En avril dernier, Microsoft annonçait officiellement la fin de support du composant additionnel d’Azure Information Protection pour Office. Pour rappel, le client Microsoft 365 Apps comprend dorénavant par défaut les fonctions d’étiquetage de documents sans avoir à installer un composant additionnel. Cette annonce démarrait 12 mois de notification avant la date fatidique du 11 avril 2024. Les clients ont normalement reçu une notification dans le centre de message Microsoft 365. Pour rappel, le client AIP Unified Labeling comprend les éléments suivants :

• Le composant additionnel pour Office qui arrive donc en fin de support. Ces derniers mois, Microsoft a travaillé à développer l’ensemble des fonctionnalités directement dans le client Microsoft 365 Apps.
• Le composant additionnel pour Windows qui permet notamment d’avoir accès à la classification et au chiffrement via le clic droit et permet aussi de classifier des documents non Microsoft mais aussi la visionneuse Windows pour ces documents.
• Le composant PowerShell AIP qui permet notamment de faire des opérations d’administration localement comme l’étiquetage de documents en masse par PowerShell, etc.

Si vous souhaitez plus d’informations pour préparer ce changement, rendez-vous sur : https://aka.ms/AIP2MIP/HowTo/GetStarted

Que va-t-il se passer au-delà du 12 avril 2024 ?

• Les clients qui utilisent actuellement le complément AIP peuvent continuer à le faire sans impact.
• Les nouveaux clients qui utilisent AIP pour la première fois ne pourront pas télécharger la stratégie d'étiquette et ne pourront pas déployer de nouvelles instances du complément AIP.
• Les clients peuvent demander une extension pour utiliser le complément AIP après la date de retrait finale.

Cette fonctionnalité de blocage a été inclue dans la dernière version du client AIP UL (v2.16)

Source : Retirement notification for the Azure Information Protection Unified Labeling add-in for Office - Microsoft Community Hub

Microsoft a publié le correctif KB26129847 pour Microsoft Configuration Manager 2309 (MCM/SCCM). Il corrige un problème pour les clients cogérés qui se mettent à envoyer de manière incorrecte un enregistrement de données de découverte (DDR) après le redémarrage de l'ordinateur ou du service SMS Agent Host (CCMExe.exe). Dans les environnements de taille importante, cela entraîne une accumulation de DDR à traiter (backlog).

Un package téléchargeable à partir de cette adresse permet de rendre votre site éligible pour télécharger cette mise à jour.

Après avoir installé cette mise à jour sur un site primaire, les sites secondaires préexistants doivent être mis à jour manuellement. Pour mettre à jour un site secondaire dans la console Configuration Manager, sélectionnez Administration > Site Configuration > Sites > Recover Secondary Site, puis sélectionnez le site secondaire. Le site primaire réinstalle alors ce site secondaire en utilisant les fichiers mis à jour. Les configurations et les paramètres du site secondaire ne sont pas affectés par cette réinstallation. Les sites secondaires nouveaux, mis à niveau et réinstallés sous ce site primaire reçoivent automatiquement cette mise à jour. Vous pouvez exécuter la commande SQL Server suivante sur la base de données du site pour vérifier si la version de mise à jour d'un site secondaire correspond à celle de son site primaire parent :

select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')

Si la valeur 1 est renvoyée, le site est à jour, avec tous les correctifs appliqués sur son site primaire parent. Si la valeur 0 est renvoyée, le site n'a pas installé tous les correctifs appliqués au site primaire et vous devez utiliser l'option Récupérer le site secondaire pour mettre à jour le site secondaire.

Plus d’informations sur :  Client discovery data update for Microsoft Configuration Manager version 2309 - Configuration Manager | Microsoft Learn

L’équipe Compliance a publié un billet visant à créer une formation complète sur Microsoft Purview Data Lifecycle and Records Management allant jusqu’à un niveau d’expertise. On retrouve notamment :

• Débuter
• Conserver et supprimer vos données
• Autres utilisations des étiquettes de rétention
• Utilisez un plan de fichiers pour créer et gérer vos étiquettes de rétention
• Autres façons de créer et de gérer vos étiquettes de rétention
• Déclencher la rétention en fonction d'un événement
• Étiquette de conservation des enregistrements vs étiquette de conservation réglementaire
• Appliquer automatiquement une étiquette de rétention pour conserver ou supprimer du contenu
• Rétention ciblée auprès des utilisateurs, des groupes et des sites à l'aide de portées adaptatives
• Portée de l'administration de la gestion du cycle de vie des données
• Personnalisez ce qui se passe à la fin de la période de conservation
• Examinez et gérez la disposition de vos dossiers
• Exécuter un flux Power Automate à la fin de la période de rétention
• Surveillance de vos étiquettes et activités de rétention
• Quand utiliser des stratégies de rétention et des étiquettes de rétention au lieu d’anciennes fonctionnalités
• Intégration avec Microsoft Syntex

Accéder à Training | Microsoft Purview Data Lifecycle and Records Management

L’équipe Compliance a publié un billet visant à créer une formation complète sur Microsoft Priva allant jusqu’à un niveau d’expertise. On retrouve notamment :

Priva Risk Management

Débutant

1. Pour démarrer avec Priva, les informations ci-dessous incluent les prérequis, les rôles et autorisations d'administrateur, ainsi que les paramètres. 
   1. Get started with Priva - Document 
   2. Priva Adminstrator Experience - YouTube 
   3. Set user permissions and assign roles in Priva - Document 
   4. Configure Priva settings - Document 
2. Dans cette section, vous découvrirez comment évaluer les données et les risques de votre organisation dans les tableaux de bord Priva 
   1. Optimizing your initial setup - Document 
   2. Explore the Overview page - Document 
   3. Explore the data profile page - Document 

Intermédiaire

1. Découvrez comment créer et gérer des politiques au sein de Priva pour atténuer les risques
   1. Learn about key risk scenarios - Document 
2. Suivez ces liens pour savoir comment configurer les politiques Priva 
   1. Priva Risk Management policies - Document 
   2. Sending IW digest notification - Document 
   3. Managing your policies - YouTube 
   4. Live PII policy blocking in Teams - YouTube 
3. Assistant de stratégie pour configurer les stratégies à l'aide des modèles intégrés 
   1. Data overexposure policy setup - Document 
   2. Data transfer policy setup - Document 
   3. Data minimization policy setup - Document   

Avancé

1. Suivez ce lien pour savoir comment les administrateurs peuvent afficher et gérer les alertes de politique et créer des problèmes.  
   • Investigate and remediate alerts in Priva Risk Management- Document  
2. Maintenant que vous avez avancé votre apprentissage sur le module de gestion des risques Priva, utilisez le guide interactif ci-dessous pour une application pratique de vos nouvelles compétences et connaissances Priva. 

1. 1. Priva Risk Management Interactive Guide 

Priva Subject Rights Requests Module

Débutant

1. Priva Subject Rights Requests Module Overview - YouTube 
2. Découvrez comment contrôler l'accès dans les demandes de droits de sujet privés Set user permissions and assign roles in Microsoft Priva - Microsoft Priva | Microsoft Learn = Document 
   1. Subject Rights Request Administrator 
   2. Collaborator (Privacy Management Contributors) 
   3. Approver (Delete requests only) 
3. Découvrez les paramètres Priva liés aux demandes de droits du sujet Learn about Priva Subject Rights Requests - Microsoft Priva | Microsoft Learn - Document 
   1. Retention 
   2. Privacy Data Match Data matching for Subject Rights Requests - Microsoft Priva | Microsoft Learn -Document 
   3. Teams integration Learn about Priva Subject Rights Requests - Microsoft Priva | Microsoft Learn - Document 
4. Apprenez à comprendre chacune des étapes et à naviguer dans les détails du tableau de bord SRR 
   1. Understand the workflow and request details pages - Document  
5. Comment lancer une demande SRR dans Priva
   1. Create a request and define search settings - Document 

Intermédiaire

1. Etape du SRR 
   1. Date estimate and retrieval – Document 
   2. Review data and collaborate – Document 
   3. Generate reports and close a request – Document 
2. Tasks for reviewing data – Document  
   1. Import additional files - Document  
   2. Mark items as Include or Exclude – Document  
   3. Download files – Document  
   4. Apply data review tags – Document  
   5. Use Annotate command to redact text – Document 
   6. Enter notes about a file – Document  
3. Apprenez-en davantage sur le nouveau type de suppression SRR de Priva – fonctionnalité de droit à l’oubli  
   1. Create and manage a delete request – Document 
   2. Priva Right to Be Forgotten – YouTube 

Avancé

1. Integrate with Microsoft Graph API and Power Automate – Document  
2. 2. Maintenant que vous avez avancé votre apprentissage sur le module Demandes de droits de sujet Priva, utilisez le guide interactif ci-dessous pour une application pratique de vos nouvelles compétences et connaissances Priva. 
   1. Subject Rights Requests Interactive Guide 

Accéder à Become a Microsoft Priva Ninja - Microsoft Community Hub

Microsoft Defender for Endpoint est une solution de sécurité (EDR) puissante proposant des règles de sécurité et de détection sur étagère. Il se peut néanmoins que certains comportements génèrent des faux positifs et doivent être adaptés à la configuration spécifique d’un tenant. Je vous propose via cet article de faire un point sur les différentes options en place. On retrouve notamment :

• Les règles de suppression d’alertes permettent de cacher/résoudre automatiquement des alertes afin de gérer les détections.

• Les exclusions EDR permettent de contrôler la collection de données réalisée par MDE en offrant deux niveaux.
  1. « Low Fidelity » : MDE collecte les événements mais ne consomme pas de temps à calculer les identifiants de fichiers. Ceci engendre des événements à faible valeur qui ont une valeur d’exploitation moindre
  2. Non collecte / « Full Ignore » ignore complètement tout type d’événements (selon des règles) et ne collecte donc pas la donnée.
     Ceci est à utiliser en dernier recours puisque cela un impact sur la sécurité.

• Les indicateurs personnalisés (Custom Indicators) offrent une capacité de contrôler les mécanismes de blocage de l’Antivirus en proposant de bloquer ou autoriser (comprendre exclure) un fichier/URL/IP.

J’ai vu trop de mauvaises configurations qui ont un impact important sur la sécurité. La compréhension de ces mécanismes est essentielle afin de ne pas impacter le comportement du produit. Ainsi, il ne faut pas utiliser les exclusions EDR dans le but de ne plus détecter un faux positif. En lieu et place, vous devez utiliser les règles de suppression d’alertes et les indicateurs personnalisés.

En espérant que mes explications rendent les mécanismes plus claires, je vous recommande de suivre la procédure décrite dans cette article : Address false positives/negatives in Microsoft Defender for Endpoint | Microsoft Learn et plus globalement cet article qui revient sur la gestion des exclusions : Manage exclusions for Microsoft Defender for Endpoint and Microsoft Defender Antivirus | Microsoft Learn

J’ai rencontré un problème chez un client avec la configuration Autologon qui a été poussée sur des machines Windows 10/11 spécifiques via Microsoft Intune. Nous avons constaté que cette dernière n’était pas appliquée et que l’événement 5012 dans le journal Microsoft – Windows – Authentifcation User Interface :

Le paramètres autologon a été supprimée à cause de la stratégie EAS est définie
(vous apprécierez la traduction)
ou
The autologon setting has been removed because the EAS policy is set

C’est d’ailleurs officiellement décrit dans la documentation Microsoft via l’article : Configure Windows to automate logon - Windows Server | Microsoft Learn qui spécifie : « When Exchange Active Sync (EAS) password restrictions are active, the autologon feature does not work. This behavior is by design. This behavior is caused by a change in Windows 8.1 and does not affect Windows 8 or earlier versions. To work around this behavior in Windows 8.1 and later versions, remove the EAS policies in Control Panel.”
C’est aussi confirmé sur : Exchange ActiveSync Policy Engine Overview | Microsoft Learn

En creusant le sujet et bien qu’aucune stratégie EAS ait été déployée, on peut observer la clé de registre suivante dans HKLM\SYSTEM\CurrentControlSet\Control\EAS\Policies

Cette stratégie semblait être présente lorsque le poste était enregistré dans Microsoft Intune. Après avoir poussé les tests plus loin, nous avons isolé le poste de toutes les stratégies poussées par Intune et nous avons constaté que le problème n’apparaissait plus. Il s’avère que ce paramètre était créé lors du déploiement d’une stratégie de conformité. J’ai donc découvert que le CSP DeviceLock et notamment la stratégie de mot de passe, utilise le moteur de stratégie Exchange ActiveSync hérité. Ce CSP peut être utilisé par la stratégie de conformité, par des stratégies de configuration (de mot de passe, etc.) ou par la stratégie de conformité pour Windows.

Vous devez donc exclure ces postes où vous configurez l’Autologon de ces types de stratégies et éventuellement créer des stratégies dédiées qui ne font pas appel au CSP DeviceLock.

Il semble qu’un bug touche le CSP BitLocker de Windows dans l’une des configurations de chiffrement suivante :

• Le type de chiffrement est configuré en Full Encryption
• Le type de chiffrement est configuré en partial disk

Par exemple : Windows Components > BitLocker Drive Encryption > Operating System Drives

• Enforce drive encryption type on operating system drives: Enabled
• Select the encryption type: Full encryption

Cette configuration renvoie une erreur 65000 dans Microsoft Intune. Le poste de travail comprend le message suivant dans le journal d’évènements :

BitLocker CSP: GetDeviceEncryptionComplianceStatus indicates OSV is not compliant with returned status 0x10000.

Microsoft travail pour corriger le problème et recommande dans l’immédiat d’utiliser le rapport BitLocker Encryption en lieu et place du résultat de la stratégie.

Vous avez peut être remarqué qu’il n’est pas possible de rechercher et déployer certaines applications du Microsoft Store en utilisant Microsoft Intune. Ceci est dû au fait que ces applications comportent une restriction d’âge et sont donc filtrées par la recherche. Cela peut être aussi le cas si l’application n’est pas disponible dans votre région.

Vous pouvez par exemple le constater avec l’application Netflix ou Xbox :

Néanmoins, ces applications peuvent être recherchées et déployées en utilisant le Product ID. Pour cela, vous pouvez rechercher l’application dans le Microsoft Store via votre navigateur et récupérer l’identification dans l’URL :

Vous pouvez ensuite rentrer ce Product ID dans la recherche de l’assistant de création d’applications de Microsoft Intune :

Vous pouvez ensuite poursuivre l’assistant de déploiement pour mettre à disposition l’application.

Microsoft a annoncé il y a quelques temps la fin de support des modules PowerShell AzureRM pour le 29 février 2024. Passée cette date, il est possible que les scripts ne soient plus fonctionnels. Si vous les utilisez, les propriétaires d’abonnements/subscriptions Azure ont dû recevoir des notifications par email pour les prévenir. J’avais longtemps fait trainer la mise à jour de quelques-uns de mes scripts que j’utilise une fois par an (en moyenne) et j’ai profité de cette période calme pour me pencher sur leur migration.

J’ai découvert avec surprise que Microsoft avait travaillé le sujet en proposant une mécanique de migration qui je l’avoue est relativement robuste. Cela s’est traduit par la conservation de la philosophie des cmdlets et des paramètres associés. Sur les quelques scripts sur lesquels je l’ai utilisé, la boite à outils de migration s’est révélée très performante.

Vous devez tout d’abord installer la boite à outils via la cmdlet :

Install-Module -Name Az.Tools.Migration

Vous devez ensuite lancer la commande suivante afin d’établir et évaluer le plan de migration :

New-AzUpgradeModulePlan -FromAzureRmVersion <Version AzureRM / En général 6.13.1> -ToAzVersion latest -DirectoryPath '<Chemin vers les scripts' -OutVariable Plan

Le résultat vous montre toutes les occurrences de cmdlets d’AzureRM, les lignes concernées, le type de mise à niveau et le résultat du plan de migration avec le remplacement associé. Dès lors que vous observez ReadyToUpgrade sur le résultat, vous pouvez être serein sur la mise à niveau.

Vous pouvez aussi utiliser la commande suivante si votre script comprend un très grand nombre d’occurrences de cmdlets, paramètres, etc. pour identifier celles et ceux qui pourraient poser problème :

$Plan | Where-Object PlanResult -ne ReadyToUpgrade | Format-List

L’étape suivante revient à lancer la dynamique de migration en utilisant la commande suivante et en observant le résultat de la migration :

Invoke-AzUpgradeModulePlan -Plan $Plan -FileEditMode SaveChangesToNewFiles -OutVariable Results

Vous pouvez aussi utiliser la commande suivante si votre script comprend un très grand nombre d’occurrences de cmdlets, paramètres, etc. pour identifier celles et ceux qui n’ont pas pu être migrés :

$Results | Where-Object UpgradeResult -ne UpgradeCompleted | Format-List

Une fois la migration terminée, vous pouvez ouvrir le script pour observer les changements et tenter d’exécuter le script pour valider son fonctionnement.

Plus d’informations sur : Automatically migrate PowerShell scripts from AzureRM to the Az PowerShell module | Microsoft Learn

Je profite de cette fin d’année pour faire un rappel qui a pu passer à la trappe pour pas mal de personnes à la vue des discussions que j’ai avec certains clients. En 2022, Microsoft a décidé de retirer la vérification de l‘édition pour l’utilisation d’AppLocker dans Windows. Il n’est ainsi plus nécessaire d’avoir l’édition Windows Enterprise pour bénéficier de cette fonctionnalité. Vous pouvez donc appliquer des stratégies quelle que soit l’édition. Le changement a notamment été proposé afin de pouvoir déployer des stratégies Managed Installer pour Windows Defender Application Control. Pour rappel, AppLocker est un mécanisme de sécurité permettant d’utiliser le principe de liste blanche/liste noire afin de restreindre l’exécution des applications sur le système d’exploitation.

Ce changement a été appliqué à Windows 10 2004, 20H2, 21H1 et Windows 11 21H1/22H2 avec des mises à jour cumulatives publiées en octobre et novembre 2022. Les versions plus récentes de Windows 10 et Windows 11 intègrent ce changement par défaut dans le système d’exploitation

Plus d’informaitons : KB5024351—Removal of Windows edition checks for AppLocker - Microsoft Support

Microsoft vient de publier une mise à jour (2.3.2.0) à Microsoft Entra Connect. Microsoft Entra Connect est anciennement Azure Active Directory Connect - AADC, DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière mise à jour (2.3.2.0) apporte les éléments suivants :

• La mise à l'échelle de l'application avec le paramètre de taille de police de Windows Accessibility a été ajoutée.
• La fonction Group Writeback V2 ne peut plus être activée car elle est en cours de décommissionnement.
• Les pilotes SQL fournis avec Microsoft Entra Connect ont été mis à jour. ODBC vers 17.10.5, OLE DB vers 18.6.7.
• Microsoft Entra Connect Health livré avec Microsoft Entra Connect a été mis à jour vers 4.5.2428.0.
• Correction d'un bug DSSO pour Azure en Chine

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Azure Active Directory Connect

Courant 2023, Microsoft annonçait de nouvelles solutions au travers d’un nouveau bundle de licences appelé Microsoft Intune Suite. On retrouvait notamment : Remote Help, Tunnel for Mobile App Management, Endpoint Privilege Management (EPM), etc. Aujourd’hui, on connait les dates de mises à disposition des autres solutions annoncées à cette occasion :

• Microsoft Intune Advanced Analytics est annoncé pour le 1^er février 2024. Advanced Analytics est une extension à Endpoint Analytics afin d’offrir des fonctionnalités parmi les suivantes :
  • Etendues/Scopes d’appareils personnalisées : Elles vous permettent d’utiliser des balises d’étendues pour découper les rapports d’Endpoint analytics en sous-ensembles de périphériques. Vous pouvez voir des scores, des informations et des recommandations spécifiques à des sous-ensembles de vos périphériques enregistrés.
  • Détection d’anomalies permet de surveiller la santé des périphériques de l’organisation pour les régressions de l’expérience utilisateur et de la productivité suite à des modifications de configuration.
  • Chronologie améliorée des périphériques comprend plus d’événements et une latence de données plus faible pour aider à résoudre les problèmes d’appareils
• Microsoft Intune Enterprise Application Management est annoncé pour le 1^er février 2024 afin de simplifier la gestion du cycle de vie des applications en offrant un catalogue prépackagé et sécurisé d’applications. Il permet notamment :
  • La gestion simplifiée des applications permettant aux équipes informatiques et de sécurité de réduire le temps et les efforts consacrés au packaging des applications et au suivi des mises à jour.
  • Le catalogue d’applications offrant un accès facile à un catalogue complet d’applications Microsoft et tierces, complété par des packs de langues disponibles et des architectures.
  • La mise à jour des applications rationalise et consolide le processus de mise à jour des applications en fournissant une vue complète de toutes les applications qui ont besoin d’une mise à jour à partir d’un seul écran facile à utiliser.
  • La solution permet aux équipes informatiques de déployer efficacement des correctifs pour les applications vulnérables et de s’assurer que toutes les applications sont maintenues à jour à partir du centre d’administration Intune.
• Microsoft Cloud PKI est attendue pour la mise à jour de février 2024 qui devrait être prévue autour du 26 février 2024. Cette dernière va offrir une PKI basée sur le cloud qui gère tous les aspects du cycle de vie des certificats pour les périphériques gérés par Intune. Voici quelques-unes de ses principales caractéristiques :
  • Simplicité de configuration et de gestion : Elle répond aux normes de l’industrie PKI et est simple à configurer et à gérer.
  • Aucun serveur sur site à déployer ou à gérer : Il n’y a pas de connecteurs de certificats, de pare-feu ou de proxies.
  • Gestion complète du cycle de vie des certificats : Elle peut effectuer des renouvellements automatiques lorsque les expirations approchent et expirer les certificats qui ne sont plus utilisés.
  • Révocation des certificats : Vous pouvez révoquer les certificats lorsque les périphériques sont effacés, supprimés ou retirés d’Intune.
  • Vue unique à partir du cloud : Cloud PKI fournit une vue unique à partir du cloud pour les autorités de certification, les autorités d’enregistrement, les listes de distribution de révocation, la surveillance et les rapports.

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview de l’intégration de Defender for Cloud à Microsoft 365 Defender. Voici quelques-uns des principaux avantages :
  • Une interface facile à utiliser pour les équipes SOC : Avec les alertes et les corrélations cloud de Defender for Cloud intégrées à M365D, les équipes SOC peuvent désormais accéder à toutes les informations de sécurité à partir d'une interface unique, ce qui améliore considérablement l'efficacité opérationnelle.
  • Une seule histoire d'attaque : Les clients sont en mesure de comprendre l'histoire complète de l'attaque, y compris leur environnement cloud, en utilisant des corrélations prédéfinies qui combinent les alertes de sécurité provenant de sources multiples.
  • Nouvelles entités cloud dans Microsoft Defender XDR : Microsoft Defender XDR prend désormais en charge de nouvelles entités cloud propres à Microsoft Defender for Cloud, telles que les ressources cloud. Les clients peuvent faire correspondre des entités de machines virtuelles (VM) à des entités d'appareils, ce qui permet d'obtenir une vue unifiée de toutes les informations pertinentes sur une machine, y compris les alertes et les incidents qui ont été déclenchés sur cette machine.
  • API unifiée pour les produits de sécurité Microsoft : Les clients peuvent désormais exporter leurs données d'alertes de sécurité vers les systèmes de leur choix à l'aide d'une API unique, car les alertes et les incidents de Microsoft Defender for Cloud font désormais partie de l'API publique de Microsoft Defender XDR.
• Disponibilité générale de l'analyse sans agent des secrets dans Defender for Servers P2 et Defender CSPM. L'analyse des secrets sans agent renforce la sécurité des machines virtuelles basées sur le cloud en identifiant les secrets en clair sur les disques des machines virtuelles. L'analyse des secrets sans agent fournit des informations complètes permettant de hiérarchiser les découvertes et d'atténuer les risques de mouvements latéraux avant qu'ils ne se produisent. Cette approche proactive empêche les accès non autorisés et garantit la sécurité de votre environnement en nuage. L'analyse secrète sans agent utilise les API du cloud pour capturer des instantanés de vos disques, en effectuant une analyse hors bande qui garantit qu'il n'y a pas d'effet sur les performances de votre VM. L'analyse secrète sans agent élargit la couverture offerte par Defender for Cloud aux ressources Cloud dans les environnements Azure, AWS et GCP afin d'améliorer la sécurité Cloud.
• Disponibilité générale de Containers Vulnerability Assessment par Microsoft Defender Vulnerability Management (MDVM) dans Defender for Containers et Defender for Container Registries.
• Disponibilité Générale du support de Google Cloud Platform dans Defender CSPM proposant notamment :
  • Analyse du chemin d'attaque - Comprendre les itinéraires potentiels que les attaquants pourraient emprunter.
  • Explorateur de sécurité dans le nuage - Identifiez de manière proactive les risques de sécurité en exécutant des requêtes basées sur le graphe de sécurité.
  • Analyse sans agent - Analysez les serveurs et identifiez les secrets et les vulnérabilités sans installer d'agent.
  • Posture de sécurité consciente des données - Découvrez et corrigez les risques pour les données sensibles dans les buckets de Google Cloud Storage.

• Disponibilité Générale du tableau de bord Data Security dans le plan Defender CSPM. Le tableau de bord de la sécurité des données vous permet de visualiser le patrimoine de données de votre organisation, les risques pour les données sensibles et les informations sur vos ressources de données.

• La découverte de données sensibles pour les bases de données géréesv, y compris les bases de données Azure SQL et les instances AWS RDS (toutes les saveurs RDBMS), est désormais disponible de manière générale et permet la découverte automatique des bases de données critiques qui contiennent des données sensibles.
• Microsoft propose désormais les solutions Cloud-Native Application Protection Platforms (CNAPP) et Cloud Infrastructure Entitlement Management (CIEM) avec Microsoft Defender for Cloud (CNAPP) et Microsoft Entra Permissions Management (CIEM). Les administrateurs de sécurité peuvent obtenir une vue centralisée de leurs autorisations d'accès inutilisées ou excessives dans Defender for Cloud.
• ServiceNow est désormais intégré à Microsoft Defender for Cloud, ce qui permet aux clients de connecter ServiceNow à leur environnement Defender for Cloud afin de prioriser la remédiation des recommandations qui affectent votre entreprise. Microsoft Defender for Cloud s'intègre au module ITSM (gestion des incidents). Dans le cadre de cette connexion, les clients peuvent créer et consulter des tickets ServiceNow (liés à des recommandations) à partir de Microsoft Defender for Cloud.
• En préparation de la dépréciation de Microsoft Monitoring Agent (MMA) en août 2024, Defender for Cloud a publié un processus d'autoprovisionnement d'Azure Monitoring Agent (AMA) ciblant SQL Server. Le nouveau processus est automatiquement activé et configuré pour tous les nouveaux clients, et offre également la possibilité d'activer le niveau de ressources pour les VM Azure SQL et les serveurs SQL compatibles avec Arc.
• Disponibilité générale de Defender for APIs permettant aux entreprises de protéger leurs API et leurs données contre les acteurs malveillants. Les entreprises peuvent étudier et améliorer leur position en matière de sécurité des API, donner la priorité aux corrections de vulnérabilités et détecter et répondre rapidement aux menaces actives en temps réel. Les entreprises peuvent également intégrer les alertes de sécurité directement dans leur plateforme de gestion des incidents et des événements de sécurité (SIEM), par exemple Microsoft Sentinel, afin d'étudier et de trier les problèmes.
• Les recommandations suivantes concernant l'évaluation de la vulnérabilité des conteneurs ont été renommées :
  • Container registry images should have vulnerability findings resolved (powered by Qualys)      en Azure registry container images should have vulnerabilities resolved (powered by Qualys)
  • Running container images should have vulnerability findings resolved (powered by Qualys)      en Azure running container images should have vulnerabilities resolved - (powered by Qualys)
  • Elastic container registry images should have vulnerability findings resolved en AWS registry container images should have vulnerabilities resolved - (powered by Trivy)

• Vous pouvez désormais classer vos recommandations de sécurité par ordre de priorité en fonction du niveau de risque qu'elles présentent, en tenant compte à la fois de l'exploitabilité et de l'effet commercial potentiel de chaque problème de sécurité sous-jacent.

• Microsoft apporte des améliorations aux capacités d'analyse du chemin d'attaque dans Defender for Cloud.
  • Nouveau moteur - l'analyse des chemins d'attaque dispose d'un nouveau moteur, qui utilise un algorithme de recherche de chemins pour détecter tous les chemins d'attaque possibles qui existent dans votre environnement cloud (sur la base des données que nous avons dans notre graphe). Nous pouvons trouver beaucoup plus de chemins d'attaque dans votre environnement et détecter des schémas d'attaque plus complexes et sophistiqués que les attaquants peuvent utiliser pour pénétrer dans votre organisation.
  • Améliorations - Les améliorations suivantes ont été apportées :
    • Hiérarchisation des risques - liste des pistes d'attaque classées par ordre de priorité en fonction du risque (exploitabilité et impact sur l'activité).
    • Remédiation améliorée - mise en évidence des recommandations spécifiques qui doivent être résolues pour briser la chaîne.
    • Chemins d'attaque inter-cloud - détection des chemins d'attaque inter-clouds (chemins qui commencent dans un cloud et se terminent dans un autre).
    • MITRE - Mise en correspondance de tous les chemins d'attaque avec le cadre MITRE.
    • Une expérience utilisateur renouvelée - une expérience renouvelée avec des capacités renforcées : filtres avancés, recherche et regroupement des chemins d'attaque pour permettre un triage plus facile.

• Le schéma de la table Azure Resource Graph (ARG) du chemin d'attaque est mis à jour. La propriété attackPathType est supprimée et d'autres propriétés sont ajoutées.

• Nouvelle version de la recommandation pour trouver les mises à jour manquantes du système est en disponibilité générale.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Azure Active Directory, Permissions Management, etc.) en novembre 2023.

Microsoft apporte les nouveautés suivantes :

Microsoft Entra ID (Azure Active Directory)

• 10 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Citrix Cloud, Freight Audit, Movement by project44, Alohi, AMCS Fleet Maintenance, Real Links Campaign App, Propely, Contentstack, Jasper AI, IANS Client Portal, Avionic Interface Technologies LSMA, CultureHQ, Hone, Collector Systems, NetSfere, Spendwise, Stage and Screen
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Colloquial
  • Diffchecker
  • M-Files
  • XM Fax and XM SendSecure
  • Rootly
  • Simple In/Out
  • Team Today
  • YardiOne
• Disponibilité générale - Déploiement automatique des politiques d'accès conditionnel. À partir de novembre 2023, Microsoft a commencé à protéger automatiquement les clients avec des stratégie d'accès conditionnel gérées par Microsoft. Il s'agit de stratégies que Microsoft crée et active dans les tenants des clients. Les politiques suivantes sont déployées pour tous les tenants éligibles, qui seront notifiés avant la création de la stratégie :
  • Multi-factor Authentication for admin portals : Cette stratégie couvre les rôles d'administrateurs privilégiés et exige une authentification à plusieurs facteurs lorsqu'un administrateur se connecte à un portail d'administration Microsoft.
  • Multi-factor Authentication for per-user multi-factor authentication users: Cette stratégie couvre les utilisateurs avec l'authentification multi-facteurs par utilisateur et exige l'authentification multi-facteurs pour toutes les applications en nuage.
  • Multi-factor authentication for high-risk sign-ins : Cette stratégie couvre tous les utilisateurs et exige l'authentification multifactorielle et la réauthentification pour les connexions à haut risque.

• Disponibilité générale des attributs de sécurité personnalisés dans Microsoft Entra ID qui sont des attributs spécifiques à l'entreprise (paires clé-valeur) que vous pouvez définir et attribuer aux objets Microsoft Entra. Ces attributs peuvent être utilisés pour stocker des informations, catégoriser des objets ou appliquer un contrôle d'accès précis sur des ressources Azure spécifiques. Les attributs de sécurité personnalisés peuvent être utilisés avec le contrôle d'accès Azure basé sur les attributs (Azure ABAC).
• Disponibilité générale - Microsoft Entra Cloud Sync prend désormais en charge la possibilité d'activer la configuration Exchange Hybrid pour les clients Exchange. Avec cette capacité, les clients existants qui ont cette fonctionnalité activée dans Microsoft Entra Connect sync peuvent maintenant migrer et appliquer cette fonctionnalité avec Microsoft Entra cloud sync.
• Preview de la propriété lastSuccessfulSignIn dans l'API signInActivity pour afficher la dernière heure de connexion réussie pour un utilisateur spécifique, que la connexion ait été interactive ou non. Les données ne seront pas rajoutées pour cette propriété, de sorte que vous ne recevrez que les données relatives aux ouvertures de session réussies à partir du 8 décembre 2023.
• Disponibilité générale de la conformité de Microsoft Authenticator sur Android à la norme FIPS 140-3 avec la version 6.2310.7174.

Microsoft Entra Identity Governance

• Disponibilité générale - Gouvernance des invités : Aperçus des invités inactifs permettant de superviser les comptes invités à grande échelle grâce à des informations intelligentes sur les utilisateurs invités inactifs au sein de l’entreprise. Vous pouvez personnaliser le seuil d'inactivité en fonction des besoins de l’entreprise, réduisez la portée des utilisateurs invités que vous souhaitez surveiller et identifiez les utilisateurs invités qui pourraient être inactifs.

Microsoft Entra Verified ID

• L'API du service des requêtes prend désormais en charge les contraintes de revendications (Claims) lors des demandes de présentation. Les contraintes de revendications (claims) peuvent être utilisées pour spécifier des contraintes sur le justificatif d'identité vérifié que le vérificateur demande de présenter. Les contraintes disponibles sont : direct match, contains et startsWith.

Modifications de service

• La Public Preview de Group Writeback V2 (GWB) dans Entra Connect Sync ne sera plus disponible après le 30 juin 2024. Après cette date, Connect Sync ne prendra plus en charge le provisionnement des groupes de sécurité cloud dans Active Directory. Une autre fonctionnalité similaire est offerte dans Entra Cloud Sync appelée "Group Provision to AD" qui peut être utilisée à la place de GWB V2 pour provisionner les groupes de sécurité cloud vers AD. Des fonctionnalités améliorées dans Cloud Sync, ainsi que d'autres nouvelles fonctionnalités, sont en cours de développement. Vous pouvez planifier le changement via ce lien. Les clients qui provisionnent des groupes Microsoft 365 dans l’AD peuvent continuer à utiliser GWB V1 pour cette capacité. Les clients peuvent évaluer la possibilité de passer exclusivement à Cloud Sync en utilisant cet assistant : https://aka.ms/EvaluateSyncOptions

Plus d’informations sur : What’s new Azure AD et What's new for Microsoft Entra Verified ID 

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [iOS/iPadOS] Disponibilité Générale de l’enregistrement des périphériques iOS/iPadOS dans un mode de périphérique partagé. Le mode périphérique partagé est une fonction de Microsoft Entra qui permet aux employés de terrain de partager un seul périphérique tout au long de la journée, en se connectant et en se déconnectant selon les besoins.

Gestion du périphérique

• [Général] Preview de différentes améliorations pour l’expérience des périphériques dans le centre d’administration avec notamment :
  • Points d'entrée supplémentaires pour les options spécifiques à la plate-forme : Accéder aux pages de la plate-forme à partir du menu de navigation Périphériques.
  • Accès rapide aux rapports de suivi : Sélectionnez les titres des cartes de mesure pour accéder au rapport de suivi correspondant.
  • Menu de navigation amélioré : Microsoft a ajouté des icônes pour donner plus de couleur et de contexte à la navigation.
• [Windows] Le nouveau paramètre des stratégies de mise à jour des fonctionnalités permet à une entreprise de déployer Windows 11 sur les appareils éligibles à la mise à niveau, tout en s'assurant que les appareils non éligibles à la mise à niveau bénéficient de la dernière mise à jour des fonctionnalités de Windows 10 à l'aide d'une seule stratégie. Par conséquent, les administrateurs n'ont pas besoin de créer ou de gérer des groupes d'appareils éligibles et non éligibles.

Configuration du périphérique

• [Windows] Les paramètres de gestion de Windows Subsystem for Linux sont désormais disponibles dans le catalogue des paramètres Windows. Ces paramètres permettent l'intégration d'Intune avec WSL afin que les administrateurs puissent gérer les déploiements de WSL et de contrôles dans les instances Linux elles-mêmes. Pour trouver ces paramètres, dans le centre d'administration Microsoft Intune, allez dans Devices > Configuration profiles > Create > New Policy > Windows 10 and later pour la plateforme > Settings catalog pour le type de profil. Parmi les paramétrages, on retrouve :
  • Allow kernel debugging
  • Allow custom networking configuration
  • Allow custom system distribution configuration
  • Allow kernel command line configuration
  • Allow custom kernel configuration
  • Allow WSL1
  • Allow the Windows Subsystem for Linux
  • Allow the Inbox version of the Windows Subsystem For Linux
  • Allow user setting firewall configuration
  • Allow nested virtualization
  • Allow passthrough disk mount
  • Allow the debug shell
• [iOS/iPadOS] Nouveaux paramètres dans le catalogue de paramétrages Apple incluant :
  • Managed Settings : Data roaming, Personal hotspot, Voice roaming, Diagnostic submission
  • Microsoft Defender > Antivirus engine : Enable passive mode, Enable real-time protection, Enforcement level.

Gestion des applications

• [Général] De nouvelles applications supportant les stratégies de protection applicatives :
  • Hey DAN for Intune by Civicom, Inc.
  • Microsoft Azure by Microsoft Corporation (iOS)
  • KeePassium for Intune by KeePassium Labs (iOS)
• [Général] Grâce au SDK Intune APP pour .NET MAUI, vous pouvez développer des applications Android ou iOS pour Intune qui intègrent l'interface multiplateforme .NET App UI. Les applications développées à l'aide de ce cadre vous permettront d'appliquer la gestion des applications mobiles Intune.
• [iOS/iPadOS] Les utilisateurs doivent mettre à jour la version 5.2311.1 du portail d'entreprise iOS. Si vous avez activé le paramètre "Block installing apps using App Store ", vous devrez probablement envoyer une mise à jour aux périphériques concernés qui utilisent ce paramètre. Dans le cas contraire, aucune action n'est nécessaire.
• [Android] L'application Intune Company Portal pour Android et l'application Microsoft Intune pour Android AOSP affichent désormais un statut de délai de grâce pour les appareils qui ne répondent pas aux exigences de conformité mais qui sont encore dans leur délai de grâce. Les utilisateurs peuvent voir la date à laquelle les appareils doivent être conformes, ainsi que les instructions pour le devenir. Si les utilisateurs ne mettent pas leur appareil à jour avant la date donnée, l'appareil est marqué comme non conforme.
• [Android] Vous pouvez configurer la mise en cache hors ligne dans Microsoft 365 (Office) pour les appareils Android. Lorsque le paramètre Save As to Local Storage est défini sur blocked dans une stratégie de protection des applications, vous pouvez utiliser une clé de configuration dans une stratégie de configuration des applications pour activer ou désactiver la mise en cache hors ligne. Ce paramètre s'applique uniquement à l'application Microsoft 365 (Office) sur Android.
• [Android] Microsoft Managed Home Screen (MHS) a été mis à jour (Preview) pour améliorer les flux de travail de base et l'expérience utilisateur. Outre quelques modifications de l'interface utilisateur, une nouvelle barre de navigation supérieure permet aux administrateurs de configurer les attributs d'identification des appareils à afficher. En outre, les utilisateurs peuvent accéder aux paramètres, se connecter/déconnecter et voir les notifications lorsque des autorisations sont demandées sur la barre supérieure. Vous pouvez ajouter des paramètres supplémentaires pour configurer l'application Managed Home Screen pour Android Enterprise. Intune prend désormais en charge les paramètres suivants dans votre politique de configuration de l'application Android Enterprise : Enable updated user experience, Top Bar Primary Element, Top Bar Secondary Element, Top Bar User Name Style.
• [Windows] Sur un périphérique où une application Win32 avec des paramètres de délai de grâce a été déployée, les utilisateurs à faibles droits avec des privilèges non-administratifs peuvent maintenant interagir avec l'interface utilisateur du délai de grâce. Les administrateurs présents sur l'appareil continueront à pouvoir interagir avec l'interface utilisateur du délai de grâce sur l'appareil.

Sécurité du périphérique

• [Général] Disponibilité générale de la gestion des paramétrages de sécurité de Microsoft Defender for Endpoint et support de Linux et macOS. Ceci inclut pour Linux et MacOS : Microsoft Defender Antivirus, Microsoft Defender Antivirus exclusions, Endpoint detection and response.
• [Général] Microsoft a publié une nouvelle version 2306 de la ligne de base de sécurité (baseline) Intune pour Microsoft 365 Apps for Enterprise. Elle peut vous aider à déployer rapidement des configurations pour vos Office Apps qui répondent aux recommandations de sécurité des équipes Office et sécurité de Microsoft. Comme pour toutes les lignes de base, la ligne de base par défaut représente les configurations recommandées. Vous pouvez modifier la ligne de base par défaut pour répondre aux exigences de votre organisation.
• [Général] Microsoft a supprimé deux paramètres qui se trouvent dans la catégorie Antivirus engine des profils Microsoft Defender Antivirus de macOS et Linux. Ces profils sont disponibles dans le cadre des stratégies antivirus. Pour chaque plateforme, les deux paramètres obsolètes sont remplacés par un nouveau paramètre unique qui s'aligne sur la façon dont les configurations des périphériques sont gérées par Microsoft Defender for Endpoint. Les deux paramètres obsolètes sont les suivants :
  • Enable real-time protection apparaît désormais comme Enable real-time protection (deprecated)
  • Enable passive mode apparaît désormais comme Enable passive mode (deprecated)

Le nouveau paramètre (Enforcement level) qui remplace les deux paramètres obsolètes. Par défaut, le niveau d'application est défini sur Passif et prend en charge les options Temps réel et À la demande.

• [Windows] Microsoft a publié un nouveau profil nommé Windows Hyper-V Firewall pour gérer les paramètres et les règles de pare-feu qui s'appliquent à des conteneurs Hyper-V spécifiques sur Windows, y compris des applications telles que WSL et Windows Subsystem for Android (WSA).
• [Windows] Pour s'aligner sur les changements de nom du pare-feu dans Windows, Microsoft a mis à jour les noms des profils Intune pour les stratégies de pare-feu. Dans les profils dont le nom contient Microsoft Defender Firewall, Microsoft le remplace par Windows Firewall.

• [Linux] Nous avons étendu le support de Linux en ajoutant les paramètres suivants au modèle Microsoft Defender Antivirus pour les appareils Linux :
  • cloudblocklevel
  • scanarhives
  • scanafterdefinitionupdate
  • maximumondemandscanthreads
  • behaviormonitoring
  • enablefilehashcomputation
  • networkprotection
  • enforcementlevel
  • nonexecmountpolicy
  • unmonitoredfilesystems

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Defender for Cloud Apps prévoit de changer son certificat d'application. Si vous avez explicitement fait confiance à l'ancien certificat et que les agents SIEM fonctionnent sur des versions plus récentes du kit de développement Java (JDK), vous devez faire confiance au nouveau certificat pour garantir la continuité du service de l'agent SIEM. Bien qu'il soit probable qu'aucune action ne soit nécessaire, Microsoft recommande d'exécuter des commandes
• Support de l’intégration de Cloud Security Posture Management de Microsoft Defender for Cloud. MDC permet notamment de valider la posture de sécurité Cloud pour les environnements Azure, AWS et Google Cloud Platform (GCP) à Microsoft Defender for Cloud pour bénéficier des dernières fonctionnalités du CSPM.
• Preview d’une fonctionnalité permettant tester les impacts et changements du proxy avant que la dernière version de Defender for Cloud Apps ne soit entièrement déployée à tous les tenant. Ce mode de test, disponible à partir de la barre d'outils Admin View permet d’être exposés aux changements apportés dans les corrections de bogues. Il n'y a pas d'effet sur les autres utilisateurs.
• Une nouvelle catégorie (Generative AI) est présente dans le catalogue d’applications cloud. Ceci permet de mieux identifier les applications et les usages de vos utilisateurs. Vous pouvez ensuite utiliser la fonctionnalité de blocage de l’application si vous voulez empêcher l’utilisateur d’utiliser une application cloud spécifique.
• Defender for Cloud Apps peut désormais découvrir les événements réseau Shadow IT détectés par les périphérique Defender for Endpoint qui fonctionnent dans le même environnement qu'un proxy réseau.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Cela a été longtemps un reproche aux certifications que nous connaissons, Microsoft a pour cela intégré des labs dans les certifications mais le temps limité pour les exécuter et les contraintes liées à la mise à jour des examens, ont toujours limité le résultat. Aujourd’hui, Microsoft propose Microsoft Applied Skills à partir du portail Microsoft Learn pour démontrer des capacités à dérouler un scénario dans les solutions Microsoft.
Vous pouvez les réaliser depuis votre ordinateur dans un contexte moins contraignant que les certifications en ligne.

A date, on retrouve les examens suivants :

• Secure storage for Azure Files and Azure Blob Storage
• Configure secure access to your workloads using Azure networking
• Deploy and configure Azure Monitor
• Deploy containers by using Azure Kubernetes Service
• Develop an ASP.NET Core web app that consumes an API
• Secure Azure services and workloads with Microsoft Defender for Cloud regulatory compliance controls
• Configure SIEM security operations using Microsoft Sentinel
• Create and manage automated processes by using Power Automate

Source : Announcing Microsoft Applied Skills, the new credentials to verify in-demand technical skills - Microsoft Community Hub

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• Microsoft Defender Experts for Hunting vous permet désormais de générer des exemples de notifications Defender Experts afin que vous puissiez commencer à bénéficier du service sans avoir à attendre qu'une activité critique se produise dans votre environnement.
• (Preview) Les alertes de Microsoft Defender for Cloud sont maintenant intégrées dans Microsoft Defender XDR. Les alertes de Defender for Cloud sont automatiquement corrélées aux incidents et aux alertes du portail Microsoft Defender et les ressources cloud peuvent être visualisées dans les files d'attente des incidents et des alertes.
• (Preview) Microsoft Defender XDR dispose désormais d'une technologie de déception intégrée pour protéger votre environnement contre les attaques à fort impact qui utilisent des mouvements latéraux opérés par l'homme.
• Microsoft Defender Experts for XDR vous permet désormais d'effectuer votre propre évaluation de l'état de préparation lorsque vous préparez l'environnement pour le service Defender Experts for XDR.

Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

• Le service Microsoft Defender Core est désormais disponible pour les particuliers et devrait commencer à être déployé pour les entreprises début 2024. Ceci requiert le déploiement de la version 4.18.23110.2009 ou plus de la plateforme Microsoft Defender Antivirus. En outre, les entreprises doivent vérifier les 3 URLs du service core. Si vous utilisez un EDR ou MD Application Control, il y a un processus spécifique à autoriser.
• Le plug-in Microsoft Defender for Endpoint pour Windows Subsystem for Linux (WSL) est désormais disponible en Public Preview. Celui-ci vous permet de protéger les environnements WSL sur les machines Windows. Vous devez pour cela utiliser wsl 2.0.7. L’hôte doit être onboardé dans MDE et exécuter Windows 10 2004+ ou Windows 11. Enfin, vous devez installer le plugin avec le fichier MSI mis à disposition dans le portail Microsoft Defender.
• La prise en charge des scénarios de licences mixtes est désormais disponible dans Defender for Endpoint.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

C’était une demande depuis plusieurs mois, Microsoft vient d’ajouter le service Windows Autopatch aux licences Microsoft 365 F3. Cela signifie que vous pouvez enregistrer les périphériques de ces utilisateurs et obtenir l’ensemble de la puissance offerte par ce service. Ceci fait aussi suite à l’annonce de la fusion de Windows Update for Business avec Windows Autopatch pour que les deux solutions n’en forment plus qu’une.

Pour rappel, voici quelques liens importants :

• Prerequisites - Windows Deployment | Microsoft Learn
• Windows Autopatch - Frequently Asked Questions (FAQ) - Windows Deployment | Microsoft Learn
• Windows Autopatch - Frequently Asked Questions (FAQ) - Windows Deployment | Microsoft Learn

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Provisionnement de périphériques

• Disponibilité Générale du Single Sign-Out pour permettre les scénarios suivants :
  • Connexion unique pour les PC Cloud Microsoft Entra et Microsoft Entra hybrides.
  • Vous pouvez activer la connexion unique séparément pour chaque stratégie de provisionnement afin de l'appliquer aux nouveaux Cloud PCs.
  • Vous pouvez appliquer l'authentification unique aux Cloud PCs existants.
  • Une nouvelle vérification de la connexion au réseau Azure pour les stratégies de provisionnement de Microsoft Entra hybrid joined afin de s'assurer que le domaine est correctement configuré pour l'authentification unique.
• Trois nouvelles offres de GPU sont désormais disponibles pour les PCs Cloud Windows 365 Enterprise.

Gestion des périphériques

• Windows 365 Boot est désormais disponible pour Windows 365 Government.

Expérience Utilisateur

• Windows 365 Switch est désormais disponible pour Windows 365 Government.
• Public Preview de l’application Windows permettant de se connecter de manière sécuriser à des périphériques ou des applications Windows pour les scénarios suivants :
  • Azure Virtual Desktop
  • Windows 365 Cloud PC
  • Microsoft Dev Box
  • Remote Desktop Services
  • Remote PC.
• Le menu de l'icône de l'engrenage du client Web a été mis à jour.
• La nouvelle application Microsoft Teams est passée de la Preview à la disponibilité générale. Elle a été optimisée pour des performances plus rapides et une utilisation plus efficace des ressources sur les Cloud PCs. La nouvelle application Microsoft Teams n'est pas encore disponible dans la galerie d'images de Windows 365.

Sécurité du périphérique

• Vous pouvez désormais mettre en place une protection contre les captures d'écran pour vos Cloud PCs en utilisant le catalogue de paramètres. Avec le filigrane, la capture d'écran est un moyen de dissuasion contre les fuites et les pertes de données.
• Vous pouvez désormais mettre en place un filigrane (Watermarking) pour vos Cloud PCs en utilisant le catalogue de paramètres (Setting Catalog). Outre la capture d'écran, le filigrane est un moyen de dissuasion contre les fuites et les pertes de données.
• Preview du support de Customer Lockbox pour Windows 365 Enterprise et Frontline.

Supervision et Dépannage

• Un nouveau rapport est désormais disponible pour vous permettre de savoir quelles actions ont été effectuées avec succès sur les Cloud PCs. Pour les actions qui ont échoué, les raisons possibles sont également indiquées.
• Un nouveau filtre est disponible dans le rapport Connected Frontline Cloud PCs. Ce nouveau filtre affiche des données horaires pour différentes périodes de données.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview de l’extension des données au-delà de 30 jours pour la timeline (Chronologie) Identity. L'onglet Chronologie de la page des détails de l'identité, qui comprend les activités de Defender for Identity, Microsoft Defender for Cloud Apps et Microsoft Defender for Endpoint, comprend actuellement un minimum de 150 jours et est en augmentation. Les taux de rétention des données pourraient varier au cours des prochaines semaines. Pour afficher les activités et les alertes sur la chronologie des identités dans un laps de temps spécifique, sélectionnez la valeur par défaut de 30 jours, puis sélectionnez Plage personnalisée. Les données filtrées datant de plus de 30 jours sont affichées pendant un maximum de 7 jours à la fois.
• Les versions 2.218, 2.219, et 2.220 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Mark Stanfill (Senior Support Escalation Engineer – Microsoft) a publié un script sur GitHub pour rassembler les journaux et les informations système à partir d’un périphérique MacOS gérés par Microsoft Intune.

Vous pouvez lancer le script en exécutant :

curl -L https://aka.ms/IntuneMacODC -o IntuneMacODC.sh
chmod u+x ./IntuneMacODC.sh
sudo ./IntuneMacODC.sh

Vous pouvez aussi la fonction de script de Microsoft Intune pour exécuter ce script sur les macs choisis.
Les journaux sont ensuite présents dans un sous dossier ODC.

Accéder à son GitHub

Lors d’un dépannage chez un client, j’ai fait face à un problème lié au non-support de Windows ADK en version 10.1.22000 correspondant à la version Windows 11 21H2 avec Microsoft Configuration Manager.

La séquence de tâche échoue sur l’étape Pre-provision BitLocker et redémarre donc la machine. L’erreur suivante est remontée :

==============================[ OSDOfflineBitlocker.exe ]==============================
Running module version 5.0.9106.1000 from location 'X:\sms\bin\x64\OSDOfflineBitlocker.exe'
Command line: "OSDOfflineBitlocker.exe" /enable /disk:0 /part:4 /ignoretpm:True /full:False /crypt:0
Initialized COM OSDOfflineBitLocker 11/29/2023 8:06:42 AM 2612 (0x0A34)
Command line for extension .exe is "%1" %*
Set command line: "OSDOfflineBitlocker.exe" /enable /disk:0 /part:4 /ignoretpm:True /full:False /crypt:0
User instructed to use default value of encryption method provided by OS
Initializing TPM...
Tpm is enabled
Tpm is activated
'TakeOwnership' failed (2147942402)
pTpm->TakeOwnership(sOwnerAuth), HRESULT=80070002
Failed to take ownership of TPM. Ensure that Active Directory permissions are properly configured
The system cannot find the file specified. (Error: 80070002; Source: Windows)
Process completed with exit code 2147942402
Failed to run the action: Pre-provision BitLocker. Error -2147024894

Pour corriger le problème, vous pouvez ajouter une étape Run Command Line à la séquence de tâches juste avant l’étape Pre-Provision BitLocker incluant la commande :

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\TPM /v OSManagedAuthLevel /t REG_DWORD /d 2 /f

Source : Support for the Windows ADK - Configuration Manager | Microsoft Learn

Lors d’un dépannage chez un client, j’ai fait face à un problème lié au non-support de Windows ADK en version 10.0.25398 correspondant à la version Windows 11 23H2 avec Microsoft Configuration Manager 2309.

La séquence de tâche échoue sur l’étape Pre-provision BitLocker et redémarre donc la machine. L’erreur suivante est remontée :

==============================[ OSDOfflineBitlocker.exe ]==============================

Running module version 5.0.9106.1000 from location 'X:\sms\bin\x64\OSDOfflineBitlocker.exe'

Command line: "OSDOfflineBitlocker.exe" /enable /disk:0 /part:4 /ignoretpm:True /full:False /crypt:0

Initialized COM OSDOfflineBitLocker 11/29/2023 8:06:42 AM 2612 (0x0A34)

Command line for extension .exe is "%1" %*

Set command line: "OSDOfflineBitlocker.exe" /enable /disk:0 /part:4 /ignoretpm:True /full:False /crypt:0

User instructed to use default value of encryption method provided by OS

Initializing TPM...

Tpm is enabled

Tpm is activated

Tpm is owned

Tpm ownership is allowed

Tpm has compatible SRK

Tpm has EK pair

Initial TPM state: 63

Adding logical drive: C:

Skipping non-local logical drive: D:

Adding logical drive: S:

Skipping non-local logical drive: X:

Volume C: is a valid target.

Target drive C: is not same as OS drive.

Start enabling BitLocker offline ...

Encrypting used disk space

Using default disk encryption method setting provided by OS

Command line for extension .exe is "%1" %*

Set command line: "X:\windows\system32\manage-bde.exe" -on C: -used

Executing command line: "X:\windows\system32\manage-bde.exe" -on C: -used with options (0, 0)

Process completed with exit code 2147942402

ulExitCode == 0, HRESULT=80004005 (K:\dbs\sh\cmgm\0405_083130\cmd\w\src\client\OsDeployment\OfflineBitlocker\offlinebitlocker.cpp,133)

Failed to run command line 'X:\windows\system32\manage-bde.exe -on C: -used' with exit code 2147942402

COfflineBitLocker::Enable(argInfo.sDrive, argInfo.bFullDisk, argInfo.dwEncryptMethod), HRESULT=80004005 (K:\dbs\sh\cmgm\0405_083130\cmd\w\src\client\OsDeployment\OfflineBitlocker\main.cpp,493)

Process completed with exit code 2147500037

!--------------------------------------------------------------------------------------------!

Failed to run the action: Pre-provision BitLocker. Error -2147467259

Notez en vert la différence avec le problème lié à l’ADK Windows 11 22H2.

L’ADK Windows 11 23H2 devrait être supporté avec la prochaine version de Microsoft Configuration Manager. En attendant, vous pouvez utiliser l’ADK Windows 11 22H2 pour déployer Windows 11 23H2. Sinon il existe une solution de contournement revenant à remplacer l’étape Pre-Provision BitLocker par les commandes suivantes :

reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\MiniNT /f

manage-bde -on C: -used -em xts_aes256

reg.exe add HKLM\SYSTEM\CurrentControlSet\Control\MiniNT /f

OSDOfflineBitlocker.exe /enable /disk:0 /part:3 /ignoretpm:False /full:False /crypt:7