• [Azure AD] Mise à jour (2.1.16.0) d’Azure Active Directory Connect (AADC) pour couvrir tous les scénarios de mise à jour automatique

    Microsoft vient de publier une mise à jour (2.1.16.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

    Pour rappel, Azure AD Connect v2.1.15.0 vient avec un mécanisme de mise à jour automatique de ses composants. Nombre d’entreprises ont constaté que le statut de mise à jour pouvant être suspendu/suspended via la commande Get-ADSyncAutoUpgrade. Jusqu’à la version 2.1.16.0 d’Azure AD Connect, il existait certains scénarios qui ne permettait pas d’être éligible à la mise à jour automatique et notamment lorsque le compte de service d’AADC était dans un format userPrincipalName.

    Dans tous les cas, que vous utilisiez la version 2.1.15.0 ou une version antérieure, il est recommandé de mettre à jour Azure AD Connect vers la version 2.1.16.0 pour que vous puissiez bénéficier des mises à jour automatique.


    Voici les changements qui étaient introduits par la version 2.1.15.0 :

    • Microsoft supprimé la fonctionnalité Public Preview pour l'agent d'administration d'Azure AD Connect. Microsoft ne fournira plus cette fonctionnalité à l'avenir.
    • Microsoft a ajouté la prise en charge de deux nouveaux attributs : employeeOrgDataCostCenter et employeeOrgDataDivision.
    • Microsoft a ajouté l'attribut CerificateUserIds au schéma statique de AAD Connector.
    • L'assistant d'AAD Connect s'interrompt désormais si l'autorisation d'écriture des journaux d'événements est manquante.
    • Microsoft a mis à jour les points de terminaison Health d'AADConnect pour prendre en charge les clouds USGov.
    • Microsoft a ajouté de nouveaux cmdlets "Get-ADSyncToolsDuplicateUsersSourceAnchor et Set-ADSyncToolsDuplicateUsersSourceAnchor" pour corriger les erreurs de masse "l'ancre source a changé". Lorsqu'une nouvelle forêt est ajoutée à AADConnect avec des objets utilisateurs dupliqués, les objets se heurtent à des erreurs de masse "source anchor has changed". Cela se produit en raison de l'incompatibilité entre msDsConsistencyGuid et ImmutableId. Vous trouverez plus d'informations sur ce module et les nouvelles cmdlets dans cet article.
    • Microsoft a corrigé un bug qui empêchait les mises à jour de localDB dans certaines Locales.
    • Microsoft a corrigé un bug qui empêchait la corruption de la base de données lors de l'utilisation de localDB.
    • Microsoft a ajouté les erreurs de dépassement de temps et de taille limite au journal des connexions.
    • Microsoft a corrigé un bug où, si le domaine enfant a un utilisateur avec le même nom que l'utilisateur du domaine parent qui se trouve être un administrateur d'entreprise, l'adhésion au groupe échouait.
    • Microsoft a mis à jour les expressions utilisées dans la règle "In from AAD - Group SOAInAAD" pour limiter l'attribut description à 448 caractères.
    • Microsoft a apporté une modification pour définir des droits étendus pour "Unexpire Password" pour Password Reset.
    • Microsoft a modifié la mise à niveau du connecteur AD pour rafraîchir le schéma - Microsoft ne montre plus les attributs construits et non répliqués dans l'assistant pendant la mise à niveau.
    • Microsoft a corrigé un bug dans les fonctions ADSyncConfig ConvertFQDNtoDN et ConvertDNtoFQDN - Si un utilisateur décide de définir des variables appelées '$dn' ou '$fqdn', ces variables ne seront plus utilisées dans la portée du script.
    • Microsoft a apporté les corrections suivantes en matière d'accessibilité :
      • Microsoft a corrigé un bug qui entraînait la perte de la mise au point pendant la navigation au clavier sur la page Domain and OU Filtering.
      • Microsoft a mis à jour le nom accessible du menu déroulant "Clear Runs".
      • Microsoft a corrigé un bug où l'info-bulle du bouton "Aide" n'est pas accessible par le clavier si on navigue avec les touches fléchées.
      • Microsoft a corrigé un bug où le soulignement des hyperliens était absent sur la page d'accueil de l'assistant.
      • Microsoft a corrigé un bug dans la boîte de dialogue "About" de Sync Service Manager où le lecteur d'écran n'annonce pas les informations sur les données apparaissant sous la boîte de dialogue "About".
      • Microsoft a corrigé un bug où le nom de l'agent de gestion n'était pas mentionné dans les journaux lorsqu'une erreur se produisait lors de la validation du nom de l'agent de gestion.
      • Microsoft a corrigé plusieurs problèmes d'accessibilité avec la navigation au clavier et les corrections du type de contrôle personnalisé. L'infobulle du bouton "help" ne se réduit pas en appuyant sur la touche "Esc". Il y avait un focus clavier illogique sur les boutons radio d'identification de l'utilisateur et un type de contrôle invalide sur les popups d'aide.
      • Microsoft a corrigé un problème où une étiquette vide provoquait une erreur d'accessibilité.

    Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

    Télécharger Microsoft Azure Active Directory Connect

  • [Desktop Analytics] Action Requise : Procédure pour déprovisionner l’environnement en vue de la fin du service

    Lancé il y a deux ans, Microsoft a annoncé il y a quelques mois, la fin du service Desktop Analytics pour le 30 novembre 2022. Desktop Analytics avait pour mission de réaliser l’évaluation de la compatibilité des machines (matériels, logiciels, drivers, etc.) avec les dernières versions de Windows. En outre, il permettait l’inventaire et la rationalisation des applications, en définissant la priorité et la compatibilité associée en fonction de la télémétrie. Il offrait aussi un mécanisme de suivi des mises à niveau de fonctionnalités (Builds Windows 10). Au fil du temps, Microsoft a investi plus massivement dans Endpoint Analytics. L’évaluation de la compatibilité avec Windows 11 est par exemple portée par ce dernier.

    C’est d’ailleurs la recommandation de Microsoft : Utiliser Endpoint Analytics et les rapports Intune (dont certains vont arriver dans les prochains mois) en lieu et place de Desktop Analytics. Ceci permet d’uniformiser la gestion que la machine soit cogérée, gérés uniquement via Intune ou remontée via la fonctionnalité tenant-attach.

    Ce billet s’attache à vous donner une procédure pour déprovisionner et fermer l’environnement en vue de la fin de service.

    Désactiver le service

    Il vous faut pour cela un compte Global Administrator.

    Commencez par ouvrir le portail Desktop Analytics. Naviguez dans Global Settings puis Connected Services. Choisissez ensuite Offboard.

    Notez que pendant les 90 prochains jours, tout administrateur de l’entreprise qui accède au portail Desktop Analytics verra un avis indiquant que vous avez choisi de vous désinscrire. Il peut toujours réactiver le service pendant 90 jours.

    Supprimer la solution

    Connectez-vous au portail Azure avec un compte Global Administrator. Cliquez sur More Services puis All resources

    Recherchez Microsoft365Analytics et identifiez la solution comprenant le nom du workspace. Sélectionnez la ressource et cliquez sur Delete :

    Validez que vous avez sélectionné la bonne ressource, confirmez la suppression en tapant Yes puis Delete.

    Note : si vous utilisez un Workspace Log Analytics uniquement pour Desktop Analytics, vous pouvez supprimer le Workspace Log Analytics dans son ensemble.

    Supprimer les utilisateurs et les accès à l’application

    Connectez-vous au portail Azure avec un compte Global Administrator. Naviguez dans Azure Active Directory puis Rôle and Administrators. Dans la liste des rôles, recherchez Desktop administrator puis videz les membres associés (éligibles ou permanents) :

     

    Naviguez ensuite dans les groupes et supprimez les membres des groupes suivants :

    • M365 Analytics Client Admins (Log Analytics Owners)
    • M365 Analytics Client Admins (Log Analytics Contributors)

     

    Naviguez ensuite dans Enterprise applications et sélectionnez MaLogAnalyticsReader.

    Dirigez-vous dans Properties et procédez à la suppression

     

    Vous pouvez aussi supprimer l’application ConfigMgr s’il n’est pas utilisée par un autre service (Cloud Management, Cloud Attach, Microsoft Store for Business, etc.).
    Vous pouvez l’identifier en naviguant dans la console d’administration et dans Administration – Cloud Services - Azure Services. Identifiez le service avec Desktop Analytics :

    Ouvrez ensuite les propriétés et identifiez le nom de la Web App.

    Connectez-vous au portail Azure avec un compte Global Administrator. Naviguez dans Azure Active Directory puis Enterprise Applications, ouvrez l’application en question. Dirigez-vous dans Properties et procédez à la suppression

     

    Déconnectez ConfigMgr

    Une fois l’application supprimée côté Azure AD, vous déconnectez ConfigMgr du service.
    Dans la console d’administration ConfigMgr, naviguez dans Administration – Cloud Services - Azure Services. Identifiez le service avec Desktop Analytics :

     

    Supprimez ensuite les collections de déploiements créées par le service. Dans la console d’administration ConfigMgr, naviguez dans Assets and Compliance puis Devices Collections. Supprimez les collections dans le dossier Deployment Plans et les dossiers associés.

     

    Reconfigurez les clients

    Vous pouvez:

    • Soit désenrôler les clients du service en supprimant les valeurs CommercialID des clés :
      • HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection
      • HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection
    • Soit réenrôler les clients et les associés à Endpoint Analytics ou Windows Analytics avec un nouveau commercialID

     

    Plus d’informations : How to close your account - Configuration Manager | Microsoft Docs

  • [Sécurité] Effets de bord sur la mise à jour de sécurité optionnelle (KB5012170) du Secure Boot

    Je vous en parlais, il y a quelques jours, Microsoft a publié une mise à jour (KB5012170) classifiée pour l’heure comme optionnelle qui permet de corriger une vulnérabilité touchant le Secure Boot. Les premiers retours montrent plusieurs effets de bord dont :

    • L’affichage au démarrage d’un écran de récupération lors de l’utilisation de BitLocker
    • Une erreur 0x800f0922 lors de l’installation de la mise à jour lors que le bootloader n’estp as valide.
    • Une impossibilité d’initier une rotation des clés de récupération BitLocker via des outils de gestion (tels que Microsoft Endpoint Manager / Intune)
    • Un changement de configuration pour certaines machines en passant du RAID à AHCI dans le firmware (à confirmer)

    Si vous souhaitez installer la mise à jour, on ne peut que vous recommander d’effectuer un déploiement graduel avec une phase de pilote bien établie.

  • Publication et mise à jour (juillet 2022) des outils Sysinternals

    Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

    • ZoomIt v6.01 :
      • Propose un outil d'agrandissement et d'annotation d'écran,
      • Ajoute l'enregistrement d'écran intégré pour faciliter les enregistrements de démonstration,
      • Prend désormais en charge la saisie Unicode
      • Corrige un bug dans la version 32 bit
    • BgInfo v4.31 :
      • Renvoie correctement les versions de Windows 11 et Windows Server 2022
      • Corrige un bug générant un crash dans la version 32 bit
    • ProcMon v3.91 :
      • Améliore les performances du filtrage de la liste des événements
      • Corrige une erreur de chargement de drivers ARM64
    • PsExec v2.40 ajoute une nouvelle option, -g, pour sélectionner le groupe de processeurs.
    • Sigcheck v2.90 prend désormais en charge les contrôles personnalisés des fichiers de la politique d'intégrité du code.
  • [Azure AD] Action Requise : Mettez à jour Azure AD Connect 1.x vers la version 2

    Il existe encore peu d’entreprises ou de clients qui utilisent la version 1.x d’Azure AD Connect mais si c’est votre cas, vous avez jusqu’à fin août 2022 pour le mettre à jour. Passé cette date, certains éléments ne fonctionneront plus :

    Plus d’informations sur : Upgrade to the latest version of Azure AD Connect before 31 August 2022 | Azure updates | Microsoft Azure

  • [MECM 2207] Microsoft Endpoint Configuration Manager 2207 est disponible

    Microsoft vient de mettre à disposition pour tous, la version finale (5.00.9088.1000) de Microsoft EndPoint Configuration Manager 2207. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 2103 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 2103.

     

    On retrouve seulement un seul problème connu sur la sauvegarde de paramétrages dans la console : Release notes - Configuration Manager | Microsoft Docs

    Microsoft Endpoint Configuration Manager 2207 comprend les nouveautés suivantes : 

    Administration

    • Lors de la configuration des services Azure, une nouvelle option appelée Administration Service Management est désormais ajoutée pour une sécurité renforcée. La sélection de cette option permet aux administrateurs de segmenter leurs privilèges d'administration entre la Cloud Management Gateway (CMG) et le service d'administration. En activant cette option, l'accès est limité aux seuls éléments du service d'administration. Les clients Configuration Manager s'authentifieront sur le site en utilisant Azure Active Directory.

    • Vous avez maintenant des options PowerShell qui permettent d’inclure et de préférer les Management Points de vos Cloud Management Gateway (CMG) pour les groupes de limites de site par défaut.

     Gestion attachée au Cloud (Cloud-attached Management)

    • Concernant la CMG, vous pouvez maintenant approuver les workflows de validation d’applications via les emails. Il suffit pour cela d’ajouter l’URL de la CMG dans l’application Azure Active Directory comme une page de redirection URI.

    Gestion des clients

    • Vous pouvez définir Script Exécution Timeout (seconds) lors de la configuration des paramétrages clients pour les paramétrages de conformité. Cette valeur de timeout peut être configurée de 60 à 600 Secondes et permet d’aller au-delà de la limite de 60 secondes par défaut pour les objets de configuration qui exécutent des scripts.

     

    Mises à jour logicielles

    • Vous pouvez maintenant définir un décalage/offset sur les fenêtres de maintenance planifiée afin de s’aligner avec le déploiement des mises à jour de sécurité mensuelle. Cela peut être par exemple le cas si vous souhaitez définir une fenêtre de maintenance deux jours après le Patch Tuesday.
    • Il est maintenant possible d’utiliser des dossiers pour organiser les règles de déploiement automatiques (ADR). Ces dossiers sont aussi supportés lors de l’utilisation de PowerShell.

     

    Protection

    • Il est maintenant possible de déployer de manière unifiée et automatique le nouveau client moderne Microsoft Defender for Endpoint pour Windows Server 2012 R2 et 2016. Vous pouvez donc utiliser les stratégies d’inscription (Onboarding policy) pour ce nouveau client en lieu et place du client Microsoft Monitoring Agent. Le choix se fait via les paramétrages du client :

    • Amélioration des stratégies Microsoft Defender Application Guard pour prendre en compte :
      • Renommage de Windows Defender Application Guard en Microsoft Defender Application Guard dans la console d’administration.
      • Dans la page General, vous pouvez activer l’isolation pour Windows et indépendamment pour Microsoft Edge.

      • Dans la page de paramétrage Application Behavior, vous pouvez activer ou désactiver les caméras et microphones ainsi que les certificats correspondants à une signature dans le conteneur isolé.

      • Microsoft a supprimé la stratégie de critère de confiance de fichiers dans la page File Management ainsi que l’option Enterprise sites can load non entreprise content dans la page Host Interaction.

     

    Console d’administration

    • Quand vous utilisez la barre de recherche, le critère Path est ajouté que des sous dossiers soient inclus ou non dans la recherche

    Plus d’informations sur cette version : What's new in version 2207 - Configuration Manager | Microsoft Docs

    Pour obtenir les éléments relatifs au processus de mise à jour : Updates and servicing - Configuration Manager | Microsoft Docs

  • [Sécurité] Microsoft produit une matrice des attaques touchant Azure et Azure AD

    Microsoft a annoncé la création d’une matrice Azure Threat Research Matrix proposant les techniques, tactiques ou procédures (TTPs) d’attaques relatives aux ressources Azure et Azure AD. Celle-ci reprend le principe de la base de connaissances MITRE ATT&CK et permet de :

    • Donner aux professionnels de la sécurité un cadre facile à consulter pour mieux visualiser les TTP dans Azure et Azure AD.
    • Sensibiliser les professionnels aux risques potentiels de configuration qui accompagnent Azure et Azure AD lorsqu'ils ne suivent pas les meilleures pratiques.

    Cette matrice donne accès à de nombreuses documentations qui peuvent parfois manquer dans MITRE ATT&CK et donne des détails comme :

    • Ressource : La ou les ressources que la technique affecte
    • Actions : Les actions de l'opération du fournisseur de ressources qui sont nécessaires pour utiliser la technique.
    • Exemples de commandes pour utiliser la technique, y compris l'utilisation du portail.
    • Toute détection potentielle
    • Ressources supplémentaires

    Accéder à Azure Threat Research Matrix (ATRM)

    Source : Introducing the Azure Threat Research Matrix - Microsoft Tech Community

  • [SCOM 2019/2022] Mise à jour du Management Pack (10.2.0.0) pour Microsoft 365

    Microsoft a publié un Management Pack (10.2.0.0) pour Microsoft 365 en version finale. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système. Il est à noter que cette version supporte System Center Operations Manager 2019 et 2022.

    Ce Management Pack permet de :

    • Surveiller de manière proactive le niveau de service fourni par les services Microsoft 365, notamment la messagerie, Teams et SharePoint (qui comprend OneDrive), en effectuant des transactions synthétiques sécurisées à l'aide de Graph API.
    • Superviser l'utilisation des licences Microsoft 365 et émettre une alerte lorsque l'utilisation répond à certains critères.
    • Monitorer les transactions de messagerie vers et depuis le serveur Exchange On-Prem.
    • Surveiller la santé des connexions entre divers sites et le service Microsoft 365.
    • Refléter les messages d'incidents, de centre de messages et de maintenance planifiée de Microsoft 365 pour l'abonnement dans les alertes de SCOM.
    • Visualiser l'état de santé des abonnements et les alertes correspondantes via les tableaux de bord et les vues d'alerte, y compris les tableaux de bord HTML5 (nécessite Operations Manager 2019).

    Cette version apporte les changements suivants :

    • Autoriser l'authentification par secret du client, par délégation ou par certificat.
    • Outil d'évaluation du réseau des équipes de support (S4B NAT fonctionne toujours).
    • Les seuils d'avertissement et de criticité des licences SKU sont désormais définis sous forme de nombres spécifiques plutôt que de pourcentages et sont définis sur une base par SKU plutôt qu'une valeur s'appliquant également à toutes les SKU.
    • La règle de collecte des performances du temps de réponse du bureau peut désormais tester les ports TCP (par exemple, HTTPS ou le port 443).
    • Correction de plusieurs bugs avec les alertes de Service Health signalées par les utilisateurs.
    • Correction de quelques problèmes d'accessibilité dans les tableaux de bord HTML5.
    • Ajout de Teams Chat à la transaction synthétique Teams (authentification déléguée uniquement).
    • Autoriser les Management Servers et les Gateways à être utilisés comme nœuds de surveillance (Watcher Nodes).
    • Ajout d'un moniteur pour les certificats utilisés dans les abonnements aux nœuds de surveillance. 

    Plus d’informations sur: SCOM MP for M365 - V3 (now GA) - Microsoft Tech Community

    Télécharger Microsoft System Center Operations Manager Management Pack for Microsoft 365

  • [SCM] Les baselines pour Microsoft Edge v104 disponibles en version finale

    Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v104. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations. Notez que la version 98 continue d’être la version recommandée par Microsoft.

    Cette version comprend 12 nouveaux paramétrages utilisateurs et 12 nouveaux paramétrages ordinateurs. Pour résumé, voici les nouveaux paramétrages :

    • Allow import of data from other browsers on each Microsoft Edge launch
    • Configure browser process code integrity guard setting
    • Define domains allowed to access Google Workspace
    • Double Click feature in Microsoft Edge enabled (only available in China)
    • Enable Drop feature in Microsoft Edge
    • Enables Microsoft Edge mini menu
    • Get user confirmation before closing a browser window with multiple tabs
    • Text prediction enabled by default
    • XFA support in native PDF reader enabled
    • Enables Microsoft Edge mini menu
    • Get user confirmation before closing a browser window with multiple tabs
    • Restrict the length of passwords that can be saved in the Password Manager

    Voici les différences avec la version 104 : https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-for-microsoft-edge-v104/ba-p/3593826?attachment-id=54381&WT.mc_id=EM-MVP-4028970

    Vous pouvez retirer la liste de toutes les stratégies sur : Microsoft Edge Browser Policy Documentation | Microsoft Docs

    Plus d’informations sur l’article suivant : Security baseline for Microsoft Edge v104 - Microsoft Tech Community

    Télécharger Security Compliance Toolkit

  • [MDC] Les nouveautés de juillet 2022 de Microsoft Defender for Cloud

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Disponibilité générale de l'agent de sécurité natif Cloud pour la protection de l'exécution de Kubernetes. L'équipe Defender for Containers a développé un agent de sécurité orienté Kubernetes. Le nouvel agent de sécurité est un Kubernetes DaemonSet, basé sur la technologie eBPF et est entièrement intégré aux clusters AKS dans le cadre du profil de sécurité AKS. L'activation de l'agent de sécurité est disponible via l'auto-provisionnement, le flux de recommandations, AKS RP ou en utilisant Azure Policy.
    • Preview de l’'évaluation de vulnérabilité de Defender for Container ajoutant le support pour la détection de paquets spécifiques à une langue. Cette fonctionnalité en Preview, n'est disponible que pour les images Linux.
    • Si vous avez activé Defender for Servers avec Vulnerability Assessment, vous pouvez utiliser un workbook pour identifier les ressources affectées par la vulnérabilité Operations Management CVE-2022-29149. Operations Management Suite (OMS) est une collection de services basés sur le cloud pour gérer les environnements sur site et dans le cloud à partir d'un seul endroit. Plutôt que de déployer et de gérer des ressources sur site, les composants OMS sont entièrement hébergés dans Azure. Log Analytics intégré à Azure HDInsight exécutant OMS version 13 nécessite un correctif pour remédier à CVE-2022-29149.
    • Defender for Cloud d’intègre à Microsoft Entra Permissions Management, la solution de gestion des droits d'accès à l'infrastructure Cloud (CIEM) qui offre une visibilité et un contrôle complets des autorisations pour toute identité et toute ressource dans Azure, AWS et GCP. Chaque abonnement Azure, compte AWS et projet GCP, montrera désormais une vue de l’indice Permission Creep Index (PCI).

     

    Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

  • [Sécurité] Une mise à jour optionnelle pour corriger une vulnérabilité dans le Secure Boot

    NOTE : Cette mise à jour semble provoquer des effets de bord. Pour plus d'informations, rendez-vous sur MicrosoftTouch

    A l’occasion du Patch Tuesday d’août, Microsoft a publié une mise à jour (KB5012170) classifiée pour l’heure comme optionnelle qui permet de corriger une vulnérabilité touchant le Secure Boot. Cette dernière est disponible via tous les canaux incluant WSUS/SCCM/MECM.

    La mise à jour s’applique à :

    • Windows Server 2012
    • Windows 8.1 and Windows Server 2012 R2
    • Windows 10, version 1507
    • Windows 10, version 1607 and Windows Server 2016
    • Windows 10, version 1809 and Windows Server 2019
    • Windows 10, version 20H2
    • Windows 10, version 21H1
    • Windows 10, version 21H2
    • Windows Server 2022
    • Windows 11, version 21H2 (original release)
    • Azure Stack HCI, version 1809
    • Azure Stack Data Box, version 1809 (ASDB)

    Il existe certaines considerations et problèmes connus décrits dans : KB5012170: Security update for Secure Boot DBX: August 9, 2022 (microsoft.com)

    Pour en apprendre plus, vous pouvez vous référer à :

  • [Microsoft Defender for Endpoint] Les nouveautés de juillet 2022

    Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

    • Amélioration des labs d'évaluation avec la capacité d’ajouter un contrôleur de domaine pour exécuter des scénarios complexes tels que des mouvements latéraux et des attaques en plusieurs étapes sur plusieurs périphériques.
      Note : Un seul contrôleur de domaine peut être actif à la fois. Le contrôleur de domaine restera actif tant qu'un périphérique actif y sera connecté.

    Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

  • [Sentinel] Les nouveautés de Microsoft Sentinel de juillet 2022

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Synchronisation des entités utilisateur d’Active Directory avec Microsoft Sentinel. Jusqu'à présent, il était possible de transférer les entités des utilisateurs de l’annuaire Azure Active Directory (Azure AD) dans la table IdentityInfo de Microsoft Sentinel, afin que l'outil User and Entity Behavior Analytics (UEBA) puisse utiliser ces informations pour fournir un contexte et un aperçu des activités des utilisateurs, et enrichir les enquêtes. Il est maintenant possible de faire de même avec votre Active Directory (non-Azure). Si vous disposez de Microsoft Defender for Identity, vous pouvez activer et configurer User and Entity Behavior Analytics (UEBA) pour collecter et synchroniser les informations d’Active Directory dans la table IdentityInfo de Microsoft Sentinel, afin que vous puissiez obtenir la même valeur de compréhension des utilisateurs AD.

    Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

  • [MEM/Intune] Les nouveautés de juillet 2022

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [iOS/iPadOS] Les utilisateurs qui passent par l'inscription automatique des appareils (ADE) peuvent désormais s'authentifier en se connectant depuis un autre appareil. Cette option est disponible pour les appareils iOS/iPadOS s'inscrivant via l'Assistant d'installation avec authentification moderne. L'écran qui invite les utilisateurs à se connecter à partir d'un autre appareil est intégré à l'assistant de configuration et leur est présenté pendant l'inscription.
    • [Windows] Microsoft Intune vous alerte désormais lorsqu'il détecte une modification matérielle sur un périphérique enregistré dans Windows Autopilot. Vous pouvez afficher et gérer tous les périphériques concernés dans le centre d'administration. En outre, vous avez la possibilité de supprimer le périphérique concerné de Windows Autopilot et de le réenregistrer afin que la modification matérielle soit prise en compte.

    Gestion du périphérique

    • [Windows] Endpoint analytics affiche désormais les scores par modèle de périphérique. Ces scores aident les administrateurs à contextualiser l'expérience utilisateur entre les différents modèles de périphériques de l'environnement. Les scores par modèle et par appareil sont disponibles dans tous les rapports Endpoint analytics, y compris le rapport Work from anywhere.

    • [Android AOSP] Vous pouvez désormais lancer un contrôle de conformité pour les périphériques Android AOSP à partir de l'application Microsoft Intune.
    • [macOS] Il est maintenant possible de surveiller le statut de séquestre du jeton d'amorçage (bootstrap token) pour un Mac inscrit dans le centre d'administration. Une nouvelle propriété matérielle dans Intune, appelée Bootstrap token escrowed, indique si un jeton d'amorçage a été déposé ou non dans Intune.

    • [Android Enterprise] Pour les périphériques Android Enterprise, il est possible d’utiliser un nouveau paramètre, le mode Critères communs, pour activer un ensemble élevé de normes de sécurité qui ne sont généralement utilisées que par des entreprises très sensibles, comme les établissements gouvernementaux. Ceci s’applique à Android 5.0+ avec Android Enterprise corporate owned fully managed, corporate owned dedicated devices, corporate owned work profile. Les appareils qui reçoivent une stratégie avec le mode Critères communs (Common Criteria) défini sur Exiger, élèvent les composants de sécurité qui incluent, mais ne sont pas limités à :
      • le chiffrement AES-GCM des clés à long terme Bluetooth
      • les mémoires de configuration Wi-Fi
      • Bloque le mode de téléchargement du chargeur de démarrage, la méthode manuelle de mise à jour des logiciels.
      • Obligation d'une remise à zéro supplémentaire des clés lors de leur suppression.
      • Empêche les connexions Bluetooth non authentifiées
      • Exige que les mises à jour FOTA aient une signature RSA-PSS de 2048 bits

    • [iOS/iPadOS/macOS] De nouveaux détails sur le matériel sont disponibles pour les périphériques individuels en naviguant dans Devices > All devices > en sélectionnant un périphérique et en ouvrant la page Hardware details. On retrouve notamment : Nom du produit (Product name): affiche le nom du produit du périphérique, tel que iPad8,12.

    Configuration du périphérique

    • [Général] (Preview) Nouvelle fonction de recherche dans les périphériques lors de la création d'un filtre. Dans le centre d'administration de Microsoft Endpoint Manager, vous pouvez créer des filtres, puis utiliser ces filtres lors de l'attribution d'applications et de stratégies (Devices > Filters > Create). Lorsque vous créez un filtre, vous pouvez sélectionner la prévisualisation des périphériques pour voir une liste de périphériques inscrits qui correspondent à vos critères de filtre.

    • [iOS/iPadOS] De nouveaux paramètres iOS/iPadOS dans le catalogue des paramètres :
      • Networking > Cellular
      • User experience > Notification
      • Printing > Air Print
      • App Management > App Lock
      • Networking > Domains
      • Networking > Network Usage Rules
      • Restrictions
    • [macOS] De nouveaux paramètres macOS dans le catalogue des paramètres : System configuration > System extensions
    • [macOS] Nouveaux paramètres macOS Microsoft AutoUpdate (MAU) dans le catalogue de paramètres (Devices > Configuration profiles > Create profile > macOS comme plateforme >Settings catalog (preview) pour le type de profil). Les paramètres suivants sont désormais disponibles :
      • Automatically acknowledge data collection policy
      • Days before forced updates
      • Deferred updates
      • Disable Office Insider membership
      • Enable AutoUpdate
      • Enable check for updates
      • Enable extended logging
      • Register app on launch
      • Update cache server
      • Update channel
      • Update check frequency (mins)
      • Updater optimization technique

    Ils peuvent être utilisés pour configurer les applications : Company Portal, Microsoft Auto Update, Microsoft Defender, Microsoft Defender ATP, Microsoft Edge, Microsoft Edge Beta, Microsoft Edge Canary, Microsoft Edge Dev, Microsoft Excel, Microsoft OneNote, Microsoft Outlook, Microsoft PowerPoint, Microsoft Remote Desktop, Microsoft Teams, Microsoft Word, OneDrive, et Skype for Business

    Supervision et Dépannage

    • [Général] Nouvelle version 4.0.1.12 de Remote Help comprenant plusieurs corrections pour résoudre le problème du message "Try again later" qui s'affiche lorsque l'utilisateur n'est pas authentifié. Les corrections comprennent également une amélioration de la capacité de mise à jour automatique.
    • [Windows] L'action à distance d'Intune pour collecter des diagnostics recueille désormais des détails supplémentaires sur les mises à jour accélérées de Windows que vous déployez sur les périphériques. Ces informations peuvent être utiles lors du dépannage des problèmes liés aux mises à jour accélérées.Les nouveaux détails qui sont collectés incluent :
      • Les fichiers : C:\Program Files\Microsoft Update Health Tools\Logs\*.etl
      • Clés de registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CloudManagedUpdate
    • [Windows] L'action à distance d'Intune pour collecter des diagnostics a été étendue pour collecter des détails sur les problèmes de l'application Windows Management Instrumentation (WMI).Les nouveaux afficheurs d'événements sont les suivants :
      • Microsoft-Windows-WMI-Activité/Opérationnel
      • Microsoft-Windows-WinRM/Opérationnel

     

    Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

  • [MDCA] Les nouveautés de Microsoft Defender for Cloud Apps (MCAS) en juillet 2022

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    La version 231 apporte les changements suivants :

    • Preview des hashs de logiciels malveillants pour SharePoint et OneDrive. En plus des hachages de fichiers disponibles pour les logiciels malveillants détectés dans les applications de stockage non-Microsoft, de nouvelles alertes de détection de logiciels malveillants fourniront désormais des hachages pour les logiciels malveillants détectés dans SharePoint et OneDrive.

    Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

  • [Azure AD] Les nouveautés d’Azure Active Directory en juillet 2022

    Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en juillet 2022.

    Microsoft apporte les nouveautés suivantes :

    • Disponibilité Générale des notifications de problèmes de service basé sur le tenant. Azure Service Health prend en charge les notifications d'interruption de service aux administrateurs de tenant pour les problèmes liés à Azure Active Directory. Ces interruptions apparaîtront également sur la page de présentation du portail d'administration Azure AD, avec des liens appropriés vers Azure Service Health. Les événements d'interruption de service pourront être vus par les rôles intégrés d'administrateur de tenant. Microsoft continuera à envoyer des notifications d'interruption de service aux abonnements d'un tenant pour la transition.
    • Plusieurs améliorations en Public Preview pour le scénario d’ADFS vers Azure AD :
      • SAML App Multi-Instancing. Les utilisateurs peuvent désormais configurer plusieurs instances de la même application au sein d'un tenant Azure AD. Cette fonctionnalité est désormais prise en charge pour les demandes d'authentification unique initiées par l'IdP et le fournisseur de services (SP). Les comptes d'applications multiples peuvent désormais disposer d'un principe de service distinct pour gérer le mappage des demandes et l'attribution des rôles propres à chaque instance.
      • Appliquer le remplacement RegEx au contenu des revendications des groupes.  Jusqu'à récemment, les administrateurs avaient la possibilité de transformer les demandes claims à l'aide de nombreuses transformations, mais l'utilisation d'expressions régulières pour la transformation des demandes claims n'était pas possible. Avec cette Public Preview, les administrateurs peuvent maintenant configurer et utiliser des expressions régulières pour la transformation des demandes d'indemnisation en utilisant l'interface utilisateur du portail.
      • Persistent NameID for IDP-initiated Apps : Auparavant, le seul moyen d'avoir une valeur NameID persistante était de configurer l'attribut utilisateur avec une valeur vide. Les administrateurs peuvent maintenant configurer explicitement la valeur NameID pour qu'elle soit persistante ainsi que le format correspondant.
      • Customize attrname-format​ : Grâce à cette nouvelle mise à jour de parité, les clients peuvent désormais intégrer des applications autres que des galeries, telles que Socure DevHub, avec Azure AD pour disposer d'un SSO via SAML.
    • Public Preview sur Azure AD Domain Services - Trusts pour les forêts d'utilisateurs. Vous pouvez désormais créer des trusts sur les forêts d'utilisateurs et de ressources. Les utilisateurs d'AD DS On-Prem ne peuvent pas s'authentifier auprès des ressources de la forêt de ressources d'Azure AD DS tant que vous n'avez pas créé une relation sortante vers votre AD DS On-Prem. Une relation d’approbation sortante nécessite une connectivité réseau entre le réseau On-Prem et Azure AD Domain Service. Sur une forêt d'utilisateurs, des trusts peuvent être créés pour les forêts AD On-Prem qui ne sont pas synchronisées avec Azure AD DS.
    • Il n’est plus nécessaire d’attendre pour provisionner des groupes à la demande dans les applications SaaS. Vous pouvez sélectionner un groupe de cinq membres maximums et les provisionner dans les applications tierces en quelques secondes.
    • Microsoft annonce une nouvelle protection de sécurité qui empêche le contournement de l'authentification à facteurs multiples Azure AD en cas de fédération avec Azure AD. Lorsqu'elle est activée pour un domaine fédéré dans votre tenant Azure AD, elle garantit qu'un compte fédéré compromis ne peut pas contourner l'authentification à facteurs multiples Azure AD en imitant le fait qu'une authentification à facteurs multiples a déjà été effectuée par le fournisseur d'identité. Cette protection peut être activée via un nouveau paramètre de sécurité, federatedIdpMfaBehavior. Microsoft recommande d'activer cette nouvelle protection lorsque vous utilisez l'authentification à facteurs multiples Azure AD comme authentification à facteurs multiples pour les utilisateurs fédérés.
    • Public Preview – Plusieurs comptes de connexion sans mot de passe par téléphone pour les périphériques iOS. Les utilisateurs peuvent désormais activer la connexion par téléphone sans mot de passe pour plusieurs comptes dans l'application Authenticator sur tout appareil iOS pris en charge. Les consultants, étudiants et autres personnes possédant plusieurs comptes dans Azure AD peuvent ajouter chaque compte à Microsoft Authenticator et utiliser la connexion téléphonique sans mot de passe pour tous ces comptes à partir du même appareil iOS. Les comptes Azure AD peuvent appartenir au même tenant ou à des tenants différents. Les comptes invités ne sont pas pris en charge pour la connexion de plusieurs comptes à partir d'un seul appareil. 

    On retrouve les modifications de service suivantes :

    • Public Preview sur Azure AD Domain Services avec les permissions granulaires. Auparavant, pour configurer et administrer une instance AAD-DS, il était nécessaire d’avoir des autorisations de haut niveau d'Azure Contributor et d'Azure AD Global Admin. Désormais, tant pour la création initiale que pour l'administration continue, il est possible d’utiliser des autorisations plus fines pour une sécurité et un contrôle accru. Il faut : Application Administrator et Groups Administrator ainsi que le rôle Azure Domain Services Contributor.
    • Disponibilité générale - Paramètres d'accès inter-tenant pour la collaboration B2B. Les paramètres d'accès inter-tenants permettent de contrôler la façon dont les utilisateurs de l’entreprise collaborent avec les membres d'organisations Azure AD externes. Vous disposez désormais de paramètres de contrôle d'accès entrants et sortants granulaires qui fonctionnent par organisation, utilisateur, groupe et application. Ces paramètres permettent également de faire confiance aux demandes de sécurité des organisations Azure AD externes, comme l'authentification à facteurs multiples (MFA), la conformité des périphériques et les appareils hybrides joints à Azure AD.Plus d'informations sur : Cross-tenant access settings for secure collaboration now generally available! - Microsoft Tech Community

    • Disponibilité générale - Générateur d'expressions pour le provisionnement des applications. La suppression accidentelle d'utilisateurs dans les applications ou dans l’annuaire On-Prem peut être désastreuse. Microsoft annonce de la fonction de prévention des suppressions accidentelles. Lorsqu'une tâche de provisionnement risque de provoquer un pic de suppressions, elle s'interrompt d'abord pour vous donner une visibilité sur les suppressions potentielles. Vous pouvez alors accepter ou rejeter les suppressions et avoir le temps de mettre à jour la portée de la tâche si nécessaire.
    • Une vue améliorée de la découverte des applications pour My Apps est Public Preview. Cette version montre aux utilisateurs plus d'applications dans le même espace et leur permet de faire défiler les collections. Pour l'instant, elle ne prend pas en charge le glisser-déposer ni la vue en liste. Les utilisateurs peuvent participer à l'aperçu en sélectionnant Essayer l'aperçu et le quitter en sélectionnant Retourner à l'affichage précédent.
    • Public Preview de la nouvelle liste de All Devices du portail Azure AD pour faciliter le filtrage et la gestion de vos périphériques. Les améliorations comprennent le défilement infini, plus de propriétés de périphériques qui peuvent être filtrées, les colonnes peuvent être réorganisées par glisser-déposer, la sélection de tous les périphériques.

     

    Plus d’informations sur : What’s new Azure AD

  • Les nouveautés Microsoft 365 Defender de juillet 2022

    Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

    Parmi les nouveautés de ce mois, on retrouve :

    • Disponibilité Générale de Microsoft Defender Experts for Hunting. Cette offre s’adresse aux clients Microsoft 365 Defender avec un SOC robuste mais qui souhaitent que Microsoft les aide à rechercher de manière proactive les menaces sur les périphériques, Office 365, les applications cloud et l'identité en utilisant les données Microsoft Defender. Defender Experts for Hunting est vendu séparément des autres produits Microsoft 365 Defender.
    • Les utilisateurs de Microsoft Defender Experts for Hunting reçoivent des rapports mensuels qui les aideront à comprendre les menaces que le service fait apparaître dans leur environnement, ainsi que les alertes générées par leurs produits Microsoft 365 Defender.

    Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

  • [Remote Desktop] Nouvelle version 1.2.3401 du client Remote Desktop pour Windows

    Microsoft vient de mettre à disposition une nouvelle version (1.2.3401) du client Windows pour Remote Desktop.

    Cette version apporte les éléments suivants :

    • Correction d'un problème où le narrateur annonçait le bouton Tenant Expander comme "on" ou "off" au lieu de "expanded" ou "collapsed".
    • Correction d'un problème où la taille du texte ne changeait pas lorsque l'utilisateur ajustait le paramètre système de la taille du texte.
    • Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et de feed.

    Télécharger pour :

  • [MDI] Les nouveautés de juillet 2022 pour Microsoft Defender for Identity

    Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Defender for Identity inclut désormais la nouvelle évaluation de sécurité sur les Configurations de domaine non sécurisées. Microsoft Defender for Identity surveille en permanence l’environnement afin d'identifier les domaines dont les valeurs de configuration présentent un risque pour la sécurité, et établit des rapports sur ces domaines pour aider à protéger l’environnement.
    • Le package d'installation de Defender for Identity installe désormais le composant Npcap au lieu des pilotes WinPcap.
    • Un problème a été résolu lorsque l'utilisation suspectée du Golden Ticket (compte inexistant) (ID externe 2027) détectait à tort des périphériques macOS.
    • Actions de l'utilisateur : Microsoft a décidé de diviser l'action Désactiver l'utilisateur sur la page de l'utilisateur en deux actions différentes :
      • Disable User qui désactive l'utilisateur au niveau d'Active Directory.
      • Suspend User qui désactive l'utilisateur au niveau d'Azure Active Directory.

    Le temps nécessaire à la synchronisation d'Active Directory à Azure Active Directory peut être crucial, c'est pourquoi il est maintenant possible de choisir de désactiver les utilisateurs l'un après l'autre, pour supprimer la dépendance à la synchronisation elle-même. Notez qu'un utilisateur désactivé uniquement dans Azure Active Directory sera écrasé par Active Directory, si l'utilisateur y est toujours actif.

    • Les versions 2.184, et 2.185 apportent des améliorations et des corrections de bugs sur les capteurs.

    Plus d’informations sur : What's new in Microsoft Defender for Identity

  • [Windows 365] Les nouveautés de juillet 2022

    Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    Apps

    • Pour les PC Cloud nouvellement approvisionnés et réapprovisionnés, vous pouvez maintenant définir le paramètre de synchronisation du courrier Outlook sur 6 ou 12 mois.

    Gestion du périphérique

    • Vous pouvez désormais choisir l'image Windows 11 Enterprise + OS Optimizations lors de la création d'une nouvelle stratégie de provisionnement. Cette fonctionnalité sera disponible pour tous les clients au cours des prochaines semaines.

    Provisionnement du périphérique

    • La prise en charge de la création de PC Cloud qui utilisent la fonctionnalité Secure Boot est maintenant disponible dans les régions Europe, APAC et Amérique du Nord. Les PCs Cloud existants n'auront pas le Secure Boot automatiquement activé.

     Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

  • [MEM/Intune] Fin de support de Windows 8.1

    Microsoft annonce la fin du support des périphériques Windows 8.1 par Microsoft Endpoint Manager (Intune) le 21 octobre 2022. Pour rappel, Windows 8.1 arrive à la fin de son support étendu en janvier 2023. Le choix de mettre fin au support prématurément est dû au fait que la majorité des clients Intune ont déjà mis à jour leurs périphériques Windows. A cet date, le scénario sideloading key pour les applications métiers ne sera plus pris en charge car il ne s'applique qu'aux périphériques Windows 8.1.

    Si vous gérez des périphériques Windows 8.1, ceux-ci doivent être mis à niveau vers une version prise en charge de Windows 10 ou Windows 11. Il n'y a aucun impact sur les périphériques et les stratégies existants, mais vous ne pourrez pas enregistrer de nouveaux périphériques s'ils fonctionnent sous Windows 8.1.

    Pour déterminer les périphériques des utilisateurs qui fonctionnent sous Windows 8.1, naviguez dans le centre d'administration de Microsoft Endpoint Manager > Devices > Windows > Windows devices, Filtrer par OS.

  • [MDCA] Alignement du rôle AAD Security Reader sur Microsoft 365 Defender

    Microsoft opère un changement sur le rôle de sécurité Azure Active Directory pour Microsoft Defender for Cloud Apps.  Actuellement, le rôle AAD "Security Reader" peut gérer les alertes de Microsoft Defender for Cloud Apps, mais il ne peut que visualiser les alertes de toutes les autres workloads de sécurité. La mise à jour du rôle AAD "Security Reader" sera désormais alignée sur la définition du rôle AAD afin d'apporter de la clarté et d'éviter toute confusion quant à l'utilisation du même rôle.

    Ce changement sera effectif à partir du 28 août 2022. Tous les utilisateurs auxquels a été attribué le rôle de " Security Reader" d'AAD ne pourront plus gérer les alertes de Microsoft Defender for Cloud Apps. Pour continuer à gérer les alertes, le rôle des utilisateurs doit être mis à jour pour devenir un "Security Operator" d’AAD.

  • [MDE] Mise à jour de la liste des URLs requises pour Linux et macOS

    Avec la disponibilité générale récente du nouveau moteur Antimalware amélioré pour Linux et macOS de Microsoft Defender for Endpoint (MDE), L’équipe de sécurité/réseau/IT doit configurer les paramètres réseau/proxy/internet pour autoriser les connexions entre les machines et certaines URL Microsoft :

    À partir du 31 juillet 2022, l'accès à ces URLs sera obligatoire pour garantir une protection sur les systèmes Linux et macOS derrière un proxy. Les organisations qui n'auront pas autorisé, d'ici le 31 juillet 2022, l'accès aux URL susmentionnées ne pourront pas télécharger les mises à jour des définitions des menaces nécessaires à une protection anti-malware efficace.

    Exigences minimales de la version pour permettre une transition en douceur :

    1. Le numéro de version minimum de Microsoft Defender for Endpoint doit être 101.62.64 [build de février 2022].
    2. Peu après le début de la migration, les versions antérieures à 101.62.64 ne recevront plus de mises à jour de protection.
    3. En outre, pour prendre en charge le stockage des définitions dans des emplacements non standard (en dehors de /var) pour les mises à jour des définitions, veuillez vous assurer que vous êtes à la version 101.71.18.
  • [Azure AD] Les nouveautés d’Azure Active Directory en juin 2022

    Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en juin 2022.

    Microsoft apporte les nouveautés suivantes :

    • Public Preview permettant d’alerter les clients lorsqu’un rôle est assigné en dehors d’Azure AD Privileged Identity Management (PIM) comme par exemple via le portail Azure. Pour la Public Preview, les affectations font l'objet d'un suivi au niveau de l’abonnement.
    • Disponibilité Générale de Temporary Access Pass. Pour rappel, TAP peut être utilisé pour enregistrer en toute sécurité des méthodes sans mot de passe telles que l'identification par téléphone, des méthodes résistantes au phishing telles que FIDO2, et même pour aider à l'intégration de Windows (AADJ et WHFB). TAP facilite également la récupération lorsqu'un utilisateur a perdu ou oublié ses méthodes d'authentification forte et doit se connecter pour enregistrer de nouvelles méthodes d'authentification.
    • Public Preview du support des groupes dynamiques pour l’attribut MemberOf permettant de créer des groupes "imbriqués" avec les groupes dynamiques Azure AD. Par exemple, vous pouvez maintenant créer un Dynamic-Group-A avec des membres du Group-X et du Group-Y.
    • Disponibilité Générale permettant d’empêcher le contournement de l'authentification MFA Azure AD en cas de fédération avec Azure AD. Lorsqu'elle est activée pour un domaine fédéré dans votre tenant Azure AD, elle garantit qu'un compte fédéré compromis ne peut pas contourner l'authentification MFA Azure AD en imitant le fait qu'une authentification MFA a déjà été effectuée par le fournisseur d'identité. Cette protection peut être activée via un nouveau paramètre de sécurité, federatedIdpMfaBehavior.

     

    On retrouve les modifications de service suivantes :

    • Public Preview d’améliorations sur la liste All Users list et User Profile dans le portail Azure AD pour faciliter la recherche et la gestion de vos utilisateurs. Les améliorations sont les suivantes :
      • Liste de tous les utilisateurs :
        • Défilement infini (oui, pas de "Charger plus")
        • Plus de propriétés d'utilisateur peuvent être ajoutées en tant que colonnes et filtrées.
        • Les colonnes peuvent être réorganisées par glisser-déposer.
        • Les colonnes affichées par défaut et leur ordre peuvent être gérés par le sélecteur de colonnes.
        • La possibilité de copier et de partager la vue actuelle
      • Profil de l'utilisateur :
        • Une nouvelle page de vue d'ensemble qui présente des informations (c'est-à-dire les appartenances à un groupe, le compte activé, la capacité MFA, l'utilisateur à risque, etc.)
        • Un nouvel onglet de surveillance
        • Plus de propriétés de l'utilisateur peuvent être visualisées et modifiées dans l'onglet "Propriétés".
    • Disponibilité Générale de plus de propriétés de périphériques pour les groupes dynamiques de périphériques avec les propriétés suivantes :
      • deviceManagementAppId
      • deviceTrustType
      • extensionAttribute1-15
      • profileType

     

    Plus d’informations sur : What’s new Azure AD

  • [Sentinel] Les nouveautés de Microsoft Sentinel de juin 2022

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Preview de l’intégration de Microsoft Purview Data Loss Prevention (DLP) dans Microsoft Sentinel comprenant désormais l'intégration des alertes et incidents Microsoft Purview DLP dans la file d'attente des incidents de Microsoft Sentinel permettant de :
      • Afficher toutes les alertes DLP regroupées sous les incidents dans la file d'attente des incidents de Microsoft 365 Defender.
      • Afficher les alertes intelligentes inter-solution (DLP-MDE, DLP-MDO) et intra-solution (DLP-DLP) corrélées sous un seul incident.
      • Conserver les alertes et les incidents DLP pendant 180 jours.
      • Rechercher les journaux de conformité ainsi que les journaux de sécurité dans le cadre de la recherche avancée.
      • Prendre des mesures correctives administratives sur place pour les utilisateurs, les fichiers et les périphériques.
      • Associer des balises personnalisées aux incidents DLP et les filtrer.
      • Filtrer la file d'attente unifiée des incidents par nom de politique DLP, étiquette, date, source de service, statut de l'incident et utilisateur.
      • En plus de l'expérience native dans le portail Microsoft 365 Defender, les clients pourront également utiliser le connecteur Microsoft 365 Defender en un clic pour ingérer et enquêter sur les incidents DLP dans Microsoft Sentinel.

    Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs