Microsoft vient d'annoncer la disponibilité générale de nombreux nouveaux services au travers de Microsoft Intune Suite dont la Cloud PKI. Je vous propose une petite vidéo pour découvrir ce nouveau service :

L’équipe Defender for Cloud a publié un billet sur son blog pour expliquer un nouveau concept introduit en novembre dernier permettant de fournir une estimation du risque contextualisé à l’environnement dans Microsoft Defender for Cloud. Ceci permet d’aider les clients à classer les problèmes de sécurité dans la configuration de leur environnement et à les résoudre en conséquence. Cette fonction est basée sur le cadre présenté et améliore les capacités de hiérarchisation des risques de Defender CSPM.

L’article revient sur les concepts essentiels de cette nouvelle fonctionnalité : Contextual Risk Estimation for Effective Prioritization - Microsoft Community Hub

Microsoft vient de mettre à disposition une nouvelle version (1.2.5105) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction de la faille de sécurité CVE-2024-21307.
• Amélioration de l'accessibilité en rendant le menu déroulant Change the size of text and apps plus visibles dans le thème Contraste élevé.
• Amélioration de la journalisation, des diagnostics et de la classification des erreurs du client pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Lorsque vous mettez en place une stratégie de gouvernance et de protection de l’information notamment via les services Microsoft Purview Information Protection, il y a certaines configurations Microsoft Entra qui peuvent rendre l’expérience utilisateur ou la solution inutilisables. Je vous propose de partager quelques points d’attention à vérifier pour éviter ce genre de configurations :

Paramétrages d’accès inter-tenants

Les paramétrages d’accès inter-tenants (cross-tenant access settings) peuvent bloquer les utilisateurs d’une autre organisation ou vos utilisateurs si une autre organisation a configuré certaines options. Par défaut, les tenants ne sont pas configurés de cette manière mais un changement de configuration. Par exemple si vous avez configurez des paramétrages d’accès entrant ou sortant pour bloquer l’accès pour toutes les applications ou un sous ensemble regroupant notamment des applications relatives à Information Protection.

Vous devez spécifiquement autoriser l’application : Microsoft Azure Information Protection avec 00000012-0000-0000-c000-000000000000 via :

• Pour permettre le partage de contenu chiffré avec une autre organisation, créez un paramètre entrant qui autorise l'accès à Microsoft Azure Information Protection (ID : 00000012-0000-0000-c000-000000000000).
• Pour autoriser l'accès au contenu chiffré que les utilisateurs reçoivent d'autres organisations, créez un paramètre sortant qui autorise l'accès à Microsoft Azure Information Protection (ID : 00000012-0000-0000-c000-000000000000).

Stratégies d’accès conditionnel

Si l’entreprise a mis en place des stratégies d'accès conditionnel Microsoft Entra qui incluent Microsoft Azure Information Protection et que la politique s'étend aux utilisateurs externes qui doivent ouvrir des documents chiffrés par votre organisation :

• Pour les utilisateurs externes qui ont un compte Microsoft Entra dans leur propre tenant, Microsoft recommande d'utiliser les paramètres d'accès inter-tenants des Identités externes pour configurer les paramètres de confiance pour les Claims MFA d'une, de plusieurs ou de toutes les organisations Microsoft Entra externes.
• Pour les utilisateurs externes non couverts par l'entrée précédente, par exemple, les utilisateurs qui n'ont pas de compte Microsoft Entra ou que vous n'avez pas configuré les paramètres d'accès inter-tenant pour les paramètres de confiance, ces utilisateurs externes doivent avoir un compte d'invité dans votre tenant.

Comptes invités

Vous pouvez avoir besoin de comptes invités dans votre tenant Microsoft Entra pour que des utilisateurs externes puissent ouvrir des documents chiffrés par l’entreprise. On retrouve plusieurs options pour créer les comptes invités :

• Créez vous-même ces comptes invités. Vous pouvez spécifier n'importe quelle adresse email que ces utilisateurs utilisent déjà. Par exemple, leur adresse Gmail. L'avantage de cette option est que vous pouvez restreindre l'accès et les droits à des utilisateurs spécifiques en spécifiant leur adresse électronique dans les paramètres de chiffrement. L'inconvénient est la surcharge administrative liée à la création du compte et à la coordination avec la configuration de l'étiquette.
• Utilisez l'intégration de SharePoint et OneDrive avec Microsoft Entra B2B pour que les comptes invités soient automatiquement créés lorsque vos utilisateurs partagent des liens. L'avantage de cette option est de réduire la charge administrative puisque les comptes sont créés automatiquement, et de simplifier la configuration de l'étiquette. Pour ce scénario, vous devez sélectionner l'option de chiffrement Add any authenticated user car vous ne connaîtrez pas les adresses électroniques à l'avance. L'inconvénient est que ce paramètre ne vous permet pas de restreindre les droits d'accès et d'utilisation à des utilisateurs spécifiques.

Les utilisateurs externes peuvent également utiliser un compte Microsoft pour ouvrir des documents chiffrés lorsqu'ils utilisent Windows et Microsoft 365 Apps ou Office 2019. Plus récemment pris en charge pour d'autres plateformes, les comptes Microsoft sont également pris en charge pour l'ouverture de documents chiffrés sur macOS (Microsoft 365 Apps, version 16.42+), Android (version 16.0.13029+) et iOS (version 2.42+). Par exemple, un utilisateur de l’entreprise partage un document chiffré avec un utilisateur extérieur à l’entreprise, et les paramètres de chiffrement spécifient une adresse e-mail Gmail pour l'utilisateur externe. Cet utilisateur externe peut créer son propre compte Microsoft en utilisant son adresse électronique Gmail. Ensuite, après s'être connecté avec ce compte, il peut ouvrir le document et le modifier, conformément aux restrictions d'utilisation spécifiées pour lui.

Comme vous ne pouvez pas être sûr que les utilisateurs externes utiliseront une application client Office prise en charge, le partage de liens depuis SharePoint et OneDrive après la création de comptes d'invités (pour des utilisateurs spécifiques) ou lorsque vous utilisez l'intégration de SharePoint et OneDrive avec Microsoft Entra B2B (pour tout utilisateur authentifié) est une méthode plus fiable pour soutenir la collaboration sécurisée avec les utilisateurs externes.

Vous comprenez donc que l’accompagnement au changement de vos utilisateurs pour les partages externes est essentiel !

Plus d’informations sur : Microsoft Entra configuration for content encrypted by Microsoft Purview Information Protection | Microsoft Learn

Depuis le lancement de l’outil en 2017, l'interopérabilité des macros et des compléments entre les versions d'Office prises en charge, telles qu'Office 2016, et les Apps Microsoft 365 a connu des améliorations significatives. Notamment, il n'y a pas de changements générant des problématiques dans le modèle d'objet VBA entre Office 2016 et Microsoft 365 Apps. Par conséquent, Microsoft a annoncé le retrait de la solution qui permet l’évaluation de la compatibilité des composants additionnels et VBA pour office. Il ne sera plus possible de télécharger Readiness Toolkit for Office add-ins and VBA depuis le centre de téléchargement de Microsoft à partir du 31 mars 2024.

En outre, les tentatives de génération de rapports avancés donneront lieu à un message d'erreur indiquant qu'aucune information de préparation n'a pu être acquise, et seul un rapport de base sera généré :

• Overview
• VBA overview
• VBA Summary
• VBA Results
• VBA Remediation
• VBA References

D'autres fonctionnalités, telles que l'analyse de la signature, la détection de Silverlight, la création d'inventaires de macros ou de compléments, et la génération de rapports de base, resteront fonctionnelles. Toutefois, aucun support ne sera fourni pour ces fonctionnalités après le 31 mars 2024.

Si vous utilisez Microsoft Configuration Manager, vous pouvez utiliser le tableau de bord Microsoft 365 Apps readiness dashboard pour évaluer la compatibilité de vos compléments (add-ins).

Plus d’informations sur : Use the Readiness Toolkit to assess application compatibility for Microsoft 365 Apps - Deploy Office | Microsoft Learn

Je voulais vous partager un outillage communautaire proposé par Harden AD permettant d’améliorer la sécurité de l’annuaire Active Directory en quelques minutes. Le script s’adresse principalement à des administrateurs ou des organisations qui n’auraient pas les compétences. Il doit bien entendu être exécuté avec précautions. Il permet notamment :

• Mettre à niveau le niveau fonctionnel de domaine DomainFunctionalLevel
• Mettre à jour le niveau fonctionnel de forêt ForestFunctionalLevel
• Définir msDSMachineAccountQuota à 0 pour limiter la jonction des domaines
• Activer la fonction optionnelle de la corbeille AD (Recycle Bin)
• Définir l'option "notify sur tous les liens de site
• Définir un GPO Central Store et mettre à jour les fichiers adm et admx
• Définir l'unité d'organisation Administration
• Définir l'unité d'organisation Tier 0
• Définir les unités d'organisation Tier 1 et Tier 2
• Définir l'unité d'organisation Tier Legacy
• Définir l'unité d'organisation Provisioning
• Définir l'emplacement par défaut des objets utilisateur
• Définir l'emplacement par défaut des objets ordinateurs
• Créer les comptes d'administration utilisés par le modèle à niveaux
• Créer les groupes d'administration utilisés par le modèle à niveaux
• Créer des groupes d'administration utilisés par le modèle de niveau Enforce Delegation ACEs utilisé par le modèle de niveau
• Importer un filtre WMI dans le domaine Importer un filtre WMI dans le domaine
• Importer ou mettre à jour des objets de stratégie de groupe dans le domaine et les lier
• Mettre à jour le schéma AD pour LAPS et ajouter le module complémentaire PShell
• Configurer les autorisations LAPS sur le domaine cible
• Mettre à jour les scripts LAPS pour qu'ils correspondent au nom de domaine

Vous devez télécharger l’ensemble des éléments du GitHub pour pouvoir exécuter le script correctement.

Accéder à GitHub - LoicVeirman/SecureAD: Hardening Active Directory version 2

Microsoft vient de mettre à disposition une nouvelle version (1.2.5105) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction de la faille de sécurité CVE-2024-21307.
• Amélioration de l'accessibilité en rendant le menu déroulant Change the size of text and apps plus visible dans le thème Contraste élevé.
• Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft Intune s’est attaché depuis plusieurs années à fournir une solution de gestion moderne pour les ordinateurs Macs. Je vous propose de résumer les récentes nouveautés et les investissements de Microsoft pour l’année 2024 :

Onboarding

• Microsoft a intégré l’extension SSO permettant d’ouvrir une session sur le mac en utilisant le mot de passe Entra ID. Cela utilise un principe de synchronisation de mot de passe et de mécanisme proche de la jointure du mac dans Entra ID. Parmi les autres nouveautés, il est possible :
  • D’utiliser des cartes à puce comme méthode d’authentification
  • De créer l’utilisateur Entra ID à la connexion
  • De choisir et configurer le mode d’autorisation de l’utilisateur (Standard, Admin, Groupes, etc.)

• Microsoft planifie de fournir un mécanisme de gestion des comptes locaux (nommage et création) proche de ce que l’on pourrait avoir avec quelques fonctionnalités de LAPS.

• Microsoft compte fournir une expérience similaire à iOS en permettant de bloquer l’accès au mac en laissant l’expérience Setup Assistant jusqu’à que la première synchronisation du mac se fasse avec Intune. Ceci utilisera un paramétrage Await final configuration dans le profil d’enregistrement lié au token.

Gestion des périphériques

• Intégration des paramétrages macOS au catalogue de paramétrages (Settings Catalog). Vous avez dû voir que de plus en plus de périphériques ont été intégré au nouveau mode de création de stratégie. Ce récent investissement a notamment permis à Microsoft d’automatiser l’ingestion des paramètres pour réduire le temps d’ingestion de plusieurs mois à quelques minutes.
• Settings Catalog commands est une fonctionnalité permettant d’utiliser une commande pour configurer un paramétrage. Par exemple Buetooth, etc. Microsoft planifie d’intégrer des commandes relatives à la rotation FileVault ou Remote Desktop.
• Microsoft a intégré Declarative Device Management (DDM) en remplacement du protocole MDM pour fournir plus de flexibilité, d’efficacité et de rapidité dans l’envoi des commandes et des paramétrages. Par exemple, Microsoft a intégré ce modèle pour la gestion des mises à jour logicielles.
• Microsoft prévoit d’améliorer l’interface et la partie Reporting en utilisant DDM pour la gestion des mises à jour logicielles sur mac.
• Microsoft prévoit de proposer des configurations préétablis en fonction des scénarios de gestion pour faciliter la vie des administrateurs.
• Microsoft prévoit le support de l’upload de fichier comme payloads au travers du Settings Catalog

Gestion des applications

• Microsoft a supprimé l’usage de l’outil d’encapsulation Intune pour les applications gérées.
• Microsoft a intégré la capacité d’exécuter des scripts avant et après l’installation de l’application PKG.
• Microsoft va étendre la taille des apps DMG et PKG supportées à 8GB.
• Microsoft va fournir un type d’assignement « Available » pour les applications DMG et PKG.

Sécurité des périphériques

• Il va devenir possible d'embarquer des scripts dans les stratégies de conformité pour évaluer un aspect de conformité personnalisé.

L’an dernier à la suite de Patchs Tuesday impactant des applications (VPN, etc.), Microsoft a proposé des mises à jour optionnelles à Windows 10 afin de corriger le problème. Il a été assez aisé avec les anciennes solutions de gestion telles que Microsoft Configuration Manager de les déployer mais plus compliqué avec les nouvelles méthodes telles que Windows Update for Business ou Microsoft Intune. En novembre dernier, Microsoft a intégré un nouveau paramétrage qui a pu être proposé au travers de la mise à jour optionnelle de Novembre 2023 pour Windows 10. Notez que ce paramétrage est déjà présent dans les versions de Windows 11 depuis Août 2023.

Vous pouvez le configurer :

• Via une stratégie de groupe appelée : Enable optional updates que vous pourrez trouver dans les derniers ADMX Windows Update.
• Via Microsoft Intune, ce paramétrage n’est toujours pas disponible dans les Settings Catalog. Néanmoins, vous pouvez le configurer
  • Via la configuration d’un CSP : /Policy/Config/Update/AllowOptionalContent
  • Via l’import du fichier ADMX Windows Update dans Microsoft Intune et la création d’une stratégie associée.

Vous pouvez configurer trois scénarios possibles :

• Automatically receive optional updates (including CFRs). Sélectionnez cette option pour que les appareils reçoivent les dernières mises à jour facultatives non liées à la sécurité, y compris les déploiements progressifs de fonctionnalités. Aucune modification n'est apportée à l'offre de mise à jour des fonctionnalités.
• Automatically receive optional updates. Sélectionnez cette option pour que les appareils reçoivent uniquement les dernières mises à jour facultatives non liées à la sécurité. Ils ne recevront pas automatiquement les mises à jour progressives. Aucun changement n'est apporté à l'offre de mise à jour des fonctionnalités.
• Users can select what optional updates to receive. Sélectionnez cette option pour permettre aux utilisateurs de définir leurs propres préférences en matière de mises à jour facultatives non liées à la sécurité. Aucune modification n'est apportée à l'offre de mise à jour des fonctionnalités.

Il y a peu, j’avais encore un échange sur le sujet pour expliquer les subtilités des objets Devices / Périphériques utilisés par Microsoft Intune et Microsoft Entra ID (Azure AD) ainsi que les utilisateurs qui peuvent être associés.

On retrouve :

• Un objet périphérique Microsoft Entra ID (Azure AD)
• Un objet périphérique Microsoft Intune (dérivé de celui de Microsoft Entra ID)
• Un objet périphérique Windows Autopilot (non détaillé dans l’article suivant)
• Un UPN du compte Enrolled By de Microsoft Intune
• Un Nom d’affichage du compte Enrolled By de Microsoft Intune (qui ne peut être changé)
• Un UPN correspondant au Primary User de Microsoft Intune (qui peut être changé manuellement via le portail ou Graph API)
• L’utilisateur Azure AD qui a enregistré ou joint la machine au Cloud. (qui ne peut être changé car fait lors de la jointure)

Mark Stanfill propose de revenir sur les concepts avec un article que je trouve très bien ficelé et que tout le monde touchant de près ou de loin à Intune devrait lire : Understanding the Intune device object and User Principal Name - Microsoft Community Hub

L’équipe Microsoft Incident Response a publié des guides d’une page sur Microsoft 365 et Microsoft Entra pour l’investigation des activités suspicieuses. L’objectif de ces documents est de donner des techniques parmi les plus de 3000 activités enregistrées dans les solutions.

Parmi les types d’activités, on retrouve :

• L’impact administratif : Actions Exchange et SharePoint dont l'exécution nécessite des privilèges administratifs. Ces actions peuvent étendre l'accès des acteurs de la menace aux services d'Office 365.
• La manipulation Email : Évasion de la défense et ingénierie sociale
• La reconnaissance : Actions de découverte
• Les actions sur les boites aux lettres : Actions effectuées sur une boîte aux lettres compromise
• La collection de données : Actions permettant l'exfiltration de données
• L’impact : Les actions qui sont de nature destructive
• Les événements de connexion : Données de connexion et événements associés
• Les activités de l’utilisateur : Modification des objets de l'utilisateur
• Les applications : L'escalade des privilèges et accès aux données
• L’identité
• Les périphériques : Modification des objets appareils
• Administration : Les changements dans les assignements de rôle

Télécharger les guides

Plus d’informations sur : New Microsoft Incident Response guides help security teams analyze suspicious activity | Microsoft Security Blog

Passkeys se promet comme l’avenir de l’authentification en proposant un mécanisme simple, efficace, et répondant à de nombreux enjeux de sécurité. Pour rappel le fonctionnement est le suivant : lorsqu'un utilisateur s'inscrit à un service en ligne, son appareil client génère une nouvelle paire de clés. La clé privée est stockée en toute sécurité sur l'appareil de l'utilisateur, tandis que la clé publique est enregistrée auprès du service. Pour s'authentifier, l'appareil client doit prouver qu'il possède la clé privée en signant un challenge. Les clés privées ne peuvent être utilisées qu'après avoir été déverrouillées par l'utilisateur à l'aide du facteur de déverrouillage Windows Hello (biométrie ou code PIN). Si vous souhaitez vous remettre à niveau sur le principe de Passkey, je vous invite à lire cet article.

Mais quand est-il du support des différentes plateformes comme Android, iOS, macOS, Windows, Linux, Chrome OS ?

Ce site donne un aperçu des avancements pour chacun des éditeurs : Device Support - passkeys.dev

L’équipe Sentinel a publié un billet visant à créer une formation complète sur Microsoft Unified SOC Platform allant jusqu’à un niveau d’expertise. Pour rappel, Microsoft a annoncé l’intégration de Microsoft Sentinel au portail Microsoft Defender XDR. Vous retrouverez donc tous les incidents dans le même portail. Cette formation vise à donner les éléments pour les équipes SOC et cette intégration.

On retrouve notamment :

XDR+SIEM Overview

Module 1. Unified security operations platform benefits

Module 2.  Getting started with Unified SOC Platform

Module 3. Common Use Cases and Scenarios

Operating with XDR+SIEM Unified Experience

Module 1. Connecting to Microsoft Defender XDR

Module 2. Unified Incidents

Module 3. Automation

Module 4. Advanced Hunting

Module 5. SOC optimization

Module 6. More learning and support options

Accéder à Become a Microsoft Unified SOC Platform Ninja - Microsoft Community Hub

Microsoft annonce avoir reçu des tickets au support concernant des utilisateurs qui auraient expérimentés des problèmes avec les appels audios après la mise à jour des périphériques vers iOS/iPadOS 17.2 et 17.2.1. Apple semble au courant du problème et travaille activement à sa résolution.

Il semble que lorsque le périphérique est désenrôlé de la solution, les appels entrants et sortants se remettent à fonctionner.

Plus d’informations : Known issue: Voice calling on Apple devices running iOS/iPadOS 17.2 - Microsoft Community Hub

Même s’il est rare qu’il y ait de fortes régressions sur Windows lors du déploiement de mises à jour, c’est tout de même quelque chose qui arrive. Il existe un moyen simple pour être informé par email des problèmes connus, leurs états, les solutions de contournement et les résolutions.
Ceci peut se faire au travers de l’espace Windows release health du centre d’administration de Microsoft 365.

Cette fonctionnalité est disponible pour les personnes ayant un rôle d'administrateur pour une organisation/un tenant avec un abonnement Windows ou Microsoft 365 éligible parmi la liste suivant : Microsoft 365 Enterprise E3/A3/F3, Microsoft 365 Enterprise E5/A5, Windows 10 Enterprise E3/A3, Windows 10 Enterprise E5/A5, Windows 11 Enterprise E3/A3, ou Windows 11 Enterprise E5/A5..

La plupart des rôles comportant le mot "admin" auront accès à Windows release health et à l'alerte par email, notamment les rôles Global admin, Service admin et Helpdesk admin.

Voici un vidéo qui vous explique la fonctionnalité en détails :

Microsoft vient de publier un module PowerShell pour Microsoft Defender for Identity. Celui-ci se focalise sur le déploiement et la configuration des prérequis post-déploiement.

Vous pouvez installer le module via la commande :  Install-Module DefenderForIdentity

Parmi les commandes, on retrouve :

• Clear-MDISensorProxyConfiguration
• Get-MDIConfiguration peut être utilisée pour obtenir plus de détails sur la configuration réellement appliquée et déterminer quelle configuration est manquante ou erronée.
• Get-MDISensorProxyConfiguration
• New-MDIConfigurationReport peut être utilisé pour créer un rapport html de la configuration appliquée, et obtenir la commande pour chaque élément de configuration qui doit être corrigé
• Set-MDIConfiguration peut être utilisé pour appliquer la configuration requise.
• Set-MDISensorProxyConfiguration
• Test-MDIConfiguration pour tester la configuration et se focaliser sur 9 Aspects :
  • AdfsAuditing - Pour les SACL requis sur le conteneur ADFS dans Active Directory
  • AdvancedAuditPolicyCAs - Pour la stratégie d'audit avancée sur les serveurs d'autorité de certification
  • AdvancedAuditPolicyDCs - Pour la stratégie d'audit avancée sur les contrôleurs de domaine
  • CAAuditing - Pour les flags d'audit du service CertSrv sur les serveurs d'autorité de certification
  • ConfigurationContainerAuditing - Pour le SACL requis sur le conteneur de configuration dans Active Directory
  • DomainObjectAuditing - Pour le SACL requis sur le domaine dans Active Directory
  • NTLMAuditing - Pour la stratégie d'audit NTLM sur les contrôleurs de domaine
  • ProcessorPerformance - Pour le schéma d'alimentation haute performance sur les serveurs utilisant le capteur MDI
  • All - Toutes les configurations sont validées.
• Test-MDISA
• Test-MDISensorApiConnection

Plus d’informations sur : Introducing the new PowerShell Module for Microsoft Defender for Identity

Je vous partage un outil communautaire rédigé par Ugur Koc en PowerShell qui peut être utile notamment pour les techniciens du support (Help Desk) qui doivent dépanner l’état de mise à jour de la plateforme Antivirale Microsoft Defender. L’outil permet notamment de comparer la version présente localement par rapport à celle de référence chez Microsoft pour les composants suivants :

• Signatures
• Plateforme
• Moteur

Accéder au GitHub du projet

Source : Microsoft Defender for Endpoint (MDE) – Update Tool – Cloud Blog (ugurkoc.de)

Microsoft a publié un très bon article qui résume les bonnes pratiques de sécurité pour le déploiement de solutions d’IA générative (Open IA) dans Microsoft Azure.

Il revient notamment sur :

• La sécurité de la donnée
• La sécurité réseau
• La sécurité des identités et des accès
• La sécurité de l’application
• La gouvernance de la sécurité

Lire Security Best Practices for LLM Applications in Azure (microsoft.com)

Microsoft vient d’annoncer que certaines APIs bêta Microsoft Graph pour Microsoft Intune utilisées notamment pour l’ancien framework de rapport Intune pour les rapports de stratégies de configuration de périphériques arrêteront de fonctionner.

On retrouve notamment :

• Device configuration report: getConfigurationPoliciesReportForDevice
• Device and user check-in status report: getConfigurationPolicyDevicesReport
• Device assignment status report: getCachedReport

Plus d’informations sur : Removal of several Microsoft Graph Beta API’s for Intune device configuration reports - Microsoft Community Hub

Il y a quelques années de cela, Michael Niehaus proposait un module PowerShell pour Windows Autopilot. Aujourd’hui, on retrouve plusieurs forks communautaires de ces modules/scripts avec notamment :

Get-WindowsAutopilotInfoCommunity qui propose notamment les changements suivants :

• Un nouveau commutateur -Wipe (nécessite également -Online) indique à Intune de lancer un nettoyage du système d'exploitation après l'attribution d'un profil Autopilot.
• Un nouveau commutateur -Sysprep lance une commande "sysprep.exe /oobe /reboot /quiet" pour préparer la machine. Après le redémarrage de la machine, elle repassera par OOBE, donc si vous avez enregistré le périphérique et appliqué un profil, il passera ensuite par le processus Autopilot.
• Un nouveau commutateur -Delete (nécessite également -Online) supprimera l'appareil d'Autopilot/Intune/AAD avant de le réimporter. Ceci est utile si vous voulez que l'appareil se comporte comme un tout nouvel appareil (puisque cela supprimerait l'appareil des groupes).
• Un nouveau commutateur -UpdateTag (nécessite également -Online) peut être utilisé pour définir la balise de groupe sur un appareil existant enregistré dans Autopilot.
• Un nouveau commutateur -NewDevice (nécessite également -Online) pour contourner les vérifications visant à déterminer si le dispositif existe déjà dans l'AAD.
• Un nouveau commutateur -Preprov a été ajouté, qui permet d'appuyer cinq fois sur la touche Echap pour lancer le processus de préapprovisionnement (whiteglove).
• Une nouvelle logique a été ajoutée pour prendre en charge Graph v2 afin de charger automatiquement les modules Graph v2 nécessaires au script, de sorte qu'il n'est pas nécessaire de les installer manuellement au préalable. Il est intéressant de noter que la dépendance à WindowsAutopilotIntune a été supprimée et que la plupart (toutes ?) des cmdlets de ce module ont été ajoutées directement dans ce nouveau script.
• Une logique a été ajoutée pour nettoyer les objets temporaires des périphériques importés par Autopilot une fois l'importation terminée.

Get-AutopilotDiagnosticsCommunity comprend les changements suivants par rapport à l’original :

• Correction d'une erreur dans la gestion du LastLoggedState pour les applications Win32. (Cette erreur était relativement inoffensive, mais elle affichait une erreur dans la console avant d'être corrigée).
• Ajout de la prise en charge de l'authentification Graph v2 pour le commutateur -Online, et ajout de la prise en charge de l'authentification basée sur les applications à l'aide des nouveaux commutateurs -Tenant, -AppId, et -AppSecret (tous utilisés avec -Online). Comme pour le script Get-WindowsAutopilotInfoCommunity, il a supprimé la dépendance au script WindowsAutopilotIntune en copiant la logique dans ce script.

WindowsAutopilotIntuneCommunity comprend les changements suivants par rapport à l’original :

• Ajout de la prise en charge des modules Graph v2. Pour ce faire, la cmdlet Connect-MSGraphApp a été remplacée par Connect-ToGraph ; cette cmdlet a un paramètre -scopes supplémentaire qui peut devoir être spécifié si vous l'appelez directement.
• La plupart des cmdlets ont été modifiées afin qu'elles appellent automatiquement Connect-ToGraph avec les bons détails d'étendue. Si vous avez besoin d'une authentification basée sur l'application, vous pouvez spécifier les paramètres nécessaires (-Tenant, -AppId, -AppSecret) directement sur cette cmdlet.
• Une logique a été ajoutée pour gérer les numéros de série contenant des espaces.
• Une logique a été ajoutée pour gérer la propriété CloudAssignedRegion dans un fichier AutopilotConfigurationFile.json généré.

Source :  Use the new community modules for Autopilot – Out of Office Hours (oofhours.com)

J’ai moi-même fait face à ce problème. J’ai une machine Microsoft Entra Joined (AADJ) qui utilise le service Universal Print pour avoir accès aux imprimantes de mon entreprise. En parallèle, j’ai plusieurs comptes Microsoft Entra chez différents clients ou même un compte pour mon tenant de test.

Dans cette situation en essayant d’imprimer, vous obtenez des erreurs comme suit

Dans le journal d’événements Application de Windows, on constate les événements suivants tagués avec l’identifiant 1 :

On peut notamment retrouver les descriptions suivantes sur plusieurs événements qui s’enchainent :

SetChannelOAuth failed. hr: 0x8086000c
APMon.dll

User Interaction is Required to get an Access token and SetChannelOAuth
APMon.dll

Failed to get auth header silently with 0x8086000c
mcpmanagementservice.dll

User Interaction Required while trying to get a token silently. ErrorCode: 0xcaa20003, Error: AADSTS50196: The server terminated an operation because it encountered a client request loop. Please contact your app vendor. Trace ID: 515c9230-d60e-4260-9c4a-ba89d1ed5c01 Correlation ID: b377a2e0-e5d0-47e6-b9f0-fe6b199359ce Timestamp: 2024-01-02 10:31:22Z
mcpmanagementservice.dll

Parfois, vous pouvez constater une notification qui signale un problème d’authentification liée à l’impression.

Ce problème survient car à date Universal Print ne supporte pas le multicompte. Ainsi sur les postes concernés, vous devez demander à l’utilisateur de déconnecter le compte professionnel qui ne correspond pas à celui de l’organisation :

Une fois déconnecté et avec plus que le compte de l’organisation, l’impression peut être relancée et fonctionner comme attendu.

Il est à noter que Microsoft est au courant de ce problème et a planifié de le corriger dans des versions futures de Windows.

Je me permets de revenir sur les annonces de Microsoft qui ont eu lieu fin 2023 autour de la protection de l’identité et des identifiants.

Passwordless

Microsoft a annoncé en septembre le support de Passkeys dans Windows et l’intégration avec Windows Hello for Business.

Avec Windows 11 23H2, Microsoft a introduit

• L’usage du mot de passe temporaire comme première méthode de connexion ou récupération de mot de passe sur l’écran de connexion de Windows afin d’améliorer les scénarios d’authentification sans mot de passe.
• La capacité de désactiver les mots de passe sur les périphériques Entra ID Joined (AADJ) via le paramétrage GP/MDM « Enable Passwordless Expérience »

Authentification Windows

Microsoft va supprimer le support du SSO pour WDigest de Windows. Celui-ci est un ancien protocole d’authentification hérité qui demande un mot de passe en clair. Inévitablement ce dernier est une cible d’attaque pour les hackers. WDigest continuera d’être disponible mais le support du SSO va être retiré car il était déjà désactivé depuis Windows 8.1 et Server 2012 R2.

Microsoft va activer la protection Local Security Authority via les règles Attack Surface Reduction par défaut. Auparavant, cela avait été fait pour les nouvelles installations de Windows à partir de Windows 10 22H2. Microsoft va maintenant le faire lors de la mise à jour vers la prochaine version de Windows. Le système entrera dans un mode d’évaluation pour observer la compatibilité. Si aucune incompatibilité est détectée lors de la période d’évaluation, alors Microsoft activera cette règle ASR par défaut. Si un appel est réalisé et que la règle est activée, une fenêtre de notification informera l’utilisateur du blocage.

Lors du BlueHat 2023, Microsoft a annoncé vouloir aussi améliorer les fondamentaux autour de Kerberos en réalisant les changements suivants :

• AES comme algorithme de chiffrement par défaut en lieu et place de RC4
• Les algorithmes supportés sont étendus avec HMAC-SHA2 (AES128-CTS-HMAC-SHA256-128 et AES256-CTS-HMAC-SHA384-256)
• Intégrer des changements permettant de changer de manière plus aisée les algorithmes cryptographiques dans le futur.
• Support de SHA-2 pour Public Key Cryptography for Initial Authentication (PKINIT) côté serveur.
• Avec Windows 11 23H2, Microsoft va couvrir le scénario où le serveur KDC est non disponible pour utiliser le serveur applicatif comme proxy KDC.
• Avec Windows 11 23H2, Microsoft va couvrir le scénario qui représente 99% de l’usage de NTLM car vous n’avez pas de serveur KDC car vous êtes n’êtes pas On-Prem (Workgroup, etc.). Microsoft va construire un Local KDC sur le client via un l’utilisation du protocole SPNEGO qui essayera d’abord d’utiliser Kerberos puis IAKerb/LocalKDC et enfin NTLM si cela n’a pas fonctionné.
  Vous pouvez obtenir plus d’informations sur le plan de Microsoft pour retirer NTLM : The evolution of Windows authentication | Windows IT Pro Blog (microsoft.com)

Vous pouvez retrouver l’ensemble des annonces et la vidéo sur Linkedin

Gartner vient de publier le résultat de l’étude 2023 sur l’Endpoint Protection Platforms (EPP). Microsoft fait toujours parmi les leaders avec Palo Alto, Sophos, TrendMicro, SentinelOne, et CrowdStrike.

Parmi les forces :

• La forte réactivité de Microsoft sur le marché, ses antécédents et sa viabilité globale sont attribués à sa part de marché substantielle et à la croissance de sa part de marché dans le domaine de la sécurité. Les interactions avec les clients de Gartner montrent que ce fournisseur jouit d'une grande visibilité.
• La stratégie et l'innovation solides de Microsoft en matière de produits se reflètent dans l'étendue de sa suite de sécurité pour l'espace de travail et dans le couplage étroit avec son SIEM Microsoft Sentinel. Les améliorations récentes comprennent des capacités d'interruption automatique des attaques pour les incidents à forte probabilité.
• Le produit de Microsoft bénéficie de capacités de gestion de la configuration de la sécurité, fournissant une évaluation continue de la posture et des suggestions de remédiation recommandées pour remédier aux vulnérabilités et aux mauvaises configurations.
• Le produit de l'éditeur inclut une télémétrie par défaut généreuse des points d'extrémité et une conservation des événements de détection qui est supérieure à la moyenne des éditeurs de ce Magic Quadrant.

Parmi les faiblesses :

• Le produit de Microsoft est confronté à une prise en charge limitée des anciens systèmes d'exploitation et à une prise en charge généralement inégale des systèmes d'exploitation autres que Windows. Les clients de Gartner se plaignent notamment de la prise en charge et des performances des systèmes basés sur Linux.
• L'exécution des ventes de Microsoft est affectée par l'accent général mis sur la vente d'offres groupées de sécurité, ce qui crée souvent des produits d'étagère et des dépenses redondantes, comme l'ont signalé les clients de Gartner. En outre, des produits tels que Microsoft Defender for Servers ou Microsoft Sentinel ne sont pas pleinement représentés dans des offres populaires telles que E3 ou E5.
• L'évaluation de l'expérience client de Microsoft reflète une facilité d'utilisation inférieure à la moyenne, basée sur les impressions des analystes et des utilisateurs finaux concernant l'interface utilisateur de la console et la nécessité actuelle d'utiliser des tableaux de bord distincts pour les paramètres de protection des points d'extrémité et la gestion des événements de sécurité, malgré la consolidation en cours dans une expérience unifiée.
• Le produit de Microsoft est affecté par le manque d'options de déploiement sur site pour sa console de gestion EPP, ce qui le rend inadapté aux organisations qui n'ont pas de stratégie "cloud-first".

Vous pouvez accéder au rapport.

Source : ​​Microsoft is a Leader in the 2023 Gartner® Magic Quadrant for Endpoint Protection Platforms | Microsoft Security Blog

Les règles d’accès conditionnel de Microsoft Entra ID sont un rempart essentiel dans l’approche Zero Trust. Néanmoins, leur élaboration demande une véritable ingénierie pour s’assurer de la meilleure couverture de sécurité, de la meilleure expérience utilisateur et de la contextualisation de l’organisation.

Certains services utilisés par les services IT requierent parfois d’être positionnés dans les Exclusions en fonction des règles et des scénarios.

Par exemple, la fonctionnalité d’activation de Windows basée sur un abonnement comme Microsoft 365 E3/E5 ou Windows 10 E3/E5 (Windows Subscription Activation) doit permettre un accès sans contrainte (MFA, etc.). Ainsi chez un client, j’ai fait face à cette problématique car l’entreprise avait mis en place une règle d’accès conditionnel demandant une authentification à facteurs multiples (MFA) pour tous les services Cloud. Pour être honnête avec vous, je me bas contre cette règle qui ne protège que partiellement l’organisation et rend surtout l’expérience utilisateur très mauvaise sur des postes gérés (Microsoft Entra Hybrid Join ou enregistrés dans Microsoft Intune). Par exemple, elle a tendance à bloquer la synchronisation du service Microsoft Intune sur un poste géré avec une erreur visible dans la partie Accès Compte Professionnel – Informations.

Pour éviter ce problème, je recommande en général de créer une règle d’accès conditionnel qui comprend soit la demande du MFA soit un poste géré et conforme.

Néanmoins, certaines organisations continuent de vouloir demander du MFA dans toutes les conditions. Dans cette situation, il faut exclure un certain nombre d’applications Cloud de la stratégie. C’est donc le cas lorsque l’organisation utilise Windows Subscription Activation pour activer la licence Windows Entreprise de ses postes. Dans ce cas, vous devez exclure l’application avec l’identifiant suivant : 45a330b1-b1ec-4cc1-9161-9f03992aa49f

• Sur les anciens Tenants Microsoft Entra ID : Windows Store for Business
• Sur les nouveaux tenants Microsoft Entra ID : Universal Store Service APIs and Web Application

A l’occasion de l’Ignite 2023, Microsoft a annoncé le choix de basculer son moteur d’évaluation de vulnérabilités proposés dans Microsoft Defender for Cloud de Qualys vers Microsoft Defender Vulnerability Management.

Aujourd’hui, Microsoft annonce le retrait de Qualys des plans de service de Defender for Server et Defender for Containers.

A partir du 1er mai 2024, l'offre Qualys intégrée dans le plan Defender for Servers sera retirée. Tous les nouveaux clients de Defender for Servers se verront proposer l'option Qualys intégrée jusqu'au 15 janvier 2024. Après le retrait, les clients qui souhaitent continuer à utiliser Qualys peuvent choisir de s'abonner à Qualys Vulnerability Management, disponible en tant qu'option BYOL (Bring Your Own License).

De même, dans le cadre du plan Defender for Containers, l'offre intégrée de Qualys sera retirée d'ici le 1er mars 2024. Tous les nouveaux clients bénéficieront automatiquement de Defender Vulnerability Management.

Vous pouvez consulter le plan de transition pour les serveurs et les conteneurs.

Source : Defender for Cloud - Qualys retirement plan for Vulnerability assessment on cloud workloads - Microsoft Community Hub