L’équipe Office et System Center Configuration Manager ont publié un sondage afin de récupérer les retours sur le déploiement et la gestion d’Office.

N’hésitez pas à donner vos retours sur : http://www.instant.ly/s/U6di_HJsAAA

C’est un sujet récurrent ! Au-delà de la stratégie globale de l’entreprise qui vise à autoriser de nouveaux usages, comment bloquer l’accès au Microsoft Store sur Windows 10 ?

On voit de nombreuses techniques sur Internet :

• Utiliser les stratégies de groupes (GPO)
• Utiliser AppLocker
• Utiliser les Configuration Service Providers (CSP) et un outil de gestion des périphériques mobiles (MDM)
• Utiliser des méthodes diverses et variées visant à *casser* le Microsoft Store

Les trois premières solutions requièrent l’édition Enterprise.

Le dernier point et les méthodes qui sont associés, visent toutes à contourner la limitation sur des éditions Pro mais ne prennent pas en compte les dangers de celles-ci.

Pourquoi est-il important de bloquer le Microsoft Store avec les méthodes officielles via l’édition Enterprise ?

Les méthodes que vous pourrez trouver sur Internet, empêchent véritablement tout fonctionnement du Microsoft Store. Or le Microsoft Store est utilisé pour mettre à jour les applications universelles (Calculatrice, Paint 3D, etc.) présentes par défaut lors de l’installation du système. L’utilisation de ces méthodes impliquent donc que les applications universelles par défaut ne seront plus par défaut. Les éventuels bugs ou corrections de failles de sécurité ne seront donc pas réalisées.

Outre cet aspect, les changements que vous apportez, sont généralement effacés/réinitialisés à la mise à niveau vers la version suivante de Windows 10. Il se peut aussi que les changements soient irréversibles et aillent au-delà de ce que vous pouvez attendre.

Quelle est la bonne méthode pour bloquer le Microsoft Store ?

Le plus étonnant est bien que vous utilisiez une des trois premières méthodes pour bloquer le Microsoft Store, il y a de bonnes et mauvaises façons de les configurer.

En effet, l’application des stratégies (GPOs) ou CSPs sur la machine, bloque entièrement le Microsoft Store et empêche donc la mise à jour des applications.

Pour contourner ce problème, vous devez donc appliquer ces éléments à l’utilisateur et non à la machine. Pour les GPOs, vous devez donc utiliser le paramétrage Turn off the Store application présent dans User Configuration\Administrative Templates\Windows Components

Ceci permettra de bloquer l’accès à l’interface utilisateur tout en laissant les mises à jour se faire naturellement.

Les projets Windows 10 se suivent et l’engouement auprès des entreprises est bien présent. Les prérequis de ces projets peuvent être divers et variés mais le besoin d’intégrer nativement certaines applications universelles ou modernes est une certitude. L’objectif de ce billet est de vous montrer comment sideloader ou précharger des applications universelles dans le but qu’elles soient disponibles à tous utilisateurs qui se connectent sur le système.

J’en viens à faire cet article car cela constitue une question récurrente sur les forums. Il faut savoir qu’il n’est pas possible d’installer une application universelle/moderne par le modèle d’application via une séquence de tâches. En effet, l’étape Install Applications ne permet pas de sélectionner des applications dont le type de déploiement est basé sur la technologie Windows Application Package (*.appx, *.appxbundle).

Lorsque vous avez fait face à ce premier revers, vous allez vite penser à la cmdlet PowerShell intégrée Add-AppxProvisionedPackage (avec le paramètre Online, etc.). Cette dernière permet très facilement de précharger des applications sur le système en cours d’exécution. Si vous avez fait des essais sur un système en cours d’exécution, vous ne rencontrerez pas de problèmes. Par contre si vous exécutez cette dernière au cours du déploiement d’un nouveau système d’exploitation, l’exécution renverra une erreur Ressource not found. Cette erreur est levée bien que vous l’exécutiez dans un mode où le système d’exploitation est en cours d’exécution (puisque vous avez passé l’étape Setup Windows and ConfigMgr).

Le problème vient du fait que la commande requiert qu’un premier utilisateur se soit connecté sur le système. Ceci n’est pas le cas dans une séquence de tâches de déploiement d’un nouveau système d’exploitation. Vous devez donc déployer l’application après le déploiement, ce qui n’est pas très pratique dans certains scénarios.

Il existe une dernière option. Il faut utiliser DISM et intégrer l’application après que le système ait été appliqué sur le disque et avant que le système ait démarré une première fois.

La première étape consiste à créer un fichier bat (par exemple : EnableSideLoadlingApps.bat) afin d'activer le sideloading d'applications :

Reg Load HKLM\TempImg C:\Windows\System32\Config\SOFTWARE 
REG Add HKLM\TempImg\Policies\Microsoft\Windows\Appx /t REG_DWORD /f /v "AllowAllTrustedApps" /d "1"
Reg UNLoad HKLM\TempImg

Vous devez ensuite créer un package contenant le fichier bat.

Placez ensuite une tâche Run Command Line placée après l’application des drivers et avant l’étape Setup Windows and ConfigMgr. Renseignez le fichier bat et le package.

(???)

Vous devez ensuite ajouter une autre tâche Run Command Line placée après celle que nous venons d'ajouter et avant l’étape Setup Windows and ConfigMgr par exemple. Vous devez associer à cette tâche le package contenant l’application, ses dépendances et la licence. La commande suivante permet de charger une application, deux dépendances et la licence associée :

DISM /Image:C:\ /Add-ProvisionedAppxPackage /PackagePath:App1.AppxBundle /DependencyPackagePath:Dependency1.appx /DependencyPackagePath:Dependency2.appx /LicensePath:License.xml

Bon déploiement !

Microsoft a publié la nouvelle version de SQL Server 2022 Reporting Service. Parmi les nouveautés, on retrouve :

• Un rafraîchissement du graphisme du portail pour être plus moderne et inclusif.
• Prise en charge améliorée de Windows Narrator pour le nouveau système d'exploitation Windows et Windows Server.
• Améliorations de la sécurité.
• Amélioration des performances du navigateur avec Angular.
• Correction des bugs d'accessibilité.
• Prise en charge du catalogue du serveur de rapports des instances SQL Server 2022.
• Mises à jour de la fiabilité.

Outre ces nouveautés, Microsoft a retiré les fonctionnalités suivantes : Mobile Reports and Mobile Report Publisher et Pin to Power BI.

Plus d’informations sur : Get more out of SSRS with improved user experience - Microsoft SQL Server Blog

Télécharger SQL Server 2022 Reporting Services

Microsoft vient de mettre à disposition une nouvelle version (1.2.3496) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Retour à la version 1.2.3401 pour éviter un problème de connectivité avec les anciennes piles RDP.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview de la création et exécution playbooks sur des entités à la demande. Les analystes SOC peuvent désormais prendre des mesures immédiates sur une entité particulière représentant un acteur de la menace, alors qu'ils sont en train d'enquêter sur un incident ou de faire la chasse aux menaces, sans quitter ces contextes ou devoir pivoter vers d'autres écrans ou apps. De même, les ingénieurs SOC peuvent désormais encapsuler une série d'actions automatisées dans des flux de travail qui s'exécutent sur une entité spécifique, afin que les analystes puissent utiliser ces flux de travail dans les scénarios ci-dessus. Ces améliorations de l'efficacité et de la productivité des SOC sont dues au nouveau déclencheur d'entité pour les playbooks.
• Preview de la personnalisation de plus de propriétés d'alerte. Par défaut, les alertes générées par une règle d'analyse donnée - et tous les incidents créés en conséquence - héritent du nom, de la description, de la gravité et des tactiques définis dans la règle, sans tenir compte du contenu particulier d'une instance spécifique de l'alerte. Il existe maintenant neuf autres propriétés d'alerte qui peuvent être personnalisées pour remplacer leurs valeurs par défaut.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Les versions 240, 241, et 242 apportent les changements suivants :

• Les alertes d’Azure AD Identity Protection arriveront directement à Microsoft 365 Defender. Les stratégies de Microsoft Defender for Cloud Apps n'affecteront pas les alertes dans le portail Microsoft 365 Defender. Les stratégies de protection des identités Azure AD seront progressivement supprimées de la liste des stratégies pour les applications Cloud dans le portail Microsoft 365 Defender.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve :

• Preview du nouveau modèle de contrôle d'accès basé sur les rôles (RBAC) de Microsoft 365 Defender permettant aux administrateurs de sécurité de gérer de manière centralisée les privilèges de plusieurs solutions de sécurité au sein d'un seul système avec une plus grande efficacité. Il prend actuellement en charge Microsoft Defender for Endpoint, Microsoft Defender for Office 365 et Microsoft Defender for Identity. Le nouveau modèle est entièrement compatible avec les modèles RBAC individuels existants actuellement pris en charge dans Microsoft 365 Defender.

Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

Comme vous le savez, il existe une version spécifique au monde de l’éducation pour Microsoft Endpoint Manager / Intune. Microsoft a travaillé plusieurs scénarios spécifiques pour la rentrée 2202 / 2023.

• Microsoft a ajouté une vérification pour n’autoriser que les utilisateurs avec les rôles Intune administrator, Cloud device administrator, et Password administrator de créer des tokens de provisionnement en masse. Microsoft a créé un workflow permettant d’assigner ces rôles aux administrateurs qui doivent avoir la permission de créer un package de provisionnement en proposant aussi une option de spécifier une unité administrative.
• Microsoft a intégré l’expérience guidée pour Windows Autopilot en créant d’abord un groupe avec un tag puis l’expérience qui découlera de l’enregistrement.
• Une nouvelle façon d'effectuer facilement des actions en masse avec un scanner de codes-barres ou un fichier CSV de numéros de série sur des groupes de périphériques avec une expérience guidée dans Intune for Education est disponible. Vous pouvez utiliser l'une ou l'autre méthode pour :
  • Ajouter des appareils à un groupe
  • Synchroniser
  • Redémarrer
  • Renommer des appareils
  • Autopilot reset
  • Réinitialisation d'usine
• La configuration des paramètres du navigateur Google Chrome est directement dans Intune for Education ! Les paramètres de Chrome sont combinés avec ceux de Microsoft Edge afin que vous puissiez gérer tous les paramètres du navigateur en un seul endroit.

Source : Back to School 2022-23 - Intune for Education - Microsoft Tech Community

L’équipe du support Intune a publié un billet à propose d’un problème connu concernant Microsoft Endpoint Manager (Intune). Les périphériques iOS/iPadOS 15 enregistrés dans un mode User Enrollment sont concernés et ne peuvent se mettre à jour avec succès vers iOS 16.

Microsoft s’est préparé dans le cadre de la bêta d’iOS 16 mais un problème a été découvert récemment. Microsoft et Apple travaille à résoudre le problème.

Dans l’attente les périphériques impactés sont les suivants :

• Enregistrés avec User Enrollment, et sur iOS 15 ou iPadOS 15.
• Les périphériques enregistrés par l'utilisateur dans Intune entre le 16 septembre 2021 (version de service 2109 d'Intune) et les versions d'août (2208) d'Intune. Vous pouvez voir la date d'inscription de l'appareil dans le centre d'administration de Microsoft Endpoint Manager en allant sur Devices > iOS/iPadOS, sur la page OVerview voir la colonne enrollment date. Si vous regardez sur un périphérique iOS, vous pouvez voir la date d’enregistrement sous Paramètres -> Général > Gestion du VPN et des appareils -> Profil de gestion -> puis regardez la date d'expiration du certificat d'identité de l'appareil - si elle se situe entre septembre 2022 et septembre 2023, il est probable qu'il soit affecté, car la plupart des clients utilisent un certificat d'un an.

Si le périphérique est mis à jour d'iOS/iPadOS 15 à iOS/iPadOS 16, l'utilisateur verra apparaître une erreur " new MDM payload does not match the old payload". Au niveau du périphérique, les périphériques enregistrés ne sont pas en mesure de mettre à jour leur profil de gestion. Lorsque les profils de gestion ne sont pas mis à jour, le périphérique peut perdre sa conformité, ce qui, en fonction de vos stratégies, peut bloquer l'accès aux ressources de l'entreprise.

Un périphérique peut être désenrôlé puis réenrôlé, ce qui appliquera un nouveau profil de gestion et le nouveau système d'exploitation. Microsoft travaille sur une solution de contournement qui vous évitera d'avoir à passer par cette étape. Celui-ci est attendu pour le 16 septembre.

En parallèle, Apple travaille sur une mise à jour pour iOS/iPadOS 16, mais sans savoirs si elle sortira avec la 16 ou la 16.x (une prochaine version).

.

Plus d’informations sur : iOS/iPadOS 15 devices enrolled with User Enrollment are unable to successfully update to iOS 16 - Microsoft Tech Community

Je vous en parlais il y a quelques semaines, après plusieurs mois de travail, Microsoft prépare l’arrivée d’Unified Update Platform (UUP) sur les services On-Premises inclus Microsoft Endpoint Configuration Manager (MECM) et Windows Server Update Services (WSUS). Pour rappel, Unified Update Platform (UUP) est un mécanisme d’évolution du système de mise à jour sous-jacent permettant de prendre en compte de nombreux scénarios qui n’étaient pas pris en compte. Parmi les bénéfices, on retrouve : la réduction du poids de mise à jour, les mises à jour de build incluant le dernier niveau de mises à jour de sécurité, l’inclusion des fonctionnalités à la demande (FOD) ou les packs de langues, etc. UUP dans Windows 11 apporte aussi la réparation de corruption automatique, une réduction encore plus importante de la taille de téléchargement des mises à jour, etc.

Il semble qu’il y ait d’autres prérequis à l’utilisation avec l’ajout de certains types MIME sur le serveur web (IIS) du serveur WSUS afin de prendre en charge UUP.  Vous devez donc ajouter les types .wim et .msu.

Ceci peut être réalisé graphiquement ou via des cmdlets PowerShell :

# Remove msu and wim if added previously to IIS server

& $Env:WinDir\system32\inetsrv\appcmd.exe set config /section:staticContent /-"[fileExtension='.msu']"

& $Env:WinDir\system32\inetsrv\appcmd.exe set config /section:staticContent /-"[fileExtension='.wim']"

# Add msu and wim to IIS server

& $Env:WinDir\system32\inetsrv\appcmd.exe set config /section:staticContent /+"[fileExtension='.msu',mimeType='application/octet-stream']"

& $Env:WinDir\system32\inetsrv\appcmd.exe set config /section:staticContent /+"[fileExtension='.wim',mimeType='application/x-ms-wim']"

Plus d’informations sur : Adding file types for Unified Update Platform on premises - Microsoft Tech Community

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v105. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations. Notez que la version 98 continue d’être la version recommandée par Microsoft.

Cette version comprend 6 nouveaux paramétrages utilisateurs et 6 nouveaux paramétrages ordinateurs. Pour résumé, voici les nouveaux paramétrages :

• Disable download file type extension-based warnings for specified file types on domains
• JavaScript setTimeout will not be clamped until a higher nesting threshold is set (deprecated)
• Spell checking provided by Microsoft Editor
• Synonyms are provided when using Microsoft Editor spell checker
• Wait for Internet Explorer mode tabs to completely unload before ending the browser session
• Configure the default paste format of URLs copied from Microsoft Edge and determine if additional formats will be available to users

Voici les différences avec la version 104 : https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-for-microsoft-edge-v105/ba-p/3615904?attachment-id=55072&WT.mc_id=EM-MVP-4028970

Vous pouvez retirer la liste de toutes les stratégies sur : Microsoft Edge Browser Policy Documentation | Microsoft Docs

Plus d’informations sur l’article suivant : Security baseline for Microsoft Edge v105 - Microsoft Tech Community

Télécharger Security Compliance Toolkit

Je vous propose un petit aperçu des nouveautés en août 2022 autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, etc.).

On retrouve notamment :

Général

• Gestion des changements dans Microsoft 365 - nouveau sujet d'assurance qui couvre les changements de code et de non-code dans les services Microsoft.
• Sujet relatif à l'offre Japan CS Gold Mark - retiré, certification non renouvelée.

Classification des données

• Le plugin Microsoft PurView Information Protection (MIP) d’Adobe Acrobat ou Reader fait maintenant partie de l’installer et il n’est ainsi plus nécessaire de l’installer séparément. Vous devez utiliser pour cela la version 22.001.20142 ou ultérieure.

Notez que vous devez désinstaller le plugin précédent avant de mettre à jour le client Adobe vers cette nouvelle version incluant les fonctionnalités.

Pour rappel, Microsoft a annoncé le support des scénarios de protection sur les PDFs générés depuis les applications Office en juin dernier avec une disponibilité pour septembre.

• Public Preview de la classification documentaire avec un label par défaut sur les librairies de documents dans SharePoint Online. Une fois que la bibliothèque est configurée avec une étiquette par défaut, SharePoint garantit que tous les "nouveaux" fichiers enregistrés ou téléchargés dans cette bibliothèque qui n'ont pas d'étiquette ou même une étiquette de faible priorité (appliquée auparavant par automatisation ou par défaut) seront étiquetés avec l'étiquette de bibliothèque configurée. En d'autres termes, il faut considérer cette fonction comme un étiquetage automatique par emplacement, l'emplacement étant ici une bibliothèque. Notez que si le document téléchargé est étiqueté manuellement, il ne sera pas touché. De plus, s'il y a des documents existants dans la bibliothèque, ils ne seront pas touchés non plus, sauf si un utilisateur modifie le fichier. Le marquage de l'étiquette est effectué dans un fil asynchrone après le téléchargement du document, ce qui signifie qu'il y aura un délai de quelques minutes avant que l'étiquette ne soit appliquée automatiquement. Si vous créez le document via l'application Office sur les périphériques Windows, Mac ou mobiles et que vous effectuez directement un "enregistrement tel quel" dans SharePoint, l'application automatique de l'étiquette de bibliothèque attendra que vous fermiez l'application. Cette fonctionnalité demandera un niveau de licence supplémentaire au niveau E5. Plus d’informations sur Configure a default sensitivity label for a SharePoint document library - Microsoft Purview (compliance) | Microsoft Docs
• Microsoft ajoute près de 42 nouveaux types d’informations sensibles permettant d’identifier, classifier et protéger des identifiants trouvés dans des documents à travers OneDrive, SharePoint, Teams, Office Web Apps, Outlook, Exchange Online, Defender for Cloud Apps, et Windows. Ces SIT peuvent être inclus dans les stratégies d'étiquetage automatique de protection des informations et de prévention des pertes de données pour découvrir un large éventail de types de justificatifs d'authentification numérique (" secrets "), tels que les identifiants (nom d'utilisateur et mots de passe), les mots de passe par défaut et les ressources du cloud Azure (par exemple, les clés de compte de stockage, les chaînes de connexion SQL Server et SAS). Vous trouverez également de nouveaux SIT pour la clé d'accès secrète du client Amazon S3, la clé privée du certificat X.509, le jeton d'accès personnel GitHub, la clé machine ASP.NET, le jeton d'accès Slack, l'API Google, Ansible Vault, etc. Il est à noter que ces SITs supportent : Information Protection, Data Loss Prevention (DLP),Exact Data Match SITs avec Insider Risk Management, Data Lifecycle Management, Records Management, eDiscovery, Microsoft Priva

Etiquettes de confidentialité (Sensitivity Labels)

• Disponibilité Générale de la coédition de fichiers avec une étiquette de sensibilité sur les périphériques iOS et Android lors de l’utilisation de Word, Excel, PowerPoint et office Mobile. Ainsi, les modifications apportées aux documents sont sauvegardées automatiquement et partagées avec d'autres collaborateurs en temps réel, tandis que les protections appliquées par l'étiquette sont correctement honorées sur ces terminaux. Pour cela, vous devez activer l’option sur votre tenant et utiliser Office Mobile, Word, Excel ou PowerPoint en version 16.0.14931 ou ultérieure sur Android ou en version 2.58.207 ou ultérieure sur iOS.
• Disponibilité Générale avec Current Channel 2208+ pour Word, Excel, PowerPoint sur Windows : Prise en charge de PDF. La prise en charge d'Outlook pour bloquer l'impression au format PDF lorsque cela est nécessaire, est en cours de déploiement dans le canal bêta.
• Disponibilité Générale avec Current Channel 2208+ pour Windows, et 16.63+ pour macOS : Étiquette par défaut pour les documents existants.
• Preview des classificateurs entrainés comme conditions pour les stratégies de classification automatique (Auto-Labeling)

Prévention de fuite de données (DLP)

• Public Preview du support des classificateurs entraînables (Trainable Classifiers), les types d'informations sensibles (SIT) et les domaines de services sensibles dans les stratégies de prévention de fuite de données (DLP).
• Disponibilité Générale de la capacité de cloner une stratégie de prévention de fuite de données (DLP)

Gestion des enregistrements et de la rétention

• La configuration d'Exchange (héritée) passe du centre d'administration Exchange classique (EAC) au portail de conformité Microsoft Purview, sous Data lifecycle management. Les fonctionnalités existantes de gestion du cycle de vie des données se trouvent dans un nouveau sous-nœud, Microsoft 365.
• Nouvelle fonctionnalité pour les pièces jointes dans le Cloud (en Preview) permettant la conservation automatique et temporaire des fichiers supprimés dans la bibliothèque Preservation Hold pour éviter que le fichier original ne soit supprimé par les utilisateurs avant que la copie puisse être créée et étiquetée.

Advanced eDiscovery

• Disponibilité Générale des nouvelles APIs Graph pour Microsoft PurView eDiscovery afin d’automatiser des tâches répétitives et communes qui peuvent demander beaucoup d’actions manuelles.

Gestion de la conformité

• Mise à jour des actions d'amélioration et transfert des données de conformité dans Compliance Manager. Cette fonctionnalité permet de mettre à jour plusieurs actions d'amélioration à la fois, ce qui permet également aux entreprises de transférer les travaux de conformité réalisés dans d'autres systèmes dans Compliance Manager pour en assurer le suivi.
• Les utilisateurs peuvent maintenant inclure un lien/URL comme élément de preuve pour la mise en œuvre d'une action d'amélioration ou le travail de test.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

L’équipe du support Intune a publié un billet à propose d’un problème connu concernant Microsoft Endpoint Manager (Intune). Les périphériques Windows 10/11 sont concernés concernant les détails de non-conformité qui apparaissent dans le portail d’entreprise.

Lorsqu'un périphérique est identifié comme non conforme en raison d'une version de Windows ne correspondant pas aux plages spécifiées par l'administrateur dans la stratégie de conformité Intune, un message de remédiation s'affiche dans le portail de l'entreprise indiquant que le système d'exploitation (OS) doit être mis à jour, ainsi qu'une plage valide de versions. Toutefois, lorsque plusieurs plages de systèmes d'exploitation sont spécifiées dans la stratégie en configurant le paramètre de conformité Valid operating system builds, le message du portail de l'entreprise n'affiche que la première plage de constructions de systèmes d'exploitation et non toutes les plages acceptables.

La stratégie de conformité est appliquée correctement malgré les plages manquantes dans le message de remédiation. Pour rendre le périphérique conforme, mettez à jour le système d'exploitation du périphérique avec une version comprise dans la plage acceptable spécifiée dans la politique de conformité.

Plus d’informations sur : Known Issue: Remediation message doesn't list all valid builds in Company Portal for Windows 10/11 - Microsoft Tech Community

Derrière ce titre racoleur, Microsoft vient de faire une annonce qui risque de faire pchit. Vous le savez très bien, il y a des dizaines de personnes chez Microsoft qui sont payées pour réfléchir au Marketing des produits et solutions. Encore une fois, ils ont démontré qu’ils étaient toujours bien présents. Microsoft annonce la fin de la marque Microsoft Endpoint Manager (MEM) annoncée il y a 3 ans. Pour autant, Microsoft Intune et Configuration Manager restent toujours d’actualité et Microsoft ne compte pas abandonner ces produits et services. L’investissement va continuer puisque plus de 80% des périphériques Windows 11 sont gérés par le Cloud dès leur mise en service.

Ce changement fait suite à des études qui ont montré que la marque Microsoft Endpoint Manager (MEM) n’était pas associée par les clients aux services qu’elle devait représenter.

Dans les faits, voici ce que cela implique :

Microsoft va donc peu à peu retirer les références à Microsoft Endpoint Manager (MEM) des différents sites et portails.

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Général] Public Preview permettant de configurer les notifications d’enregistrement/inscription. Les notifications d'inscription informent les utilisateurs de périphériques, par e-mail ou par notification push, lorsqu'un nouveau périphérique a été enregistré dans Microsoft Intune. Vous pouvez utiliser les notifications d’enregistrement à des fins de sécurité pour informer les utilisateurs et les aider à signaler les appareils enregistrés par erreur, ou pour communiquer avec les employés pendant le processus d'embauche ou d'intégration. Les notifications d'inscription peuvent être essayées dès maintenant avec les périphériques Windows, Apple et Android. Cette fonctionnalité n'est prise en charge que par les méthodes d'inscription dirigées par l'utilisateur.

Gestion du périphérique

• [Général] Lors de l'affectation des stratégies dans le centre d'administration, vous pouvez maintenant voir le nombre d'utilisateurs et de périphériques dans un groupe. Ces deux informations vous aideront à identifier le bon groupe et à comprendre l'impact de l'affectation avant de l'appliquer.

• [iOS/iPadOS] Microsoft Intune requiert maintenant iOS/iPadOS 14+. Vous devez donc mettre à jour les périphériques utilisant un système antérieur avec une version plus récente.
• [macOS] Microsoft Intune requiert maintenant macOS 11.6+. Vous devez donc mettre à jour les machines utilisant un système antérieur avec une version plus récente.
• [Windows 10/11] Nouvelle version (4.0.1.13) de Remote Help pour résoudre un problème qui empêchait les utilisateurs d'avoir plusieurs sessions ouvertes en même temps. Ces correctifs ont également permis de résoudre un problème qui faisait que l'application se lançait sans qu'on lui accorde le focus, ce qui empêchait la navigation au clavier et les lecteurs.
• [Windows] La fin de support de Windows 8.1 est prévue pour le 21 octobre 2022.
• [Windows] Filtrer sur l'étendue de l'utilisateur ou du périphérique dans le catalogue de paramètres pour les appareils Windows. Lorsque vous créez une stratégie de catalogue de paramètres, vous pouvez utiliser Add settings > Add filter pour filtrer les paramètres en fonction de l'édition du système d'exploitation Windows (Devices > Configuration profiles > Create profile > Windows 10 and later pour plateforme > Settings Catalog (preview) pour le type de profil). Lorsque vous ajoutez un filtre, vous pouvez également filtrer sur les paramètres en fonction de l'étendue de l'utilisateur ou de l'étendue du périphérique.

• [Android] Sur les appareils Android Enterprise, vous pouvez créer un profil de configuration de restrictions d'appareils qui affiche un message d'assistance personnalisé (Devices > Configuration profiles > Create profile > Android Enterprise > Fully managed, dedicated, and corporate-owned work profile pour plateforme > Device restrictions comme type de profil > Custom support information). Il y a un nouveau paramètre que vous pouvez configurer : Lock screen message pour ajoutez un message qui s'affiche sur l'écran de verrouillage de l'appareil. Lorsque vous configurez le message de l'écran de verrouillage, vous pouvez également utiliser des jetons de périphérique pour afficher des informations spécifiques au périphérique : Nom de domaine, IMEI, etc.

Configuration du périphérique

• [Android] Disponibilité Générale de la plateforme Android Open Source Project (AOSP). Actuellement, Microsoft Intune ne prend en charge la nouvelle option de gestion Android (AOSP) que pour les appareils RealWear.

• [Windows] L'interface DFCI (Device Firmware Configuration Interface) prend désormais en charge les périphériques Acer. Pour les périphériques Windows 10/11, vous pouvez créer un profil DFCI pour gérer les paramètres UEFI (BIOS) (Devices > Configuration profiles > Create profile > Windows 10 and later comme plateforme > Templates > Device Firmware Configuration Interface pour type de profil). Les nouveaux appareils Acer fonctionnant sous Windows 10/11 seront activés pour DFCI au cours de l’année 2022. Les administrateurs peuvent donc créer des profils DFCI pour gérer le BIOS, puis déployer les profils sur ces appareils Acer.

• [iOS/iPadOS] De nouveaux paramètres disponibles dans le catalogue des paramètres iOS/iPadOS et macOS. Dans le centre d'administration de Microsoft Endpoint Manager, vous pouvez voir ces paramètres dans Devices > Configuration profiles > Create profile > iOS/iPadOS ou macOS pour plateforme > Settings catalog comme type de profil. Les paramètres concernent : LDAP, et Privacy Preferences Policy Control.

Gestion des applications

• [Général] Microsoft Intune supporte maintenant les applications protégées suivantes :
  • RingCentral for Intune par RingCentral, Inc.
  • MangoApps, Work from Anywhere par MangoSpring, Inc.
• [Général] Vous pouvez créer et assigner deux nouveaux types d’applications Intune fonctionnants de la même manière que le type d'application de lien Web existant, mais ils ne s'appliquent qu'à leur plateforme spécifique, alors que les applications de lien Web s'appliquent à toutes les plateformes. Avec ces nouveaux types d'applications, vous pouvez assigner à des groupes et aussi utiliser des filtres d'affectation pour limiter la portée de l'affectation. Vous trouverez cette fonctionnalité dans le centre d'administration de Microsoft Endpoint Manager, en sélectionnant Apps > All Apps > Add.:
  • iOS/iPadOS web clip
  • Windows web link

Sécurité du périphérique

• [Général] L'option All Devices est désormais disponible pour les affectations de stratégie de conformité. Grâce à cette option, il est possible d’affecter une stratégie de conformité à tous les périphériques enregistrés qui correspondent à la plate-forme de la stratégie, sans avoir à créer un groupe Azure Active Directory contenant tous les périphériques. Lorsque vous incluez le groupe All Devices, vous pouvez ensuite exclure des groupes de périphériques individuels pour affiner le champ d'application de l'attribution.
• [Général] Le statut de la période de grâce est visible sur le site Web du portail d'entreprise Intune. Le site Web du portail d'entreprise Intune affiche désormais un statut de période de grâce pour tenir compte des périphériques qui ne répondent pas aux exigences de conformité mais qui sont encore dans leur période de grâce donnée. Les utilisateurs sont informés de la date à laquelle ils doivent se mettre en conformité et des instructions pour le faire. S'ils ne mettent pas leur appareil à jour à la date indiquée, leur statut devient non conforme.
• [Général] Vous pouvez désormais utiliser Trend Micro Mobile Security as a Service comme partenaire intégré de Mobile Threat Defense (MTD) avec Intune. En configurant le connecteur Trend MTD dans Intune, vous pouvez contrôler l'accès des périphériques mobiles aux ressources de l'entreprise à l'aide d'un accès conditionnel basé sur l'évaluation des risques.

Supervision et Dépannage

• [Général] Vous pouvez maintenant utiliser l'icône ? dans le centre d'administration de Microsoft Endpoint Manager pour ouvrir une session d'aide et de support sans perdre le focus actuel dans le centre d'administration. L'icône ? est toujours disponible dans le coin supérieur droit de la barre de titre du centre d'administration. Cette modification ajoute une méthode supplémentaire pour accéder à l'aide et au support.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview vous permettant de définir la valeur d'un détail personnalisé apparaissant dans un incident comme condition d'une règle d'automatisation. Les détails personnalisés sont des points de données dans les enregistrements bruts du journal des événements qui peuvent être mis en évidence et affichés dans les alertes et les incidents générés par celles-ci. Grâce aux détails personnalisés, vous pouvez accéder au contenu pertinent réel de vos alertes sans avoir à chercher dans les résultats des requêtes.
• Preview de l’ajout de conditions OU/OR dans les règles d’automatisation. Ceci permet de créer des règles complexes permettant de répondre à de nouveaux enjeux du SOC.
• Preview de la création et la suppression d’incidents manuellement. Ceci peut être utile lorsque les données ne peuvent pas être généré à partir d’un système ou d’une source de données
• Preview de l’ajout d’entité à la Threat Intelligence comme indicateur de menaces. Microsoft Sentinel vous permet de signaler l'entité comme étant malveillante, directement dans le graphique d'investigation. Vous pourrez ensuite visualiser cet indicateur à la fois dans les journaux et dans la lame de renseignements sur les menaces de Sentinel.
• Vous pouvez désormais utiliser le nouveau connecteur Windows DNS Events via AMA pour diffuser et filtrer les événements provenant des journaux de vos serveurs Windows Domain Name System (DNS) vers la table à schéma normalisé ASimDnsActivityLog. L'agent Azure Monitor Agent (AMA) et son extension DNS sont installés sur votre serveur Windows pour télécharger les données de vos journaux analytiques DNS vers votre espace de travail Microsoft Sentinel avec pour avantages :
  • AMA est plus rapide que l'agent Log Analytics existant (MMA/OMS). AMA traite jusqu'à 5000 événements par seconde (EPS) contre 2000 EPS avec l'agent existant.
  • AMA permet une configuration centralisée à l'aide de règles de collecte de données (DCR), et prend également en charge plusieurs DCR.
  • AMA prend en charge la transformation du flux entrant en d'autres tableaux de données.
  • AMA prend en charge le filtrage de base et avancé des données. Les données sont filtrées sur le serveur DNS et avant que les données ne soient téléchargées, ce qui permet d'économiser du temps et des ressources.
• A partir du 30 septembre 2022, Microsoft a procédé à la suppression de champs de la table UEBA UserPeerAnalytics :
  • UserName
  • UserPrincipalName
  • PeerUserName
  • PeerUserPrincipalName

Le moteur UEBA n'effectuera plus de recherche automatique des identifiants d'utilisateurs et ne les transformera plus en noms. Les champs ID correspondants continuent à faire partie de la table, et toutes les requêtes intégrées et autres opérations exécuteront les recherches de noms appropriées d'une autre manière (en utilisant la table IdentityInfo), donc vous ne devriez pas être affecté par ce changement dans presque toutes les circonstances.

La seule exception à cette règle est si vous avez construit des requêtes ou des règles personnalisées faisant directement référence à l'un de ces champs de nom. Dans ce cas, vous pouvez incorporer les requêtes de consultation suivantes dans les vôtres, afin d'accéder aux valeurs qui se seraient trouvées dans ces champs de nom.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Azure Active Directory, Permissions Management, etc.) en septembre 2022.

Microsoft apporte les nouveautés suivantes :

• L’accès conditionnel basé sur les périphériques pour les PCs Linux est en disponibilité générale.  Cette fonctionnalité permet aux utilisateurs de clients Linux d'enregistrer leurs périphériques avec Azure AD, de s’enregistrer à la gestion Intune et de satisfaire aux stratégies d'accès conditionnel basées sur les périphériques lorsqu'ils accèdent aux ressources de leur entreprise.

• Disponibilité Générale d’Azure AD SCIM Validator. Les éditeurs de logiciels indépendants (ISV) et les développeurs peuvent tester eux-mêmes la compatibilité de leurs points de terminaison SCIM : Microsoft a donc facilité la validation par les éditeurs de logiciels indépendants de la compatibilité de leurs terminaux avec les services de provisionnement Azure AD basés sur SCIM.
• Microsoft a annoncé la disponibilité générale de la fonction de prévention des suppressions accidentelles dans le cadre du service de provisionnement Azure AD. Lorsque le nombre de suppressions à traiter dans un cycle de provisionnement unique dépasse un seuil défini par le client, le service de provisionnement Azure AD s'interrompt, vous offre une visibilité sur les suppressions potentielles et vous permet d'accepter ou de refuser les suppressions. Cette fonctionnalité a toujours été disponible pour Azure AD Connect et Azure AD Connect Cloud Sync. Elle est désormais disponible pour les différents flux de provisionnement, y compris le provisionnement axé sur les RH et le provisionnement des applications.
• 15 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : RocketReach SSO, Arena EU, Zola, FourKites SAML2.0 SSO for Tracking, Syniverse Customer Portal, Rimo, Q Ware CMMS, Mapiq (OIDC), NICE Cxone, dominKnow|ONE, Waynbo for Azure AD, innDex, Profiler Software, Trotto go links, AsignetSSOIntegration.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
• Disponibilité générale de la fonctionnalité Identity Protection Anonymous and Malicious IP for ADFS on-premises logins. La protection de l'identité étend ses détections d'IP anonyme et malveillante pour protéger les ouvertures de session ADFS. Ceci s'appliquera automatiquement à tous les clients qui ont déployé et activé AD Connect Health, et apparaîtra comme les détections existantes "IP anonyme" ou "IP malveillante" avec un type d'émetteur de jeton "AD Federation Services".

Microsoft a publié des mises à jour relatifs aux changements d'Azure AD : Microsoft Entra change announcements – September 2022 train - Microsoft Tech Community

Plus d’informations sur : What’s new Azure AD

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

• La protection contre la falsification (Tamper Protection) sera activée par défaut pour toutes les entreprises. Les administrateurs recevront une notification dans le portail pour proposer l’activation et annoncer l’application automatique dans les 30 jours. Le mécanisme sera actif à partir du 24 octobre 2022. Pour rappel, ce mécanisme permet de protéger l’antivirus et l’EDR contre les tentatives de désactivation ou de contournement que certains attaquants peuvent utiliser.
• C’était attendu de longue date, Microsoft Defender for Endpoint est enfin supporté pour les périphériques Android géré dans un mode Company-owned personally enabled (COPE).
• Annoncée en août, ce mois si on retrouve la disponibilité générale des nouveaux rapports sur l’état de santé des périphériques dans Microsoft Defender for Endpoint avec notamment :
  • Une nouvelle page de rapport à onglets avec des cartes qui affichent des informations de haut niveau et des instantanés de sécurité.
  • Des informations détaillées sur Microsoft Defender Antivirus, notamment la version du moteur, la version de l'intelligence de sécurité, la version de la plate-forme, le mode antivirus et les résultats des analyses récentes.
  • Un accès plus facile aux informations exploitables et à la compréhension dont vous avez besoin, avec une analyse approfondie des recommandations de gestion des menaces et des vulnérabilités, des pages relatives aux appareils et du tout nouveau flyout des détails de Microsoft Defender Antivirus qui est une source riche de détails sur la sécurité des appareils.
• Le mode dépannage (Troubleshooting mode) est disponible pour Windows Server 2012 R2 et plus. Un certain niveau de mise à jour est requis pour les versions de Windows Server 2012 R2, 2016, 2019 et 2022.
• Public Preview de nouveaux rapports (v2) pour la fonctionnalité Attack Surface Reduction. On retrouve 3 rapports : Les détections liées aux règles ASR, la configuration des règles ASR, les règles de réduction de surface d’attaque.
• Disponibilité Générale de nouvelles fonctionnalités sur Microsoft Defender for Endpoint pour Android & iOS avec notamment :
  • Le contrôle de la confidentialité et de la vie privée a été amélioré permettant aux administrateurs de configurer les paramétrages pour les retours de phishing et réseau alors que les utilisateurs peuvent choisir les informations qui sont partagées avec l’entreprise. Les informations associées à iOS et Android sont disponibles.
  • Les administrateurs peuvent maintenant passer certaines permissions lors du processus d’enregistrement (onboarding) :
    • iOS - Avec cette fonctionnalité, les administrateurs peuvent déployer MDE sur des appareils BYOD sans appliquer les permissions VPN obligatoires pendant l'intégration. L'utilisateur final peut également embarquer l'application sans ces autorisations obligatoires et revoir ces autorisations plus tard. Même si l'utilisateur n'a pas utilisé le VPN, l'appareil pourra être intégré. Cette fonctionnalité n'est actuellement disponible que pour les appareils inscrits (MDM).
    • Android - Microsoft Defender for Endpoint sur Android active les autorisations facultatives dans le flux d’enregistrement/onboarding. Actuellement, les autorisations requises par MDE sont obligatoires dans le processus d’inscription. Avec cette fonctionnalité, l'administrateur peut déployer MDE sur des appareils Android avec des stratégies MAM sans appliquer les autorisations obligatoires de VPN et d'accessibilité. Les utilisateurs finaux peuvent intégrer l'application sans les autorisations obligatoires et peuvent revoir ces autorisations plus tard. Cette fonctionnalité n'est actuellement disponible que pour les appareils non inscrits (MAM).
  • Les entreprises qui ne veulent pas configurer le VPN, peuvent désactiver la protection Web et déployer le client sans cette fonctionnalité.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft a informé les clients disposant de périphériques Android Enterprise Personally-Owned Work Profile d’un changement sur les configurations de mot de passe dû à un prérequis de l’API 331 de Google. Ceci s’applique aux périphériques exécutant Android 12+.

Les deux paramètres concernés sont Required password type et Minimum password length. Ils ne seront plus supportés et seront remplacés par une nouvelle option pour configurer la complexité du mot de passe avec les options suivantes :

• Not configured: pas de mot de passe requis.
• Low: Pas de pattern ou NIP avec séquences répétitives (4444) ou ordonnée (1234, 4321, 2468).
• Medium: PIN with no repeating (4444) or ordered (1234, 4321, 2468) sequences, length at least 4. Or alphabetic, length at least 4. Or alphanumeric, length at least 4.
• High: NIP sans séquences répétées (4444) ou ordonnées (1234, 4321, 2468), longueur au moins 4. Ou alphabétique, longueur au moins 4. Ou alphanumérique, longueur au moins égale à 4.

Il n'y a aucun impact sur les périphériques existants pour lesquels les paramètres Required password type ou Minimum password length sont configurés. Si vous utilisez ces paramètres et que vous ne configurez pas le nouveau paramètre de complexité du mot de passe, les nouveaux péripéhériques fonctionnant sous Android 12 ou une version ultérieure auront par défaut une complexité de mot de passe élevée.

Vous devez donc mettre à jour vos stratégies avec ce nouveau paramétrage lorsqu’il sera disponible.

L’événement Microsoft Ignite 2022 s’apprête à démarrer le 12 et 13 octobre dans un format digital et de nombreuses annonces vont avoir lieu. Pour ceux qui veulent suivre l’événement en ligne, voici quelques sessions intéressantes :

Keynotes

• TS03: Re-energize your workforce in the office, at home, and everywhere in between
• TS05: Protect everything, everyone, everywhere with comprehensive security

Les sessions

• BRK35: Secure your workforce with Windows + Intune
• BRK54: Strengthen security and cut costs with an endpoint management you can count on
• OD18: Microsoft makes endpoint management and protection easy – when it's consolidated across platfo...
• OD34: Empower frontline workers with Microsoft Endpoint Manager
• OD35: Unify Apple device management into Endpoint Manager
• OD36: Security best practices for managing across platforms with Endpoint Manager

Ask the Experts

• WACATE35: Ask the Experts: Windows 11, Windows 365, and Microsoft Intune
• WACATE54: Ask the experts: Strengthen security and cut costs with an endpoint management you can cou...
• WACEM11: Expert Meet-up: Windows update and device management
• WACEM21: Expert Meet-up: Unified Endpoint Management

Les tables rondes

• Linux Desktop Management
• Intelligent automation of endpoint management
• Working with data in Microsoft Endpoint Manager
• Store of Apple Automated Device Enrollment revampthe Future – Store Catalog
• Windows and BYO PC

S’inscrire gratuitement

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Plus d'activités sont disponible pour déclencher des alertes honeytoken notamment via toute requête LDAP ou SAMR. De plus, si l'événement 5136 est audité, une alerte sera déclenchée lorsqu'un des attributs du honeytoken a été modifié ou si l'appartenance au groupe du honeytoken a été modifiée. Pour rappel, Microsoft Defender for Identity offre la possibilité de définir des comptes honeytoken, qui sont utilisés comme pièges pour les acteurs malveillants.
• L'évaluation des configurations de domaine non sécurisées disponible via Microsoft Secure Score évalue désormais la configuration de la stratégie de signature LDAP du contrôleur de domaine et émet une alerte si elle trouve une configuration non sécurisée.
• Les versions 2.189, 2.190, 2.191 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Security Center et Azure Defender). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Vous pouvez désormais supprimer les alertes basées sur ces entités Kubernetes afin d'utiliser les détails de l'environnement du conteneur pour aligner vos alertes sur la stratégie de l’entreprise et ne plus recevoir d'alertes indésirables :
  • Container Image
  • Container Registry
  • Kubernetes Namespace
  • Kubernetes Pod
  • Kubernetes Service
  • Kubernetes Secret
  • Kubernetes ServiceAccount
  • Kubernetes Deployment
  • Kubernetes ReplicaSet
  • Kubernetes StatefulSet
  • Kubernetes DaemonSet
  • Kubernetes Job
  • Kubernetes CronJob
• Defender for Servers prend en charge la surveillance de l'intégrité des fichiers avec Azure Monitor Agent. La surveillance de l'intégrité des fichiers (FIM) examine les fichiers et les registres du système d'exploitation à la recherche de modifications qui pourraient indiquer une attaque.
• Les recommandations de Defender for Cloud pour améliorer la gestion des utilisateurs et des comptes.
  • Extension du champ d'évaluation - La couverture a été améliorée pour les comptes d'identité sans MFA et les comptes externes sur les ressources Azure (au lieu des abonnements uniquement), ce qui permet aux administrateurs de sécurité de visualiser les affectations de rôles par compte.
  • Intervalle de rafraîchissement amélioré - Les recommandations d'identité ont désormais un intervalle de rafraîchissement de 12 heures.
  • Capacité d'exemption de compte - Defender for Cloud dispose de nombreuses fonctionnalités que vous pouvez utiliser pour personnaliser l’expérience et assurer que le score de sécurité reflète les priorités de sécurité de l’organisation. Par exemple, vous pouvez exempter des ressources et des recommandations du score de sécurité. Cette mise à jour vous permet d'exempter des comptes spécifiques de l'évaluation.Typiquement, vous exempteriez les comptes d'urgence "break glass" des recommandations MFA, car ces comptes sont souvent délibérément exclus des exigences MFA d'une organisation. Il se peut également que vous souhaitiez autoriser l'accès à certains comptes externes pour lesquels la fonction MFA n'est pas activée.
• Dépréciation des APIs suivantes : Security Tasks, Security Statuses, Security Summaries remplacées par Assessmentsand SubAssessments.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Microsoft a ajouté un nouveau point de terminaison dont le service Windows 365 a besoin pour être accessible : *.infra.windows365.microsoft.com". Ceci fait partie du travail de consolidation des points de terminaison en cours afin de réduire le nombre de FQDNs nécessaires pour être accessible au service.

Provisionnement de périphériques

• Support de Windows 365 Cloud PC pour Windows 11 Enterprise 22H2. De nouvelles images de la galerie sont maintenant disponibles et incluent la prise en charge de Windows 11 version 22H2. Les images de galerie suivantes peuvent être utilisées pour les Cloud PCs nouvellement approvisionnés :
  • Win11 22H2 + Apps M365
  • Win11 22H2 + Optimisations

Gestion des périphériques

• Preview de la capacité de réduction de la taille des PCs Cloud. Vous pouvez maintenant réduire la RAM et les spécifications d'un PC cloud (à l'exception de la taille du disque).

Supervision et Dépannage

• Preview des alertes système et notifications par email. Vous pouvez désormais configurer des alertes système et des emails automatisés pour être informé lorsque certains événements, avertissements ou erreurs se produisent dans le service Windows 365. Un sous-ensemble de problèmes critiques liés aux Cloud PCs sera envoyé automatiquement aux administrateurs. En outre, vous pouvez définir des règles d'alerte, telles que le public cible (appareils, groupes d'utilisateurs, locataires), les seuils, la fréquence et les canaux de notification.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Merill Fernando (Product Manager Microsoft Azure AD) a publié une liste de liens raccourcis permettant l’accès à différentes pages du portail d’administration de Microsoft Entra – Azure Active Directory.

On retrouve notamment :

• http://aka.ms/ad/ca – Conditional Access
• http://aka.ms/ad/pim -Privileged Identity Management
• http://aka.ms/ad/users - Users
• http://aka.ms/ad/groups - Groups
• http://aka.ms/ad/apps - Enterprise Applications
• http://aka.ms/ad/appreg - Application Registrations
• http://aka.ms/ad/auth - Authentication Methods Policies
• http://aka.ms/ad/legacymfa - Legacy MFA
• http://aka.ms/ad/guests - Guest Access Settings
• http://aka.ms/ad/logs - Sign in Logs
• http://aka.ms/ad/xtap - Cross Tenant Access Settings
• http://aka.ms/ad/roles - Azure AD Roles
• http://aka.ms/ad/sspr - Password Reset
• http://aka.ms/ad/security - Security
• http://aka.ms/ad/mfaunblock - MFA Unblock
• http://aka.ms/ad/reviews - Access Reviews
• http://aka.ms/ad/score - Secure Score
• http://aka.ms/ad/license - Licenses
• http://aka.ms/ad/synclog - AAD Connect Sync Errors
• http://aka.ms/ad/adfslog - ADFS Log
• http://aka.ms/ad/consent - Consent
• http://aka.ms/ad/support - Support

Il propose aussi des liens directs (pour certains déjà connus) vers des pages de gestion pour l’utilisateur :

• http://aka.ms/azad - Azure AD Portal
• http://aka.ms/sspr - Password Reset
• http://aka.ms/mysecurity - My Security
• http://aka.ms/myapps - My Apps
• http://aka.ms/my-account - My Account
• http://aka.ms/my-groups - My Groups
• http://aka.ms/my-access - My Access Packages

Source : Tweet / Twitter