Le beta-testing de la certification sur le dépannage de la connectivité dans Microsoft Azure a débuté. L’examen DP-500: Designing and Implementing Enterprise-Scale Analytics Solutions Using Microsoft Azure and Microsoft Power BI (beta) - Learn | Microsoft Docs est concerné avec les connaissances suivantes :

• Mettre en œuvre et gérer un environnement d'analyse de données (25-30%)
• Interroger et transformer des données (20-25%)
• Implémentation et gestion de modèles de données (25-30%)
• Exploration et visualisation des données (20-25%)

Cet examen permettra d’acquérir le statut Microsoft Certified: Azure Enterprise Data Analyst Associate - Learn | Microsoft Docs

Vous pouvez alors utiliser gratuitement le code suivant : DP500CARLSBAD.
Il doit être utilisé avant le 17 mai 2022.

Il n’y a que 300 places disponibles.

Source : Exam DP-500 (beta): Prove your skills as an Azure enterprise data analyst - Microsoft Tech Community

En septembre 2021, les journaux d’audit AIP ont été intégrés à l’Activity Explorer de Microsoft 365. Il n’est ainsi plus nécessaire d’utiliser Log Analytics pour les obtenir. Depuis le 18 mars 2022, il n’est pas possible d’onboarder de nouveaux workspace pour stocker ces journaux. Les clients existants qui utilisent Log Analytics pour les journaux d’audit pourront continuer de bénéficier du transfert de journaux dans le workspace jusqu’au 30 septembre 2022.

Vous devez donc utiliser Office 365 Management API pour obtenir accès à ces logs de manière programmatique.

Plus d’informations sur : Removed and retired services - Azure Information Protection | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Gestion du périphérique

• Nouvelle action à distance Remote Help dans le centre d’administration Microsoft Endpoint Manager afin de démarrer une session à distance sur un PC Cloud.
• Preview de l’optimisation de l’expérience utilisateur pour la connexion au PC Cloud de Windows 365. Ceci permet par exemple d’enregistrement automatiquement des comptes Azure AD dans le client Remote Desktop de Windows sans aucune interaction. Ceci peut se faire via des paramétrages Policy CSP proposés dans le Settings Catalog. C’esdt notamment le cas du paramètre : Auto-subscription (User)

Intégration

• Disponibilité Générale des sous-titres en direct dans Microsoft Teams sur Windows 365. Teams sur Windows 365 est une version spécifique et optimisée qui possède des fonctionnalités différentes du client Windows. Avec cette annonce, Windows 365 peut voir le texte du présentateur, changer la langue parlée (dans 28 langues différentes) etc.

• Public Preview d’une mise à jour des redirections de médias (MMR) dans Windows 365 afin de bénéficier d'une expérience de lecture vidéo plus fluide lorsqu'ils regardent des vidéos dans le navigateur Windows 365. Ces mises à jour permettent aux utilisateurs d'accéder à davantage de contrôles multimédias et permettent également à MMR de fonctionner sur des sites Web supplémentaires, tels que Facebook, IMBD, YouTube et Fox Sports.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft a publié un point d’entrée unique servant de bibliothèque de contenu technique autour de la sécurité. Le site permet d’accéder au contenu selon plusieurs vecteurs :

• Solution Areas : Sécurité, Conformité, Identité, Gestion et protection contre les menaces
• Produits
• Sujets : Applications et Services, Gestion de la conformité, Découvrir et réponse, Sécurité des emails, sécurité des terminaux.
• Rôles : Administrateur, Sécurité des applications et DevSecOps, Propriétaire d’entreprise, etc.

Accéder à cette bibliothèque de contenu

Microsoft vient de mettre à disposition une nouvelle version (1.2.3004) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction d'un problème où Narrator n'annonçait pas correctement les vues de grille ou de liste.
• Correction d'un problème pour lequel le processus msrdc.exe pouvait prendre beaucoup de temps pour se terminer après la fermeture de la dernière connexion Azure Virtual Desktop si les clients ont défini une politique d'expiration des jetons très courte.
• Mise à jour du message d'erreur qui s'affiche lorsque les utilisateurs ne parviennent pas à s'abonner à leur flux.
• Mise à jour des boîtes de dialogue de déconnexion qui s'affichent lorsque l'utilisateur verrouille sa session à distance ou met son ordinateur local en veille pour qu'elles soient uniquement informatives.
• Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et de flux.
• La redirection multimédia pour Azure Virtual Desktop a maintenant une mise à jour qui lui donne plus de compatibilité avec les sites et le contrôle des médias.
• Amélioration de la fiabilité des connexions pour Teams sur Azure Virtual Desktop.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Depuis plusieurs mois, Microsoft organise des Lives communautaires réalisés par les équipes produit afin de fournir toutes les réponses aux questions autour de Windows et Microsoft Endpoint Manager (Intune). Bien que les événements soient passés, ils constituent une mine d’informations sur différents sujets :

• Windows 10 -> Windows 11: What changes (and what doesn't)
• Unpacking endpoint management
• Windows 11 & Windows 10: servicing and lifecycle
• Windows security
• Universal Print
• Application compatibility
• Preparing for Windows 11 with Intune & Configuration Manager
• What's new and what's next with MSIX
• Windows 365
• Planning for Windows 11 with analytics
• Windows Update for Business
• Windows Autopilot
• Microsoft 365 and Windows licensing
• Microsoft Edge
• Deploying and managing Windows devices in education
• Windows 11 upgrade paths and deployment tools
• Delivery Optimization

On retrouve aussi des vidéos pour les webcasts : Tech Community Live: Windows edition - Microsoft Tech Community

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve :

• La Disponibilité Générale de Microsoft Defender for Business et l’ajout à tous les clients existants des abonnements Microsoft 365 Business Premium. Ceci apporte les fonctionnalités de Microsoft Defender for Endpoint Plan 1 à ces entreprises.
• Public Preview des améliorations de la queue de gestion des incidents avec :
  • Une vue synthétique des filtres appliqués. Vous pouvez voir tous les filtres appliqués à partir de l'en-tête de la file d'attente, et vous pouvez rapidement les modifier ou les désactiver.
  • La recherche d'un incident par ID ou par nom. Vous pouvez maintenant rechercher rapidement un incident spécifique par ID ou par nom.
  • La recherche des actifs impactés. Vous pouvez nommer un actif dans un filtre, tel qu'un nom d'utilisateur, de périphérique, de boîte aux lettres ou d'application, et trouver tous les incidents associés directement dans la file d'attente.
  • La spécification d’une plage de temps personnalisée. En plus des plages de temps prédéfinies, vous pouvez désormais spécifier une plage personnalisée qui comprend à la fois des dates et des heures.
• Nouvelle communauté GitHub unifiée pour Microsoft SIEM et XDR. Ceci permet au SOC de découvrir de manière centralisée les dernières requêtes de chasse et analyses pour Microsoft Sentinel et Microsoft Defender. En outre, les contributeurs de la communauté peuvent étendre leur impact à plusieurs produits avec une seule contribution. .

Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

Microsoft a publié un kit pour intégrer et passer à Windows 11. Ce dernier comprend les éléments suivants :

• Différents documents et livre blancs (FastTrack, Passwordless, W11 Enterprise, Security Book).
• Des outils d’évaluation de Windows 11 comprenant notamment des modèles d’email à destination des utilisateurs, des astuces, des posters et des stickers, etc.
• Des fiches pratiques à destination du support et des utilisateurs pour présenter les nouveautés

Télécharger Windows 11 Onboarding Kit from Official Microsoft Download Center

De plus en plus fréquemment, j’interviens chez des clients qui construisent des solutions d’automatisation via PowerShell ou d’autres langages pour automatiser des tâches d’administration dans les services reposant sur Microsoft Graph incluant Azure Active Directory, Microsoft Endpoint Manager (Intune), Autopilot, Microsoft 365, etc. Je me rends compte que beaucoup ne suivent pas les bonnes pratiques en la matière en créant des comptes utilisateurs parfois exclus des règles d’accès conditionnel pour faire tourner ces tâches planifiées et automatisées.

Il existe pourtant des méthodes très simples, efficaces, et sécurisées pour se connecter au Graph de Microsoft sans pour autant abaisser le niveau de sécurité mis en place. Vous pouvez pour cela utiliser :

• Les Service Principals correspondent à une application Azure AD dont les tokens peuvent être utiliser pour s’authentifier et obtenir l’accès à des ressources Azure spécifiques.
• Les Managed Identities sont dans le principe similaire aux Service Principals à la différence qu’elles sont liées à des ressources Azure. On en retrouve deux formats : les System assigned Managed Identities qui sont liées à une seule ressource Azure (VM, Web App, etc.) et les User assigned Managed Identities qui sont crées de manière autonome puis assignées à plusieurs ressources Azure.

Vous l’aurez compris chacune des solutions couvre un enjeu : Les Managed Identities peuvent être utilisées pour administrer vos ressources Azure alors que les Service Principals peuvent être utilisés pour gérer des services Cloud (Microsoft 365, Intune, etc.)

Dans cet article, j’aborderais la création d’un Service Principal dans le but d’exécuter par exemple des scripts de traitement sur un des services cités plus haut. On retrouve différentes étapes :

1. La création d’un certificat autosigné ou issu d’une autorité de certification de l’entreprise (plus sécurisé).
2. Création d’une application Azure Active Directory utilisée pour l’authentification
3. Associer le certificat
4. Associer les droits Microsoft Graph
5. Optionnel : Création d’une règle d’accès conditionnel pour sécuriser ces charges de travail. Cette étape peut être optionnelle mais elle permet de s’assurer que l’application ne peut être utilisée pour s’authentifier que depuis certains réseaux.
6. Mise en pratique

Création d’un certificat

On retrouve deux options :

• Créer un certificat à partir de l’autorité de certification de l’entreprise en utilisant un modèle disposant des capacités : Client Authentication. Cette méthode est la plus adéquate car elle permet de révoquer le certificat et faire connaître cette révocation via la liste de révocation de certificat (CRL).
• Créer un certificat autosigné.

Je détaillerais simplement la création d’un certificat autosigné mais vous pouvez aisément utiliser votre PKI.

Idéalement, sur la machine qui exécutera les scripts, exécutez les commandes suivantes pour créer un certificat autosigné valable 6 mois :

$pwd = "<Le Mot de passe de la clé privée du certificat>"

$notAfter = (Get-Date).AddMonths(6) # Valide pour 6 mois

$thumb = (New-SelfSignedCertificate -DnsName "<Nom du tenant>.onmicrosoft.com" -CertStoreLocation "cert:\LocalMachine\My"  -KeyExportPolicy Exportable -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -NotAfter $notAfter).Thumbprint

$pwd = ConvertTo-SecureString -String $pwd -Force -AsPlainText

Export-PfxCertificate -cert "cert:\localmachine\my\$thumb" -FilePath c:\temp\CertAutomatisation.pfx -Password $pwd

Le certificat apparaît dans le store de la machine ainsi qu’à l’emplacement spécifié            

L’étape suivante consiste à exporter le certificat sans sa clé privée :

Note : Je ne détaille pas l’intégralité des étapes d’export mais veillez à ne pas cocher l’export de la clé privée et à exporter le certificat au format CER.

Création d’une application Azure Active Directory

Cette étape permet la création d’une application Azure AD qui sera utilisé pour réaliser l’authentification ainsi que la délégation des permissions adéquates.
Il n’existe pas une seule règle quant à la création des applications Azure AD, ceci doit être réfléchi et dépendre de la gouvernance en place. Vous pouvez par exemple :

• Créer des applications Azure AD dédié par équipe avec les droits granulaires nécessaires à l’automatisation des tâches de l’équipe
• Créer des applications Azure AD dédié à certaines tâches / applications avec les droits granulaires nécessaires à l’automatisation des tâches de l’application

Pour ce faire, ouvrez le portail d’administration d’Azure Active Directory et naviguez dans App Registration puis cliquez sur New registration :

Entrez le nom de l’application et sélectionnez Account in this organizational directory only puis choisssez Register.

Associer le certificat

Une fois l’application créée, vous devez associer le certificat qui sera utilisée pour s’authentifier. Pour cela, une fois l’application créée, choisissez Certificates & Secrets.

Choisissez Certificate si vous utilisez un certificat et cliquez sur Upload certificate.
Sélectionnez le certificat précédemment exporté dans l’étape 1 et spécifiez une description puis cliquez sur Add.

Une fois importé, vous retrouvez le certificat dans le portail :

Maintenant que vous avez configuré les capacités qui vous permettront de vous authentifier, vous pouvez passer à l’association des droits Microsoft Graph dont vous aurez besoin.

Associer les droits Microsoft Graph

On retrouve différents types de permissions :

• Delegated correspond à des permissions déléguées à des utilisateurs pouvant se connecter physiquement au service.
• Application correspond aux permissions déléguées pour des applications ou des services comme c’est le cas pour les Service Principals. Ce sont ces permissions qui nous intéressent.

Pour associer les droits, cliquez sur API Permissions.
Commencez par supprimer la permission User.Read Delegated :

Confirmez la suppression.

Cliquez ensuite sur Add a permission :

La page de sélection des APIs vous permet de choisir les services cibles. On retrouve notamment :

• Microsoft Graph qui propose des permissions pour Office 365, Azure AD, Microsoft Endpoint Manager (Intune), Autopilot, OneNote, SharePoint, Planner, Microsoft Information Protection, etc.
• Azure DevOps
• Azure Services Management
• Intune pour des permissions relatives à des intégrations partenaires (Data Warehouse, Stratégie de conformité partenaire, etc.)
• Etc.

Dans la majorité des cas, ce seront les permissions issues de Microsoft Graph qui vous intéresserons.

Comme expliqué précédemment, choisissez ensuite Application permissions :

Une fois sélectionné, vous avez accès à l’ensemble des catégories de permissions disponibles. Choisissez ensuite de manière granulaire toutes les permissions que vous souhaitez mettre à disposition :

Cliquez sur Add permissions.

Une fois ajouté, les permissions apparaissent. Vous devez ensuite donner le consentement pour le tenant en cliquant grant admin consent for <Tenant>

Vous constatez ensuite que les droits ont été consentis :

Création d’une règle d’accès conditionnel pour sécuriser ces charges de travail

Cette étape n’est pas obligatoire mais fortement recommandée puisqu’elle permet de s’assurer que cette application Azure AD et ses permissions associées, ne peut être utilisée que dans certaines conditions (notamment d’être présent sur un réseau spécifique).

Pour ce faire, ouvrez le portail d’administration Azure AD et naviguez dans Azure Active Directory puis Security et Conditional Access. Choisissez Named locations puis cliquez IP ranges location :

Nommez l’emplacement et ajoutez les adresses IP en cliquant sur + puis en spécifiant l’adresse IP ou la plage associée et Add. Enfin, cliquez sur Create.

Dans Policies, cliquez sur New policy et Create new policy.

Nommez la stratégie d’accès conditionnel selon votre convention de nommage puis cliquez sur Users or workload identities. Choisissez Workload identities et :

• Choisissez All owned service principals pour cibler tous ces types de charges de travail. Avant validez les types de charge de travail pour s’assurer de l’impact associée.
• Choisissez select service principals et le service principal associé.

Choisissez ensuite Cloud Apps or actions puis sélectionnez All cloud apps :

Dans Conditions, ouvrez Locations. Cliquez sur Configure : Yes puis Any location dans Include.
Cliquez sur Exclude puis select et choisissez l’emplacement nommé précédemment créé.

Dans Grant, vérifiez que la condition Block Access est sélectionnée :

Cliquez sur On pour activer la stratégie puis Create. Accessoirement, vous pouvez la créer en mode Report-Only pour voir l’impact de la stratégie via l’espace Sign-In logs.

Mise en pratique

Vous pouvez ensuite utiliser le module Microsoft.Graph et les commandes suivantes pour se connecter.
Pour se connecter, on retrouve deux solutions :

1. Utiliser le certificat présent dans le store de l’utilisateur
   Import-module Microsoft.Graph
   Connect-MGGraph -TenantId "<TenantID>" -ClientId "<ClientID de l’application>" -CertificateThumbprint "EMPREINTE/THUMBPRINT du certificat"

2. Utiliser le certificat présent physiquement sur le disque

Import-module Microsoft.Graph
# Load from path.
$password= "<Le Mot de passe de la clé privée du certificat>"

$passwordSecure = ConvertTo-SecureString -AsPlainText -Force $password

$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<Chemin vers le certificat PFX>\ CertAutomatisation.pfx", $passwordSecure)

Connect-MGGraph -TenantId "<TenantID>" -ClientId  "<ClientID de l’application>" -Certificate $cert

Note : L’identifiant cliente de l’application peut se trouver sur la page Overview / Aperçu de l’application que nous avons créé précédemment.

Vous pouvez ensuite lancer une commande permettant de lister les ressources sur lesquelles vous avez les droits.

Bon scripting !

Rod Trent (MSFT) a publié une série d’articles permettant d’aborder les concepts généraux du Kusto Query Language (KQL) utilisé par de nombreux produits de sécurité (Microsoft 365 Defender, Microsoft Sentinel, etc.). Bref, cela devient un incontournable ! Vous pouvez donc utiliser les articles suivants :

• Must Learn KQL Part 1: Tools and Resources
• Must Learn KQL Part 2: Just Above Sea Level
• Must Learn KQL Part 3: Workflow
• Must Learn KQL Part 4: Search for Fun and Profit
• Must Learn KQL Part 5: Turn Search into Workflow
• Must Learn KQL Part 6: Interface Intimacy
• Must Learn KQL Part 7: Schema Talk
• Must Learn KQL Part 8: The Where Operator
• Must Learn KQL Part 9: The Limit/Take Operators
• Must Learn KQL Part 10: The Count Operator
• Must Learn KQL Part 11: The Summarize Operator
• Must Learn KQL Part 12: The Render Operator (with Bin and Time)
• Must Learn KQL Part 13: The Extend Operator
• Must Learn KQL Part 14: The Project Operator
• Must Learn KQL Part 15: The Distinct Operator
• Must Learn KQL Part 16: The Order/Sort and Top Operators
• Must Learn KQL Part 17: The Let Statement
• Must Learn KQL Part 18: The Union Operator
• Must Learn KQL Part 19: The Join Operator
• Must Learn KQL Part 20: Building your first Microsoft Sentinel Analytics Rule

On retrouve aussi un eBook : MustLearnKQL/Book_Version at main · rod-trent/MustLearnKQL · GitHub

Il existe aussi une chaine Youtube : https://cda.ms/3Jx

J’étais passé à côté de cette annonce, l’équipe Microsoft WDAC a publié une application de bureau Windows open-source écrite en C# et fournie sous forme de paquet MSIX. L'assistant a été conçu pour fournir un moyen plus convivial de créer, modifier et fusionner les politiques WDAC. L'application de bureau Wizard utilise les Cmdlets PowerShell de ConfigCI en backend, de sorte que la politique de sortie de l'assistant et des cmdlets PowerShell soient identique.

Plus d’informations sur : Windows Defender Application Control Wizard - Windows security | Microsoft Docs

Télécharger Microsoft WDAC Wizard (webapp-wdac-wizard.azurewebsites.net)

Microsoft a communiqué que le passage prochain de Microsoft Edge (Chromium) à la version 100 peut avoir un impact sur certains scripts ou certaines analyses côté serveur qui utilisateur un analyseur bugué pour déterminer le numéro de version de la chaîne User-Agent. En, effet, Microsoft reverra dans l’en-tête User-Agent, une valeur tel que Edg/100.

Il est recommandé de valider le comportement sur les sites. Avec la version 97 d’Edge, Microsoft a permis d’emuler la version en activant l'indicateur expérimental #force-major-version-to-100 dans edge://flags.

Vous pouvez aussi utiliser la version Dev ou Bêta (prochainement) pour valider les sites.

Plus d’informations sur : Site compatibility-impacting changes coming to Microsoft Edge - Microsoft Edge Development | Microsoft Docs

Je vous communique fréquemment les dépréciations des versions d’iOS ou Android pour Microsoft Endpoint Manager (Intune). A cette date, Intune supporte iOS 13/iPadOS 13 ou plus et macOS 10.15+. Microsoft Intune va commencer à bloquer l’enregistrement de nouveaux périphériques utilisant iOS 12/iPadOS 12 et macOS 10.12 afin d’assurer que les périphériques ont les mises à jour de sécurité essentielles provenant d’Apple.

Voici la liste des périphériques supportés par iOS 13 ou iPadOS 13 :

• Supported iPhone models
• Supported iPad models

Vous pouvez obtenir une vision des périphériques concernés en utilisant le portail :

• En naviguant dans Devices – All devices et en filtrant sur le système
• Pour les stratégies de protection applicatives en naviguant dans Apps > Monitor > App protection status > App Protection report: iOS, Android

Le beta-testing de la certification sur l’architecture en cybersécurité Microsoft a débuté. L’examen Examen SC-100 : Architecte en cybersécurité Microsoft (bêta) - Learn | Microsoft Docs est concerné avec les connaissances suivantes :

• Concevoir une stratégie et une architecture Zero Trust (30-35%)
• Évaluer les stratégies techniques de gouvernance, de risque et de conformité (GRC) et les stratégies d'opérations de sécurité (20-25 %).
• Concevoir la sécurité de l'infrastructure (20-25%)
• Concevoir une stratégie pour les données et les applications (20-25%)

Cet examen permettra d’acquérir le statut Microsoft Certified: Cybersecurity Architect Expert - Learn | Microsoft Docs

Vous pouvez alors utiliser gratuitement le code suivant : SC100ARCH.
Il doit être utilisé avant le 5 mai 2022.

Il n’y a que 300 places disponibles.

Source : New certification for Security Architects - Microsoft Tech Community

Microsoft a démarré une série de vidéos/démos basées sur des scénarios pour démontrer Microsoft Information Protection (MIP) and Microsoft Information Governance (MIG). Les vidéos permettent de montrer de manière scriptée comment implémenter les solutions protéger et gouverner l’information. Ces vidéos sont donc un bon moyen de se former sur ces solutions.

Voici la liste des vidéos :

• SBD01 - Series Intro &Requirements - Classification & Governance Overview - Microsoft 365 Compliance - YouTube
• SBD02 - Data Discovery&Risk Analysis - Classification&Governance Taxonomy - Microsoft 365 Compliance - YouTube
• E03 - Security vs Compliance - Compliance Customer Experience Engineering (CxE) (microsoft.github.io)
• SBD04 - AIP Scanner - Microsoft 365 Compliance - YouTube
• SBD05 - Sensitivity Labels for Content - Part01 - Microsoft 365 Compliance - YouTube
• SBD06 - Sensitivity Labels for Content - Part02 - Microsoft 365 Compliance - YouTube
• SBD07 - Sensitivity Labels for Containers - Microsoft 365 Compliance - YouTube
• SBD08 - Custom SITs and Client-side Auto Labeling - Microsoft 365 Compliance - YouTube
• SBD09 - Service-side Auto Labeling - Microsoft 365 Compliance - YouTube
• SBD10 - Microsoft Endpoint Management (Intune) with MIP - Part01 - Microsoft 365 Compliance - YouTube
• SBD11 - Microsoft Endpoint Management (Intune) with MIP - Part02 - Microsoft 365 Compliance - YouTube

Accéder à la chaine : M365 Compliance - Scenario Based Demos (SBD) - YouTube

Bon visionnage !

Microsoft a annoncé la suppression des exceptions sur certains paramètres de conformité dans Microsoft Endpoint Manager qu’il avait appliqué à l’échelle de tous les tenants pour les périphériques Teams sous Android. Ces exclusions seront supprimées en Septembre 2022, elle s’assure aujourd’hui que ces périphériques ne sont pas impactés par des stratégies de conformité qu’ils ne sont pas capable de supporter. Cette configuration dans le backend du service, avait été positionné par Microsoft car il n’y avait pas de moyen efficace et granulaire d’inclure ou d’exclure les périphériques. Avec l’arrivée des filtres, il est maintenant possible de créer cette granularité.

Avant septembre, vous devez donc mettre à jour vos stratégies de conformité Android Device Administrator pour inclure ou exclure les périphériques Teams sous Android avec la fonctionnalité des filtres. Les stratégies comportant notamment les paramètres suivants peuvent être concernés :

• Device Health : Require the device to be at or under the Device Threat Level
• Sous : Google Play Protect
  • Google Play Services is configured
  • Up-to-date security provider
  • Threat scan on apps
  • SafetyNet device attestation
• Sous Device Properties : Minimum OS version
• Sous System Security
  • Passcode requirements
  • Encryption
  • Minimum security patch level

Si vous utilisez des périphériques Teams sous Android et que vous ne prenez pas d’actions, alors il se peut que vous ne puissiez utiliser ces périphériques en question.

Microsoft lance un canal Preview spécifique à Microsoft Information Protection dans les apps Microsoft 365. Ceci permet d’entrevoir les nouveautés sur la protection de l’information arrivant dans les applications Microsoft 365. Cet anneau de Preview permet aux clients de nommer leurs tenants et d'obtenir un accès anticipé aux fonctionnalités de la Private Preview à venir, qui se concentrent sur les capacités d'étiquetage natives (Native Labeling) dans les applications Microsoft 365.

Pour nominer votre tenant de tests, vous pouvez utiliser : https://aka.ms/MIP/PreviewRing

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en mars 2022.

Microsoft apporte les nouveautés suivantes :

• 29 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Informatica Platform, Buttonwood Central SSO, Blockbax, Datto Workplace Single Sign On, Atlas by Workland, Simply.Coach, Benevity, Engage Absence Management, LitLingo App Authentication, ADP EMEA French HR Portal mon.adp.com, Ready Room, Rainmaker UPSMQDEV, Axway CSOS, Alloy, U.S. Bank Prepaid, EdApp, GoSimplo, Snow Atlas SSO, Abacus.AI, Culture Shift, StaySafe Hub, OpenLearning, Draup, Inc, Air, Regulatory Lab, SafetyLine, Zest, iGrafx Platform, Tracker Software Technologies.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • AlexisHR
  • embed signage
  • Joyn FSM
  • KPN Grip
  • MURAL Identity
  • Palo Alto Networks SCIM Connector
  • Tap App Security
  • Yellowbox
• Public Preview des recommandations Azure Active Directory permettant d’avoir des indicateurs personnalisés avec des guides actionnables pour vous aider à identifier les opportunités d’implémenter des bonnes pratiques Azure AD sur le tenant. A date, il existe 5 recommandations mais le nombre devrait s’étoffer dans les prochains mois. Un scan du service est effectué toutes les 24 heures pour vérifier les conditions de chaque recommandation. Parmi les recommandations disponibles, on retrouve :

• 1. Intégrer des applications tierces avec Azure AD
  2. Convertir le MFA par utilisateur en MFA à accès conditionnel.
  3. Minimiser les invites MFA pour les utilisateurs se connectant à partir d'appareils inconnus.
  4. Migrer les applications d'AD FS vers Azure AD
  5. Migrer les utilisateurs éligibles des SMS et des appels vocaux pour utiliser l'application Authenticator.

• Disponibilité Générale des rôles personnalisés pour la gestion des applications déléguées via Azure AD RBAC. Cette fonctionnalité requiert Azure AD Premium P1.

• Public Preview permettant d’ajouter des périphériques aux unités d’administration (Administrative Units) et des rôles personnalisés (RBAC) avec des permissions liées aux objets de périphériques

• Public Preview du support des règles d’appartenance dynamique pour les unités d’administration concernant les membres utilisateurs et périphériques. Ceci permet d’éviter d’assigner manuellement les membres ou de créer des scripts pour le faire.

• Microsoft a publié un nouveau classeur / Workbook Authentication Prompt Analysis pour obtenir une vision des prompts d’authentification par méthode, par périphériques, par utilisateur, par application, par processus, par stratégie d’authentification. On y retrouve aussi des recommandations.

• Public Preview de nouvelles APIs pour récupérer les affectations de rôles transitifs et les permissions de rôles via transitiveRoleAssignments et unifiedRbacResourceAction.

On retrouve les modifications de service suivantes :

• En avril 2020, Microsoft annonçait la disponibilité générale de la nouvelle expérience d'enregistrement combinée, permettant aux utilisateurs d'enregistrer des informations de sécurité pour l'authentification à facteurs multiples et la réinitialisation de mot de passe en libre-service en même temps. Microsoft vient d'annoncer que l'expérience d'enregistrement combiné des informations de sécurité sera activée pour tous les clients non activés après le 30 septembre 2022. Ce changement n'a pas d'impact sur les tenants créés après le 15 août 2020, ni sur les tenants situés dans la région de la Chine.

Plus d’informations sur : What’s new Azure AD

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Microsoft rationalise l'expérience de soumission dans Microsoft Defender pour Office 365 avec une expérience unifiée et rationalisée pour simplifier l’expérience. Vous retrouver l’espace Submissions sous Actions & Submissions. On y retrouve des espaces Emails, Pièces jointes, URLs et messages renvoyés par l’utilisateur.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Pour rappel, le connecteur de certificats pour Microsoft Endpoint Manager (Intune) supporte chaque version pour une durée de 6 mois après la dernière publication. Passé ces 6 mois, le connecteur n’est plus supporté et peut ne pas fonctionner. A partir du 1^er juin 2022, les connecteurs de certificats Intune d’une version antérieur à 6.2101.13.0, ne permettront plus de délivrer des certificats aux utilisateurs et aux périphériques.

Le dernier connecteur date du 10 mars 2022 en version 6.2202.38.0

Vous avez dû recevoir un message dans le centre de messages de Microsoft pour vous signifier que vous utilisiez une version périmée.
Dans ce cas, vous pouvez télécharger et installer le nouveau connecteur : Vue d’ensemble de Certificate Connector pour Microsoft Intune - Azure | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [macOS] Public Preview pour l’utilisation de bootstrap tokens pour les périphériques macOS 10.15+ gérés. Les jetons d'amorçage permettent aux utilisateurs non administrateurs d'avoir des autorisations MDM accrues et d'exécuter des fonctions logicielles spécifiques au nom de l'administrateur informatique. Les jetons sont pris en charge sur :
  • les appareils supervisés (dans Intune, il s'agit de toutes les inscriptions approuvées par l'utilisateur)
  • Les appareils inscrits dans Intune par le biais de l'inscription automatique des appareils Apple.
• [macOS] Il est maintenant possible d’enregistrer des machines virtuelles s’exécutant sur Apple Silicon. Ceci est proposé à des fins de tests.

Gestion du périphérique

• [Android Enterprise] Les clients peuvent consulter l'adresse IPv4 et l'ID du sous-réseau Wi-Fi signalés pour les appareils Android Enterprise corporate-owned fully managed, dedicated, et work profile.
• [Android Enterprise] Pour les appareils Android Enterprise appartenant à l'entreprise et fonctionnant à partir de la version 9.0, vous pouvez configurer des périodes de gel pendant lesquelles aucune mise à jour du système ou de sécurité ne peut être installée. Pour configurer un gel, utilisez les profils de restriction d'appareils Intune pour définir un ou plusieurs blocs qui peuvent se répéter chaque année. Chaque bloc peut durer jusqu'à 90 jours, mais vous devez respecter un délai minimum de 60 jours entre les périodes de gel, pendant lesquelles les mises à jour du système sont autorisées à être installées. Plus d’informations sur les périodes de gel.
• [Android AOSP] Les utilisateurs de périphériques AOSP peuvent désormais afficher une liste de leurs périphériques gérés et de leurs propriétés dans l'application Microsoft Intune. Cette fonctionnalité est disponible sur les appareils inscrits dans Intune en tant qu'appareils AOSP associés à l'utilisateur (Android).
• [iOS/iPadOS] Public Preview permettant de mettre à jour en masse les plans de données cellulaire pour iOS et Android via la fonction Devices > Bulk device action > Update cellular data.
• [iOS/iPadOS] Lorsque vous effectuez une action en masse sur les appareils (Devices > Bulk device action > Wipe) pour effacer à distance les appareils iOS/iPadOS, tout plan de données cellulaires sur l'appareil sera préservé. Toutefois, si vous souhaitez que le plan de données des appareils soit supprimé, vous avez la possibilité de cocher une case et de supprimer le plan de données cellulaires lors du nettoyage des appareils.

Configuration du périphérique

• [Général] Il existe désormais une nouvelle expérience de rapports pour les profils de configuration de périphériques. Cette expérience de rapport exclut les modèles administratifs Windows (ADMX), les périphériques Android Enterprise avec OEMConfig et les types de profil DFCI (Device Firmware Configuration Interface). Microsoft continue à mettre à jour les rapports afin d'améliorer la cohérence, la précision, l'organisation et la représentation des données, ce qui donne un " lifting " général des rapports par politique d'Intune. La nouvelle expérience met à jour la page de vue d'ensemble de chaque politique pour s'éloigner des diagrammes en forme de donuts et adopter un diagramme plus élégant qui se met rapidement à jour au fur et à mesure que les périphériques/utilisateurs sont enregistrés. Trois rapports sont disponibles à partir de la vue par politique :
  • Device and user check-in status - Ce rapport combine les informations qui étaient auparavant réparties dans des rapports distincts sur l'état des appareils et des utilisateurs. Ce rapport affiche la liste des enregistrements de périphériques et d'utilisateurs pour le profil de configuration du périphérique, avec l'état de l'enregistrement et l'heure du dernier enregistrement.
  • Device assignment status - Ce rapport présente des données sur le dernier état des périphériques affectés à partir du profil de configuration du périphérique.
  • Per setting status - Ce rapport présente le résumé des enregistrements de périphériques et d'utilisateurs qui sont en état de réussite, de conflit ou d'erreur au niveau du paramètre granulaire dans le profil de configuration du périphérique. Ce rapport exploite les mêmes mises à jour de cohérence et de performance ainsi que les outils de navigation que nous avons mis à la disposition des autres rapports.
• [Windows 10] Les paramètres de Google Chrome sont inclus dans le catalogue de paramètres (Settings Catalog) et les modèles d'administration (ADMX). Auparavant, pour configurer les paramètres de Google Chrome sur les périphériques Windows, vous deviez créer une stratégie de configuration de périphérique OMA-URI personnalisée.
• [macOS] Le catalogue de paramètres comporte de nouveaux paramètres macOS que vous pouvez configurer (Devices > Configuration profiles > Create profile > macOS pour plateforme >Settings catalog (preview) comme type de profil). On en retrouve dans les catégories : User Experience > Accessibility, Air Play, User Expérience > Desktop, Preferences > Global Preferences, Printing > Printing, Security > Security Preferences, Preferences > System Preferences, Preferences > User Preferences, Priting > Air Printing, Networking > Firewall, Login > Login Items, Login > Login Windows Behavior, System Policy > System Policy Control, System Policy > System Policy Managed.

Gestion des applications

• [Général] Les applications du portail d’entreprise ou Microsoft Intune utilisent les paramètres de feedbacks définis dans les stratégies du centre d’administration Microsoft 365.
• [Général] Nouvelle application supportant les stratégies de protection applicative : CAPTOR for Intune by Inkscreen LLC.
• [Android Enterprise] L'OS Android 12L contient de nouvelles fonctionnalités conçues pour améliorer l'expérience Android 12 sur les appareils à double écran grand format et pliants. Les applications Intune prennent désormais en charge Android 12L OS sur les appareils Android à double écran.
• [Android Enterprise] Sur les appareils Android Enterprise dédiés utilisant Managed Home Screen, les clients peuvent maintenant utiliser la configuration de l'application pour configurer l'application de Managed Home Screen afin d'afficher le numéro de série de l'appareil sur toutes les versions du système d'exploitation prises en charge (8 et plus).
• [iOS/iPadOS] Pour rappel, la fonctionnalité d’envoi de notifications requiert la mise à jour du portail d’entreprise de Mars 2022.
• [macOS] Vous pouvez désormais uploader et déployer des fichiers d'installation de type PKG en tant qu'applications d'entreprise macOS. Vous pouvez ajouter une application LOB macOS à partir du centre d'administration de Microsoft Endpoint Manager en sélectionnant Apps > macOS > Add > Line-of-business app.
• [macOS] Microsoft a ajouté la possibilité aux administrateurs d’assigner la désinstallation de certaines applications macOS.

Sécurité du périphérique

• [Windows 10] Disponibilité Générale des profils unifiées pour l’Antivirus Microsoft Defender. On en retrouve deux : Un pour les périphériques gérés par ConfigMgr en mode Tenant Attach et un pour les périphériques gérés soit par Microsoft Intune (cogéré ou non) ou par Microsoft Defender for Endpoint (MDE).

Supervision et Dépannage

• [Général] L'action à distance pour collecter des diagnostics permettra de recueillir des détails supplémentaires sur les appareils Windows.  (Devices > Windows > select a Windows device > Collect diagnostics). Les nouveaux détails incluent le Microsoft-Windows-AppxPackaging/Operational Event Viewer et les fichiers journaux Office suivants pour aider à résoudre les problèmes d'installation Office.

RBAC

• [Général] Android (AOSP) supporte les balises d’étendue (Scope Tags) et les paramétrages RBAC.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Microsoft a mis à disposition System Center 2022 sur les différents canaux (MVLS, MSDN, etc.). Microsoft avait déjà mis à disposition les versions d'évaluation. System Center 2022 Data Protection Manager sera disponible le 1er mai.

Voici les nouveautés :

Operations Manager

• Amélioration du modèle RBAC avec de nouveaux rôles :
  • Un nouveau rôle intégré, Read-only Administrator, est proposé. Ce rôle fournit toutes les autorisations de lecture dans Operations Manager, y compris la création de rapports.
  • Vous pouvez créer des rôles d'utilisateur personnalisés avec des permissions spécifiques. La gestion des agents prend désormais en charge deux nouvelles sous-catégories - Deploy Agents et Repair Agents, qui fournissent implicitement des autorisations pour les actions en attente des agents.
  • Un nouveau profil d'administrateur délégué a été introduit, qui est un administrateur en lecture seule, à l'exception des rapports. Vous pouvez créer un rôle d'utilisateur personnalisé avec Administrateur délégué comme profil de base et lui ajouter une ou plusieurs permissions parmi les catégories disponibles.
• Pour les organisations où NTLM est désactivé, vous pouvez sélectionner le type d'authentification de Reporting Manager comme Windows Negotiate, lors de l'installation.
• L'administrateur peut choisir de fermer une alerte d'un moniteur de santé, qui est dans un état malsain (Unhealthy).
• Vous pouvez configurer et mettre à niveau les bases de données Operations Manager avec une configuration SQL Always-On existante sans qu'il soit nécessaire de modifier la configuration ultérieure.
• Avant Operations Manager 2016, l'agent Linux générait des certificats et les chiffrait avec SHA1. Depuis 2016, l'agent Linux génère un certificat SHA1 puis, dans le cadre du processus de découverte, le certificat est chiffré avec SHA256. Avec Operations Manager 2022, le certificat est chiffré avec SHA256.
• Operations Manager 2022 supporte groupId dans l'API Get Alert data.
• Vous pouvez visualiser la source (FQDN) lors du réglage d'un management pack.
• Operations Manager 2022 supporte l'option de tri par colonne, dans Overrides Summary.
• Les valeurs de quelques registres qui sont personnalisés (généralement) sont conservées lorsqu'une mise à jour (UR/Hotfix) est installée ou mise à niveau d'Operations Manager 2019 à Operations Manager 2022.
• Operations Manager 2022 prend en charge l'affichage de la source des alertes (moniteur/règle) sous Console > Monitoring > Active Alerts.
• Operations Manager 2022 apporte les modifications suivantes :
  • LocalSystem n'est plus utilisé en interne à la place du compte d'action par défaut. Ce dernier était utilisé auparavant pour la configuration de l'APM, le compte de surveillance privilégié, le repli du profil RunAs. Une association a été créée pour le profil RunAs Validate Subscription Account.
  • Le compte LocalSystem est toujours ajouté au groupe d'administrateurs d'Operations Manager par la configuration, mais il est maintenant visible dans la console et peut être supprimé et ajouté plus tard si nécessaire.
• Avec Operations Manager 2022, tous les rapports de suivi des changements sont disponibles dans un seul dossier nommé Change Tracking.
• Support de .NET 4.8
• La version PowerShell 3.0 est la version minimale requise. PowerShell 3.0 fonctionne avec une version supérieure de .NET (.NET 4.8) et une version supérieure de CLR.
• Vous devez installer MSOLEDBSQL avant d'installer Operations Manager.
• Support des navigateurs les plus récents suivants : Chrome et Edge :
  • Internet Explorer version 11
  • Microsoft Edge version 88 et ultérieure
  • Google Chrome version 88 et ultérieure
  • Prend en charge Ubuntu 20, Oracle Linux 8, Debian 10 et Debian 11.
  • Suppression de la prise en charge d'AIX, Solaris, RHEL 5, RHEL 6, RHEL 7 (PPC), CentOS 6, Debian 8, SLES 11, SLES 12 PPC, Ubuntu 16.

Service Manager

• Il n’y a pas de nouvelles fonctionnalités dans Service Manager 2022.

Orchestrator

• Orchestrator 2022 comprend tous les problèmes résolus jusqu’à orchestrator 2019 UR3..

Service Management Automation

• Il n’y a pas de nouvelles fonctionnalités dans Service Management Automation 2022.

Virtual Machine Manager

• Support de Windows Server 2022 pour hôtes ou machines virtuelles invitées.
• Support de Windows 11 comme machine virtuelle invitée.
• Support des clusters Azure Stack HCI 21H2
• VMM 2022 supporte l’enregistrement et la désinscription par des cmdlets PowerShell pour les clusters Azure Stack HCI.

• VMM 2022 supporte le déploiement de Software Defined Network Dual Stack (IPv4 + IPv6). Pour activer Ipv6 pour le déploiement SDN, vous devez effectuer les changements nécessaires dans la configuration du contrôleur réseau, de la passerelle et du SLB.

Plus d’informations sur : Announcement: System Center 2022 is here! - Microsoft Tech Community

Voir la Release Note et les problèmes connus pour chaque produit :

• System Center Operations Manager
• System Center Service Management Automation
• System Center Service Manager
• System Center Orchestrator
• System Center Virtual Machine Manager

Télécharger :

• System Center 2022 Service Manager – Evaluation
• System Center 2022 Operations Manager – Evaluation
• System Center 2022 Orchestrator – Evaluation
• System Center 2022 Virtual Machine Manager – Evaluation

Note : System Center 2022 Data Protection Manager sera disponible le 1^er mai.

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Disponibilité Générale des nouvelles actions de réponse permettant de cibler des comptes Active Directory lors d’un événement de compromission. Ceci vient enfin compléter des demandes de la plupart des clients. Il devient possible de désactiver l’utilisateur ou réinitialiser le mot de passe de l’utilisateur. Ces actions requièrent la mise en place d’un compte gMSA qui est utilisé par MDI pour effectuer les actions

• Microsoft Defender for Identity peut désormais surveiller les requêtes LDAP supplémentaires dans votre réseau. Ces activités LDAP sont envoyées via le protocole Active Directory Web Service et se comportent comme des requêtes LDAP normales. Pour avoir une visibilité sur ces activités, vous devez activer l'événement 1644 sur vos contrôleurs de domaine. Cet événement couvre les activités LDAP dans votre domaine et est principalement utilisé pour identifier les recherches LDAP (Lightweight Directory Access Protocol) coûteuses, inefficaces ou lentes qui sont gérées par les contrôleurs de domaine Active Directory.
• Lorsque vous installez le capteur à partir d'un nouveau package, la version du capteur sous Ajout/Suppression de programmes apparaîtra avec le numéro de version complet (par exemple, 2.176.x.y), par opposition à la version statique 2.0.0.0 qui était affichée auparavant. Il continuera à afficher cette version (celle qui a été installée par le biais du package) même si la version sera mise à jour par les mises à jour automatiques de Defender for Identity. La version réelle peut être consultée sur la page des paramètres du capteur dans le portail, dans le chemin de l'exécutable ou dans la version du fichier.
• Les versions 2.175, 2.176, et 2.177 apportent des améliorations et des corrections de bugs sur les capteurs.

Notez qu’à partir du 15 juin 2022, Microsoft ne prendra plus en charge le capteur Defender for Identity sur les appareils exécutant Windows Server 2008 R2. Microsoft recommande d'identifier tous les contrôleurs de domaine (DC) ou les serveurs (AD FS) qui fonctionnent encore sous Windows Server 2008 R2 comme système d'exploitation et de prévoir leur mise à jour vers un système d'exploitation pris en charge. Pendant les deux mois suivant le 15 juin 2022, le capteur continuera à fonctionner. A partir du 15 août 2022, le capteur ne fonctionnera plus sur les plateformes Windows Server 2008 R2.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Le beta-testing de la certification sur le dépannage de la connectivité dans Microsoft Azure a débuté. L’examen Exam AZ-720: Troubleshooting Microsoft Azure Connectivity (beta) - Learn | Microsoft Docs est concerné avec les connaissances suivantes :

• Résolution des problèmes de continuité des activités (5-10%)
• Résolution des problèmes de connectivité hybride et cloud (20-25 %)
• Résolution des problèmes du Platform as a Service (5-10 %)
• Résolution des problèmes d'authentification et de contrôle d'accès (15-20 %)
• Résolution des problèmes de réseaux (25-30 %)
• Résolution des problèmes de connectivité des machines virtuelles (5-10 %)

Cet examen permettra d’acquérir le statut Microsoft Certified: Azure Support Engineer for Connectivity Specialty

Vous pouvez alors utiliser gratuitement le code suivant : AZ720WIND.
Il doit être utilisé avant le 28 avril 2022.

Il n’y a que 300 places disponibles.

Source : Exam AZ-720 (beta): Prove your skills as an Azure support engineer for connectivity - Microsoft Tech Community

Le 31 mars 2022, Apple a mis en ligne de nouveaux termes et conditions pour son service Apple Business Manager (anciennement Apple Device Enrollment Program). Vous devez accepter les nouvelles conditions afin de continuer à pouvoir enregistrer et gérer les périphériques via ce service et afin que Microsoft Endpoint Manager (Intune) puisse communiquer avec. Si vous n'acceptez pas les nouveaux termes et conditions, le service Intune recevra l'erreur - "T_C_NOT_Signed" de la part d'Apple.

Vous devez vous connecter sur : Apple Business Manager

Source :Support tip: Accept Apple’s new T&C to ensure Intune can communicate with Apple as expected - Microsoft Tech Community