, Stratégies, etc.). La machine s’éteint ensuite et peut être envoyée à l’utilisateur
• L’utilisateur démarre la machine et finit la phase de provisionnement en appliquant les éléments qui lui sont ciblés directement (Applications spécifiques, paramétrages spécifiques, etc.)

Ce scénario requiert les éléments suivants :

• Windows 10 1903 ou ultérieur
• Un abonnement Microsoft Intune
• Une machine physique avec une puce TPM 2.0 et supportant le service device attestation. Ceci signifie que les machines virtuelles ne sont pas supportées. Globalement les prérequis sont similaires à ceux du mode Self-Deploying.
• Une machine physique avec une connectivité Ethernet. Microsoft ne supporte pas l’usage d’une connectivité Wi-FI en raison de la nécessité de choisir une langue, une locale et un clavier pour établir cette connexion Wi-fi. L’utilisation du Wi-Fi engendrerait la pré-configuation de ces éléments et empêcherait l'utilisateur de choisir sa propre langue, locale et clavier quand il reçoit le périphérique.

Le scénario supporte à la fois la jointure Azure Active Directory et la jointure hybride à Azure Active Directory.

Pour rappel, Windows AutoPilot est l’équivalent du programme Apple Device Enrollment Program (DEP). Il permet de pré-provisionner des périphériques sans action particulière de la part de l’utilisateur. On peut donc acheter le périphérique et le faire livrer directement à l’utilisateur. Ce dernier le démarre et le périphérique se configure tout seul avec les éléments nécessaires pour l’entreprise (applications, stratégies, etc.).

Attention ! Windows Autopilot ne constitue pas une solution de déploiement. Le système d’exploitation n’est pas redéployé ; l’entreprise prend ce que le fabricant OEM lui a déployé sur la machine.

De ce fait, Windows Autopilot permet de drastiquement réduire les coûts liés au déploiement de la machine en :

• S’affranchissant de l’ingénierie lourde nécessaire à la création et au maintien du processus de déploiement de système d’exploitation.
• De ne pas gérer de catalogue de drivers à maintenir à travers les versions de Windows 10
• D’intégrer facilement de nouvelles références de matériel sans avoir à les revalider avec son processus de déploiement

Plus d’informations sur la documentation : Windows Autopilot for white glove deployment

Ou sur l'article de Michael Niehaus : Try out Windows Autopilot white glove preprovisioning

Microsoft propose aujourd’hui un événement de questions/réponses. Cet évènement a lieu aujourd’hui le 12 juin à partir de 18h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Windows Virtual Desktop avec une réponse directe.

 Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://techcommunity.microsoft.com/t5/Windows-10-AMA/bd-p/Windows10AMA

A l’occasion de la conférence Build de Microsoft, Microsoft a annoncé que Microsoft Application Virtualization (App-V) n’était plus en développement actif chez Microsoft. Cela ne signifie pas que Microsoft déprécie la solution et aucune date n’a été annoncé en ce sens. Cela signifie que Microsoft n’investira plus dans le développement de cette technologie.

Microsoft continuera de supporter et d’inclure App-V dans Windows 10 comme cela a été le cas depuis Windows 10 1607.

En lieu et place d’App-V, Microsoft investit dans le format MSIX. Pour continuer ses investissements, Microsoft a annoncé à la Build : MSIX AppAttach.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

MSIX AppAttach est dédié aux environnements Remote Desktop Services (RDS), Virtual Desktop Infrastructure (VDI) ou Windows Virtual Desktop (WVD). AppAttach est issu de la technologie acquise via FSLogix. Elle permet la distribution sans installation et sans impacter la machine virtuelle au travers du réseau. La solution est un contournement parfait à la technologie streaming d’App-V. MSIX AppAttach va être intégré à System Center Configuration Manager et Microsoft Intune pour permettre de nouveaux scénarios de gestion pour ces environnements virtuels.

Avec l’annonce d’iOS 13 réalisée par Apple, Microsoft vient d’annoncer que Microsoft Intune ne supporterait plus iOS 10 à partir de Septembre 2019. Après cette date l’enregistrement à Microsoft Intune, le portail d’entreprise et le navigateur géré (Managed Browser) demanderont à minima iOS 11.

Vous devez donc les remplacer vers des périphériques plus récents qui supportent au moins iOS 11. C’est le cas notamment pour :

• iPhone 5
• iPhone 5c
• iPad (4ème Génération)

A partir de juillet, l’enregistrement de périphériques avec iOS 10 recevront une notification pour spécifier de mettre à jour le système d’exploitation.

Pour identifier les périphériques qui ne seront plus compatibles, vous pouvez naviguer dans Devices – all devices et filtrer sur le système d’exploitation.

L’accès conditionnel et les stratégies de protection des applications peuvent aussi vous permettre dès aujourd’hui de demander une version de système d’exploitation minimum avec le paramètre : « Require minimum iOS operating system (Warning only) »

Microsoft a créé un GitHub où des ressources seront publiées pour MSIX. On retrouve :

• Des scripts : Par exemple pour convertir un ensemble d’applications Win32 en package MSIX ou un script pour resigner un package avec un certificat
• AppInstaller File Builder : Une application Windows 10 permettant aux utilisateurs de créer facilement un fichier AppInstaller. Actuellement, le processus de création d'un fichier AppInstaller peut faire l'objet d'erreurs. L'application rend cela plus facile en permettant aux utilisateurs de spécifier les paquets de l'application qu'ils souhaitent distribuer, ainsi que les options de mise à jour.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Accéder au GitHub MSIX Toolkit

Microsoft vient de publier l’Update Rollup 7 pour System Center 2016 Virtual Machine Manager (KB4496920). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige le problème suivant :

• L'interface utilisateur VMM n'honore pas l'IP statique lors de la création du cluster.   
• L'état de la VM s'affiche incorrectement comme "Migration Failed" lorsque la VM avec un disque différent a migré en raison de Dynamic Optimization.
• La console VMM plante lors de l'énumération des propriétés de l'hôte Hyper-V lorsque toutes les conditions suivantes sont remplies :
  • L'utilisateur fait partie d'un rôle 'non-administrateur'.
  • L'utilisateur n'est PAS associé au groupe d'hôtes 'Tous les hôtes'.
• Le clonage VMM échoue lorsque l'utilisateur VMM Self-Service ou l'utilisateur Tenant Admin tente de cloner la VM avec un réseau VM connecté.
• Le rafraîchissement du cluster et la modification des propriétés de définition de réseau logique prennent plus de temps.
• L'ajout de VMSubnet à un réseau VMNet activé par BGP échoue avec l'erreur 'Network Service plugin does not implement the requested interface IBGPManagementAPI'.
• La console VMM plante pendant l'énumération des propriétés Hyper-V lorsqu'il y a une mauvaise configuration du profil de port de liaison montante due à la suppression et au réajout de l'hôte à la VMM.
• Les compteurs de performances des machines virtuelles utilisant la réplication Hyper-V ne s'affichent pas correctement lorsque les machines virtuelles sont défaillantes.
• Des migrations de machines virtuelles entre les hôtes d'un cluster sont observées même lorsque Dynamic Optimization est désactivé car l'option 'Failover Cluster VM Load Balancing' du serveur Windows ne l'est pas.
• Les VMs VMware hautement disponibles utilisant vCenter 6.5 géré par VMM ne sont pas migrées en direct vers un autre hôte du cluster.
• La migration des machines virtuelles vers un hôte avec une version de processeur différente est bloquée même si l'option "Autoriser la migration vers un hôte de machine virtuelle avec une version de processeur différente" est cochée.

Important ! Je vous recommande de bien lire l’article de la base de connaissances pour connaître la marche à suivre pour l’application de cet Update Rollup.

Plus d’informations sur : https://support.microsoft.com/en-us/help/4496920/update-rollup-7-for-system-center-2016-virtual-machine-manager

Télécharger Update Rollup 7 for System Center 2016 Virtual Machine Manager:

• Server Update
• Console Update

Microsoft vient de publier l’Update Rollup 7 pour System Center 2016 Service Management Automation (KB4496927). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige le problème suivant :

• Les fonctions de filtrage dans le Runbook workflow échouent.
• La cmdlet Get-SmaRunbook renvoie l'erreur "Could not find any runbooks..." si un programme SMA est lié à plus d'un Runbook.
• Une erreur arithmétique d’overflow se produit au démarrage d'un runbook SMA.
• Le service SMA RunbookService crash périodiquement avec une exception MissingMethodException après la mise à jour vers SMA 2016 UR5.

Important ! Je vous recommande de bien lire l’article de la base de connaissances pour connaître la marche à suivre pour l’application de cet Update Rollup.

Plus d’informations sur : https://support.microsoft.com/en-us/help/4496927/update-rollup-7-for-system-center-2016-service-management-automation

Télécharger Update Rollup 7 for System Center 2016 Service Management Automation

Microsoft vient de publier l’Update Rollup 7 pour System Center 2016 Data Protection Manager (KB4494084). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige le problème suivant :

•  L'opération de sauvegarde échoue avec l'erreur "40002 – The VHD containing the replica or one of its snapshots could not be mounted or unmounted".
• Le service de l'agent Data Protection Manager Recovery crash pendant l'opération de sauvegarde de la machine virtuelle Hyper-V.
• Le service Data Protection Manager crash de façon intermittente pendant les opérations de sauvegarde. 
• Lorsqu'une ferme Sharepoint avec plus de 100 bases de données est protégée par Azure, la restauration échoue pendant l'opération de recatalogue.
• La récupération des machines virtuelles Hyper-V en tant que fichiers dans le scénario de sauvegarde 'Disk to Tape (D-T)' échoue.
• Les besoins de stockage d'une ferme Sharepoint sur un serveur DPM secondaire ne sont pas calculés avec précision lorsque le serveur DPM utilise Modern Backup Storage.
• La restauration d'une ferme Sharepoint à partir d'Azure échoue.

Important ! Une installation de l’Update Rollup pour l’agent peut engendrer un redémarrage du serveur protégé.

Plus d’informations sur : https://support.microsoft.com/en-us/help/4494084/update-rollup-7-for-system-center-2016-data-protection-manager

Télécharger Update Rollup 7 for System Center 2016 Data Protection Manager

Microsoft vient de publier l’Update Rollup 7 pour System Center 2016 Orchestrator (KB4496926). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige le problème suivant :

• Monitor Data/Time déclenche le runbook immédiatement, même s'il est configuré pour se déclencher à un moment précis.
• Le pack d'intégration SCO 2016 pour System Center Operations Manager (SCOM) 2016 UR4 ou version ultérieure ne fonctionne pas avec les serveurs Runbook ou le Runbook Designer lorsque SCOM est configuré pour accepter uniquement les connexions TLS 1.1 ou TLS 1.2.
• Un runbook à haut traffic échoue en raison de deadlocks.

Plus d’informations sur : https://support.microsoft.com/en-us/help/4496926/update-rollup-7-for-system-center-2016-orchestrator

Télécharger Update Rollup 7 for System Center 2016 Orchestrator