Microsoft a publié le correctif KB4600089 de Microsoft Endpoint Configuration Manager 2010 (MECM/SCCM). Ce correctif s’applique à la fois aux environnements qui ont utilisé le script Early Wave et à ceux qui ont attendu la version finale

Parmi les problèmes corrigés, on retrouve :

Console Configuration Manager

• Si le processus de mise à jour des images de démarrage sur les points de distribution prend plus de huit minutes, des détails d'exception ressemblant à ce qui suit sont affichés : Exception type:   System.ArgumentOutOfRangeException. Message:          Value of '101' is not valid for 'Value'. 'Value' should be between 'minimum' and 'maximum'.
• Si le processus d’onboarding du tenant est terminé et que les téléchargements de périphériques sont limités à une collection spécifique, l'utilisateur ne peut pas modifier la collection de limitation lorsque la console termine. Cela se produit si l'utilisateur se voit refuser l'accès au parent de la collection limite.
• Lors de la modification d'un type de déploiement d'application qui ne contenait pas auparavant de chemin d'accès au contenu, ceci génère une exception.
• Il inclut aussi la KB4599924 Console terminates unexpectedly in Configuration Manager current branch, version 2010.

• Les clients ConfigMgr qui mettent à jour leur BIOS peuvent être listés deux fois à plusieurs endroits dans la console.
• Si vous supprimez du contenu téléchargé du Community Hub, le contenu n'est pas supprimé du Community hub > Your downloads et vous ne pouvez pas le télécharger à nouveau.
• Le bouton "Push Update" n'est pas activé pour le contenu révisé du Community Hub.
• Un utilisateur ayant un accès en lecture seule aux applications est incapable de copier ou de faire défiler le contenu du script dans la fenêtre de l'éditeur de script.

Exceptions du service SMS_Executive

• Sur les serveurs de site Windows Server 2012 R2 après la mise à jour vers ConfigMgr 2010. Cela se produit si les services IIS n'ont jamais été installés auparavant sur le serveur.
• Si le fichier de verrouillage de l'installation du client a une date de fichier non valide.
• Si le Software Update Point a le paramètre "Use a proxy server when downloading content by using automatic deployment rules" activé.

Clients

• Le Software Center ne s'ouvre pas sur certains clients ConfigMgr 2010. Le fichier SCClient_<domaine>@<nom d'utilisateur>_1.log contient des erreurs ressemblant à ce qui suit. Notez que le numéro de ligne peut être différent de l'exemple ci-dessous.

Call to ExecuteQuery failed, Query: "Select * From CCM_Application WHERE UserUIExperience = TRUE"
Exception caught in ExecuteQuery, line 465...
(Microsoft.SoftwareCenter.Client.Data.WmiConnectionManager at ExecuteQuery)

• Le DCMAgent.log contient également une erreur ressemblant à ce qui suit, enregistrée en même temps que l'entrée du journal du SCClient. Le code d'erreur 0x87d00315 se traduit par "The CI version info data is not available".  ExecuteApplicationQuery - Failed to get machine targeted applications (0x87d00315).
• Les ordinateurs signalent à tort le non-respect d'une stratégie de chiffrement des lecteurs de données fixes BitLocker. Cela se produit pour les ordinateurs ne comportant qu'un seul lecteur et une seule partition, même s'ils sont chiffrés avec BitLocker.

Inventaires

• Les données d'inventaire du matériel client ne sont pas répliquées d'un site primaire vers le CAS lorsque le reporting est activé pour la classe CCM_SoftwareDistributionClientConfig dans l'espace de noms ROOT\ccm\Policy\Machine\ActualConfig. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier dataldr.log sur le site primaire.

Column names in each view or function must be unique. Column name 'ADV_RebootLogoffNotification0' in view or function 'v_GS_CCM_SOFTWAREDISTRIBUTIONCLIENTCONFIG' is specified more than once.

Gestion des applications

• Les options de déploiement et l'option permettant aux clients d'utiliser des points de distribution à partir des paramètres par défaut du groupe limite du site dans l'onglet Content des propriétés de déploiement peuvent revenir inopinément à la valeur par défaut après l'enregistrement des modifications.

Gestion des mises à jour logicielles

• La case à cocher Set custom scheduleest désactivée et tout paramètre de calendrier personnalisé est supprimé lorsque la liste des catalogues de mise à jour des logiciels partenaires est actualisée.
• Le tableau de bord de gestion des clients d'Office 365 affiche tous les canaux du client sous la rubrique "Autres".
• Le traitement des règles de déploiement automatique échoue après la mise à jour vers la ConfigMgr 2010. La dernière description d'erreur est la suivante : " Auto Deployment Rule download failed". Cela se produit en raison des fichiers temporaires de zéro octet laissés dans le dossier Windows\Temp pendant le processus de téléchargement.
• Les ordinateurs clients peuvent recevoir inopinément un déploiement de mise à jour logicielle si la collection cible passe de "Tous les systèmes" à une autre collection.
• La synchronisation des pilotes surface échoue si le Software Update Point se trouve dans un domaine séparé et non fiable du serveur du site. Et une erreur ressemblant à ce qui suit est enregistrée dans le fichier wsyncmgr.log. Sync failed: The request failed with HTTP status 401: Unauthorized. Source: Microsoft.UpdateServices.Internal.ApiRemoting.ExecuteSPSearchUpdates

Gestion par le Cloud

• Les stratégies de pare-feu attribuées par le centre d'administration de Microsoft Endpoint Manager ne s'appliquent pas aux clients Windows 10 20H1 et ultérieures.
• Plusieurs fichiers journaux de clients, tels que CoManagementHandler.log et execmgr.log, contiennent les fausses entrées de journal. Cela entraîne l'écrasement d'informations de dépannage potentiellement précieuses. Failed to GetDeviceManagementConfigInfo, honor MEM authority. Error (0x00000000).
• Les stratégies de cogestion existantes ne s'appliquent pas à Windows Virtual Desktop.

Déploiement de système d’exploitation

• L'étape de séquence de tâche Run PowerShell Script n'honore pas la variable SMSTSDisableStatusRetry. Il en résulte de multiples tentatives d'envoi de messages d'état même lorsqu'une machine est hors ligne, ce qui entraîne des retards croissants dans l'exécution de la séquence de tâches.
• Le contenu temporaire n'est pas toujours supprimé après l'exécution d'une séquence de tâches.
• Les clients Hybrid Azure AD Join peuvent apparaître en double dans la console ConfigMgr, mais avec des GUID (SMSID) différents. Cela se produit lors du déploiement d'un système d'exploitation vers le client où le Management Point est configuré pour la communication HTTPS.
• La propriété d'installation du client CCMDEBUGLOGGING ne fonctionne pas lorsqu'elle est passée lors de l'étape de la séquence de tâches Setup Windows et ConfigMgr.
• Les mises à jour logicielles déployées via la séquence de tâches pendant une fenêtre de maintenance peuvent ne pas redémarrer l'ordinateur comme prévu. Le fichier UpdateDeployment.log contient une erreur ressemblant à ce qui suit : InstallTargetedUpdates failed, error 87d00708
• Le contenu du package au-delà du premier package n'est pas mis en cache localement sur le client lorsque le paramètre "Save path as a variable" est activé pour l'étape de la séquence de tâches "Download Package Content".

Plus d’informations sur :  Update Rollup for Microsoft Endpoint Configuration Manager current branch, version 2010

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Février 2021.

Microsoft apporte les nouveautés suivantes :

• 37 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Loop Messenger Extension, Silverfort Azure AD Adapter, Interplay Learning, Nura Space, Yooz EU, UXPressia, introDus Pre- and Onboarding Platform, Happybot, LeaksID, ShiftWizard, PingFlow SSO, Swiftlane, Quasydoc SSO, Fenwick Gold Account, SeamlessDesk, Learnsoft LMS & TMS, P-TH+, myViewBoard, Tartabit IoT Bridge, AKASHI, Rewatch, Zuddl, Parkalot - Car park management, HSB ThoughtSpot, IBMid, SharingCloud, PoolParty Semantic Suite, GlobeSmart, Samsung Knox and Business Services, Penji, Kendis- Scaling Agile Platform, Maptician, Olfeo SAAS, Sigma Computing, CloudKnox Permissions Management Platform, Klaxoon SAML, Enablon.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Atea
  • Getabstract
  • HelloID
  • Hoxhunt
  • Iris Intranet
  • Preciate
• Microsoft activera l’authentification du mot de passe à usage unique par email par défaut à partir du 31 Octobre 2021. À l'heure actuelle, Microsoft n'autorisera plus l’utilisation d'invitations à l'aide de comptes Azure Active Directory non gérés.
• Disponibilité Générale du rôle intégré Authentication Policy Administrator. Les utilisateurs ayant ce rôle peuvent configurer la stratégie des méthodes d'authentification, les paramètres de MFA pour l'ensemble du tenant et la stratégie de protection par mot de passe. Ce rôle donne la permission de gérer les paramètres de protection par mot de passe : configurations de verrouillage intelligent et mise à jour de la liste des mots de passe interdits personnalisés.

• Disponibilité Générale du rôle intégré Domain Name Administrator. Les utilisateurs ayant ce rôle peuvent gérer (lire, ajouter, vérifier, mettre à jour et supprimer) des noms de domaine. Ils peuvent également lire des informations de l’annuaire sur les utilisateurs, les groupes et les applications, car ces objets ont des dépendances de domaine.

• Disponibilité Générale des collections d’utilisateur sur MyApps. Les utilisateurs peuvent désormais créer leurs propres groupes d'applications sur le lanceur d'applications My Apps. Ils peuvent également réorganiser et masquer les collections qui leur sont partagées par leur administrateur.
• Disponibilité Générale du remplissage automatique de mot de passe dans Microsoft Authenticator. Pour utiliser l'autofill sur Authenticator, les utilisateurs doivent ajouter leur compte personnel Microsoft à Authenticator et l'utiliser pour synchroniser leurs mots de passe. Les comptes professionnels ou scolaires ne peuvent pas être utilisés pour synchroniser les mots de passe pour le moment.
• Disponibilité Générale de la fonctionnalité permettant aux entreprises peut désormais inviter des invités internes à utiliser la collaboration interentreprises au lieu d'envoyer une invitation à un compte interne existant. Cela permet aux clients de conserver l'ID d'objet, l'UPN, les adhésions à des groupes et les affectations d'applications de cet utilisateur.
• Public Preview de l’utilisation du mot de passe d’accès temporaire (Temporary Access Pass) pour enregistrer les identifiants sans mot de passe. Le Temporary Access Pass est un code d'accès limité dans le temps qui sert de justificatif d'identité fort et permet d'embarquer des justificatifs d'identité sans mot de passe et de les récupérer lorsqu'un utilisateur a perdu ou oublié son facteur d'authentification forte (par exemple, la clé de sécurité FIDO2 ou l'application Microsoft Authenticator) et doit se connecter pour enregistrer de nouvelles méthodes d'authentification forte.

• La prochaine génération de flux d'utilisateurs B2C prend désormais en charge la fonctionnalité "keep me signed in" (KMSI) qui permet aux clients de prolonger la durée de vie de la session pour les utilisateurs de leurs applications web et natives en utilisant un cookie persistant. Cette fonctionnalité en Public Preview maintient la session active même lorsque l'utilisateur ferme et rouvre le navigateur, et est révoquée lorsque l'utilisateur se déconnecte.

• Public Preview permettant aux utilisateurs externes pourront désormais utiliser les comptes Microsoft pour se connecter aux applications Azure AD et métiers.
• Public Preview les clients peuvent désormais réinviter les utilisateurs invités externes existants pour réinitialiser leur statut de redemption, ce qui permet au compte de l'utilisateur invité de rester sans qu'il ne perde l’accès.
• Public Preview permettant aux clients de désormais utiliser application.readwrite.ownedby comme autorisation d'appeler les API de synchronisation. Notez que cette fonction n'est prise en charge que pour le provisionnement d'Azure AD dans des applications tierces (par exemple, AWS, Data Bricks, etc.). Il n'est actuellement pas pris en charge pour le provisionnement de HR (Workday / Successfactors) ou Cloud Sync (AD vers Azure AD).

On retrouve les modifications de service suivantes :

• Les possibilités de configuration de la durée de vie des jetons de session et de rafraîchissement dans CTL sont supprimées. Azure Active Directory n'honore plus le rafraîchissement et la configuration des jetons de session dans les stratégies existantes.
• Les autorisations non demandées mais consenties ne seront plus ajoutées aux jetons si elles déclenchent un accès conditionnel.
• Une nouvelle personnalisation de l’entreprise dans l’enregistrement combiné MFA/SSPR. Dans le passé, les logos des entreprises n'étaient pas utilisés sur les pages de connexion d'Azure Active Directory. La personnalisation de l'entreprise se trouve désormais en haut à gauche de l'enregistrement combiné MFA/SSPR. Le logo de l'entreprise figure également sur les pages "My Sign-Ins" et "Security Info".
• Le tableau de bord actualisé des activités des méthodes d'authentification donne aux administrateurs un aperçu de l'enregistrement des méthodes d'authentification et de l'activité d'utilisation chez leur locataire. Il résume le nombre d'utilisateurs enregistrés pour chaque méthode, ainsi que les méthodes utilisées lors de la connexion et de la réinitialisation des mots de passe.

Plus d’informations sur : What’s new Azure AD

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Janvier 2021.

Microsoft apporte les nouveautés suivantes :

• 29 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : mySCView, Talentech, Bipsync, OroTimesheet, Mio, Sovelto Easy, Supportbench,Bienvenue Formation, AIDA Healthcare SSO, International SOS Assistance Products, NAVEX One, LabLog, Oktopost SAML, EPHOTO DAM, Notion, Syndio, Yello Enterprise, Timeclock 365 SAML, Nalco E-data, Vacancy Filler, Synerise AI Growth Ecosystem, Imperva Data Security, Illusive Networks, Proware, Splan Visitor, Aruba User Experience Insight, Contentsquare SSO, Perimeter 81, Burp Suite Enterprise Edition.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Fortes Change Cloud
  • Gtmhub
  • com
  • Splashtop
  • Templafy OpenID Connect
  • WEDO

• Disponibilité Générale d’Azure AD Connect Cloud Sync permettant de déployer des agents légers permettant la synchronisation d’environnements déconnectés par exemple.
• Disponibilité Générale de deux nouveaux rôles par défaut Attack Simulation Administrator et Attack Payload Author. Attack Simulation Administrator permet de créer et gérer tous les aspects de la création de simulations d'attaques, de lancer / programmer une simulation et examiner les résultats des simulations. Les utilisateurs ayant le rôle d'auteur de charge utile d'attaque peuvent créer des charges utiles d'attaque mais pas les lancer ou les programmer. Les charges utiles d'attaque sont alors disponibles pour tous les administrateurs du locataire qui peuvent les utiliser pour créer une simulation.
• Disponibilité Générale du rôle Usage Summary Reports Reader permettant d’accéder aux données agrégées au niveau du tenant et aux informations associées dans Microsoft 365 Admin Center for Usage et Productivity Score. Toutefois, il ne peut pas accéder aux détails ou aux informations concernant les utilisateurs.
• Disponibilité Générale de la stratégie Require App Protection pour l’accès conditionnel Azure AD. Ce paramètre permet d’accéder aux services uniquement quand les stratégies de protection applicative Intune sont délivrées et appliquées aux applications mobiles.
• Disponibilité Générale du mot de passe à usage unique par email (Email One-Time passcode).
• Public Preview de la personnalisation et de la configuration des périphériques partagés Android pour les employés de terrain. Cette intégration a lieu entre Azure AD et Microsoft Endpoint Manager (Intune) afin de permettre :
  • Mettre à disposition des périphériques Android partagés avec Microsoft Endpoint Manager
  • Sécuriser l’accès pour les employés de terrain en utilisant l'accès conditionnel basé sur le périphérique
  • Personaliser l'expérience d'enregistrement des employés de terrain avec Managed Home Screen.
• Public Preview de la possibilité d’assigner des groupes Azure AD à des rôles Azure AD personnalisés ou à des rôles étendus dans des unités administratives.
• Public Preview de la fonction permettant de télécharger les journaux de provisionnement sous le format CSV ou JSON.

On retrouve les modifications de service suivantes :

• Dans le passé, le champ Secret Token pouvait être laissé vide lors de la mise en place du provisionnement sur une application personnalisée ou BYOA. Cette fonction était destinée à être utilisée uniquement à des fins de test. Microsoft a mis à jour l'interface utilisateur pour rendre le champ obligatoire.
• Public Preview d’une option supplémentaire pour la sélection des approbateurs dans la fonctionnalité Entitlement Management. Si vous sélectionnez " Manager as approver" pour le premier approbateur, vous aurez une autre option, " Second level manager as alternate approver", que vous pourrez choisir dans le champ "Approbateur suppléant". Si vous sélectionnez cette option, vous devez ajouter un approbateur suppléant auquel transmettre la demande au cas où le système ne trouverait pas le gestionnaire de deuxième niveau.  
• Vous pouvez ouvrir dans Teams directement depuis le portail My Access.
• Les invites de connexion et d'utilisateur final pour les utilisateurs invités à risque ont été mises à jour.

Plus d’informations sur : What’s new Azure AD

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Intégration de l'Alert ID (recherche à l'aide de l'Alert ID et de la navigation Alert-Explorer) dans les expériences de chasse (Hunting)
• Augmentation des limites d'exportation d’enregistrements de 9990 à 200 000 dans les expériences de chasse (Hunting)
• Extension de la limite de conservation des données et de recherche de l'explorateur (et des détections en temps réel) pour les tenant d'essai de 7 (limite précédente) à 30 jours expériences de chasse (Hunting).
• De nouveaux pivots de chasse appelés "domaine usurpé" (Impersonated domain) et "utilisateur usurpé" (Impersonated user) dans l'explorateur (et détections en temps réel) pour rechercher les attaques d'usurpation d'identité contre des utilisateurs ou des domaines protégés. Pour plus d'informations Threat Explorer and Real-time detections - Office 365 | Microsoft Docs. (Microsoft Defender pour Office 365 Plan 1 ou Plan 2)

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Cloud App Security. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve l’intégration de Microsoft Defender for Endpoint et Microsoft Defender for Office 365 dans le centre de sécurité amélioré de Microsoft 365 (https://security.microsoft.com). Cette expérience est en Public Preview. En savoir plus : Microsoft 365 security center overview - Microsoft 365 security | Microsoft Docs

Je vous propose un petit aperçu des nouveautés en Janvier 2021 autour de la gouvernance, de la conformité et de la protection de données (MIP, etc.).

On retrouve notamment :

• Les solutions de conformité Microsoft 365 suivantes prennent désormais en charge la détection du contenu des cartes générées par les applications dans les messages Teams :

• • eDiscovery de base et avancée. Le contenu des cartes peut désormais être mis en attente ou inclus dans les recherches (Ceci s'applique également à la recherche de contenu).
  • Audit. L'activité de la carte est désormais enregistrée dans le journal d'audit.
  • Stratégie de rétention. Il est désormais possible d'utiliser les stratégies de rétention pour conserver et supprimer le contenu de la carte..
• Une nouvelle évaluation permettant d’adresser la gouvernance et la protection de l’information en répondant aux exigences de conformité de la loi néo-zélandaise sur els documents publics.
• Sur les étiquettes de confidentialité (Sensibility labels) :
  • Les étiquettes sont maintenant supportées dans les tenants US Government (GCC et GCC-H)
  • Nouveau support de la labélisation automatique (Automatic labeling) pour macOS.

Plus d’informations sur : Announcing new Microsoft Information Protection capabilities to know and protect your sensitive data - Microsoft Tech Community

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.141 apporte une nouvelle alerte de sécurité Suspected AS-REP Roasting attack (external ID 2412). Dans cette détection, une alerte de sécurité est déclenchée lorsqu'un attaquant cible des comptes avec une préauthentification Kerberos désactivée, et tente d'obtenir des données TGT Kerberos. L'intention de l'attaquant peut être d'extraire les identifiants des données en utilisant des attaques de craquage de mots de passe hors ligne. Pour plus d'informations : Kerberos AS-REP Roasting exposure (external ID 2412).

• Les versions 2.140, 2.141 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.136 prend désormais en charge l'installation de capteurs sur les serveurs Active Directory Federation Services (AD FS). L'installation du capteur sur les serveurs AD FS compatibles étend la visibilité de Microsoft Defender for Identity dans un environnement hybride en surveillant ce composant de fédération. Microsoft a également mis à jour certaines de nos détections existantes (création de services suspects, attaque de force brute suspecte (LDAP), reconnaissance d'énumération de comptes) pour travailler également sur les données AD FS. Pour commencer le déploiement du capteur pour AD FS server, téléchargez le dernier package de déploiement depuis la page de configuration du capteur.
• La version 2.139 a mis à jour la gravité de l’exposition Suspected Kerberos SPN pour mieux refléter l’impact de l’alerte. Plus d’informations sur : Suspected Kerberos SPN exposure (external ID 2410).

• Les versions 2.136, 2.137, 2.138, 2.139 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

• Microsoft Defender for Endpoint ajoute maintenant le support de Windows Virtual Desktop.

Plus d’informations sur : What’s new in Microsoft Defender for Endpoint

Il y a 4 ans, je vous annonçais la sortie officielle de deux nouveaux livres sur System Center Configuration Manager Current Branch.

Aujourd’hui c’est la sortie d’une nouvelle édition pour répondre à tous les changements introduits par Microsoft. Il a été encore une fois co-écrit par Guillaume Calbano (Consultant Avanade) et moi-même. Microsoft Endpoint Configuration Manager Current Branch embrasse la stratégie as-a-Service de Microsoft avec des versions publiées plus fréquemment. Le but est de suivre les innovations du marché des versions de Windows 10. Cet ouvrage est accessible à la fois aux novices mais aussi aux personnes souhaitant se perfectionner sur la technologie ou simplement mettre à jour ses connaissances avec les versions récentes.

Ce livre de 940 pages sur Microsoft Endpoint Configuration Manager (en version 2010 au moment de l’écriture), anciennement System Center Configuration Manager ou SCCM, s'adresse à toute personne qui, confrontée à l'administration de périphériques et de ressources dans son entreprise, participe à l'exploitation et l'administration quotidienne de cette solution. Le suivi des différents chapitres transmettra au lecteur la maîtrise des outils et fonctionnalités, ainsi que l'acquisition des compétences pour maintenir le produit et gérer l'ensemble des périphériques avec MECM.

Microsoft Endpoint Configuration Manager Current Branch embrasse la stratégie as-a-Service de Microsoft avec des versions apportant un grand nombre de nouveautés et d’innovations pour apporter des réponses à la gestion, à la sécurisation et au maintien des postes Windows 10.

Après une présentation de l'historique du produit et des concepts permettant la compréhension d'une architecture ConfigMgr (sites, CMG, etc.), les auteurs détaillent les inventaires et leur exploitation, Asset Intelligence et le contrôle logiciel. Ils se servent ensuite de ces informations pour créer des requêtes, des collections et des rapports et présentent le nouvel outil de requêtage en temps réel CMPivot. Le chapitre suivant étudie le contrôle à distance des périphériques avec la prise en main ainsi que les actions à distance possibles. Le chapitre qui suit aborde les applications et leur distribution sous toutes leurs formes (Win32, virtuelle, etc.) mais aussi la gestion de Microsoft 365 Apps ou Microsoft Edge. Les auteurs détaillent également la sécurisation des ressources avec notamment la gestion des mises à jour Microsoft ou des éditeurs tiers, les solutions Microsoft Defender (Antivirus, for Endpoint, Exploit Guard, etc.) de protection contre les attaques et les menaces, et la gestion du chiffrement BitLocker. Ensuite, la création et le déploiement des systèmes d'exploitation sont intégralement présentés. Ce chapitre aborde aussi le cycle de vie de Windows 10 dont le modèle de fonctionnement est très lié à celui de MECM. Le modèle de service, les scénarios de mise à niveau et le maintien du parc Windows 10 sont détaillés avec l’ensemble des solutions disponibles (Desktop Analytics, etc.).

Enfin, le dernier chapitre fait état des fonctionnalités liées à la conformité, aux paramétrages et à l’accès aux ressources de l’entreprise. Il contient les éléments nécessaires à la gestion des lignes de base et des éléments de configuration mais aussi des profils de configuration et de maintenance via la fonction d’exécution de scripts.

• Avant-propos
• Aperçu et fondamentaux de ConfigMgr
• Inventaires
• Requêtes, Collections et Rapports
• Les outils de contrôle distant
• La distribution d’applications
• La sécurité des ressources
• Le déploiement de système d’exploitation
• Paramètres, Conformité et Accès aux ressources
• Conclusion  

Vous pouvez acheter ce livre dans toutes les bonnes librairies et notamment sur :

• Le site d’ENI 
• Le site de la Fnac
• Le site d’Amazon 
• Tout autre site de vente (ISBN : 978-2-409-02909-7)

Notez que l’ouvrage System Center Configuration Manager Concepts, Architecture, Déploiement et Support est toujours disponible pour parler plus globalement de ces éléments.

Microsoft a créé une documentation visant à vous aider pour dépanner les problèmes qui pourraient survenir avec le scanner Azure Information Protection.
On y retrouve :

• L’utilisation de l’outil de diagnostic scanner.
• Le dépannage des analyses qui tombent en timeout
• Les références aux erreurs d’analyse

Lire : Troubleshoot your on-premises scanner deployment | Microsoft Docs

Les rapports s’améliorent de mois en mois dans Microsoft Endpoint Manager (Intune) mais Petri Paavola (MVP Windows) propose des scripts PowerShell qui réalisent des rapports HTML des assignations et déploiement de stratégies et d’applications de l’environnement.

On retrouve deux scripts principaux :

• Create_IntuneConfigurationAssignments_HTML_Report.ps1 pour créer un rapport des déploiements pour les stratégies de configuration.
• Create_IntuneMobileAppAssignments_HTML_Report.ps1 pour créer un rapport des déploiements d’applications.

Obtenir les scripts : Intune/Reports at master · petripaavola/Intune · GitHub

Microsoft planifie un cours gratuit dirigé par l’équipe produit sur Windows Virtual Desktop (WVD). Microsoft va présenter la solution, des éléments sur la roadmap, les bonnes pratiques et des labs :

• Vision du produit et feuille de route
• Les fondamentaux de la sécurité
• 10 choses que vous ne saviez pas sur Windows Virtual Desktop en 10 minutes
• Exploiter votre déploiement à l'échelle
• Simplifier la gestion des images et des applications
• Conseils pour l'optimisation des coûts
• Bonnes pratiques pour les charges de travail sensibles au temps de latence
• Les leçons des clients qui migrent vers Windows Virtual Desktop

L’événement a lieu 28 Janvier 2021 de 18h à 01h (heure française)

Si vous procédez à l’enregistrement, vous serez dans la capacité de regarder l’événement à nouveau.

Windows Virtual Desktop Event | Microsoft Azure

Microsoft vient de formaliser un parcours d’apprentissage autour d’Azure Sentinel. Ce dernier vient compléter la formation précédente en fournissant un aperçu sur la base des thèmes suivants :

• Introduction à Azure Sentinel
• Déployer Azure Sentinel et connecter les sources de données
• Détection des menaces avec l'analyse d'Azure Sentinel
• Gestion des incidents de sécurité dans Azure Sentinel
• Investigation avec Azure Sentinel
• Réponse aux menaces avec les playbooks Azure Sentinel
• Interroger, visualiser et surveiller les données dans Azure Sentinel

Accéder à Cloud-native security operations with Azure Sentinel - Learn | Microsoft Docs

En parallèle, je vous remets le lien vers la formation : Become an Azure Sentinel Ninja: The complete level 400 training - Microsoft Tech Community

Aujourd’hui, je vous partage une astuce qui facilite grandement la vie des administrateurs informatiques afin d’enregistrer des périphériques Android dans les modes Fully Managed (COBO) et Corporate-owned devices with work profile (COPE) avec le QR Code. Il est possible d’éditer ce QR Code avec un service afin d’ajouter des éléments de configuration.

Pour ce faire :

1. Ouvrez le centre d’administration Microsoft Endpoint Manager et naviguez dans Devices – Enroll Devices – Android enrollment puis choisissez le profil d’enregistrement COBO ou COPE.
2. Récupérez le QR Code en enregistrant l’image.
3. Connectez-vous au site : Android Enterprise QR Code Generator (datalogic.github.io)
4. Sélectionnez l’option Import et chargez l’image du QR Code précédemment extraite.
5. Vous retrouvez ensuite les différentes configurations :

Component name of admin receiver est spécifique à l’enregistrement

Download and enrollment permet de rediriger vers l’application Microsoft Intune et le numéro du Token

Configure Wi-Fi Network vous permet de configurer un réseau Wi-Fi qui sera utilisée lors de cette phase d’enregistrement. Cette configuration est très pratique car elle permet d’éviter de le faire manuellement. Vous pouvez renseigner le SSID, le type de sécurité, le mot de passe, et la configuration proxy.

Additional Android Enterprise properties permet de :

• Passer le chiffrement du périphérique
• Laisser toutes les applications système activées
• Configurer la langue et le pays
• La date et l’heure du périphérique (la valeur est statique ; il est donc préférable d’éviter la configuration)
• Le fuseau horaire

Datalogic properties permet de spécifier des données spécifiques à DataLogic

Une fois terminé, vous pouvez cliquer sur Generate Code afin de récupérer le QR Code qui peut être utilisé sur vos périphériques.

Je souhaitais revenir sur une annonce importante qui n’a pas forcément eu l’écho nécessaire. Auparavant, il était possible de peupler correctement le numéro de téléphone dans l’annuaire Active Directory et d’utiliser Azure Active Directory Connect pour répliquer ce numéro qui est ensuite utilisé lors de l’enregistrement de l’authentification à facteurs multiples (MFA) ou de la réinitialisation du mot de passe en libre-service (SSPR). A partir du 1^er Mai 2021, cette capacité ne sera plus disponible !

Il faudra alors passer par des scripts pour aller mettre à jour directement le numéro via Graph API ou PowerShell.

Plus d’informations sur : Gérer les méthodes d'authentification d'Azure AD Multi-Factor Authentication - Azure Active Directory | Microsoft Docs

Source : Updates to managing user authentication methods - Microsoft Tech Community

Je souhaitais vous partager un script de Microsoft qui permet une analyse des utilisateurs dans Azure AD et vous fournit des recommandations sur l’amélioration de la configuration de l’authentification à facteurs multiples (MFA).

Le script doit être exécuté avec un utilisateur sur le tenant disposant à minima des droits user Administrator. Lors de l’exécution, vous devez spécifier l’identifiant de votre tenant.

.\MfaAuthMethodAnalysis.ps1 -TenantId <tenantID>

Télécharger : Script for Azure MFA authentication method analysis - Code Samples | Microsoft Docs

Jonas Ohmsen (PFE Microsoft) propose une série de rapports détaillant la conformité des mises à jour avec Microsoft Endpoint Configuration Manager. On retrouve par défaut une série de rapports mais qui ne répondent parfois pas forcément exactement aux besoins des entreprises. Les rapports de Jonas méritent que l’on y jette un œil.

Il propose notamment :

• Un rapport d’aperçu de la conformité en fonction d’une collection
• Un sous rapport avec la liste des machines non conformes
• Un sous rapport offrant l’état de conformité des mises à jour pour une machine

Plus d’informations sur : Mastering Configuration Manager Patch Compliance Reporting - Microsoft Tech Community

Télécharger les rapports sur : GitHub - jonasatgit/updatereporting: MECM update reporting solution

Lothar Zeitler (Senior PM Microsoft Endpoint Manager) a publié un billet décrivant l’intégration entre Microsoft Endpoint Manager (Intune) et le système de gestion des mises à jour Android de Samsung E-FOTA.

L’article permet :

• La création d’un groupe comportant les modèles Android concernés par la gestion E-FOTA
• L’interconnexion d’Azure AD et Samsung E-FOTA par la création d’une application enregistrée.
• La connexion d’E-FOTA via l’application enregistrée.
• L’ajout des groupes à E-FOTA
• La création d’une campagne ciblant le groupe.
• La configuration des périphériques pour la connexion avec le service E-FOTA en utilisant OEMConfig.

Pour obtenir la procédure complète, vous pouvez lire le billet : Samsung E-FOTA Update Management with Microsoft Endpoint Manager - Intune - Microsoft Tech Community

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Gestion des applications

• [Général] De nouvelles applications protégées sont disponibles et peuvent recevoir des stratégies de protection applicatives (APP/MAM) :
  • Dynamics 365 Remote Assist
  • Box - Cloud Content Management
  • STid Mobile ID
  • FactSet 3.0
  • Notate for Intune
  • Field Service (Dynamics 365)

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

L’équipe Azure Sentinel a publié un billet visant à donner des instructions permettant l’ingestion de données provenant de plusieurs tenants Office 365 et Azure Active Directory dans Azure Sentinel. Nativement, ceci n’est pas possible mais l’article revient sur l’utilisation de playbook via Logic App et Azure Function pour aller lire les données dans les différentes APIs et les écrire dans des tables.

Plus d’informations sur : O365 & AAD Multi-Tenant Custom Connector - Azure Sentinel - Microsoft Tech Community

Pouyan Khabazi (MSFT) a publié un billet que je trouve très intéressant. Avec la montée en puissance d’Azure Sentinel chez les clients, l’utilisation d’une approche DevOps pour déployer et maintenir Azure Sentinel est clairement une belle opportunité. Son article revient sur l’utilisation d’Infrastructure as Code, d’Azure DevOps, etc.

Je vous recommande de lire : Deploying and Managing Azure Sentinel - Ninja style - Microsoft Tech Community

Microsoft vient de réaliser plusieurs annonces qui concernent son programme de certification. Auparavant, quand vous procédiez à l’acquisition d’une certification basée sur un rôle, vous deviez repasser un examen afin de vous recertifier car ce dernier avait une durée de validité de 2 ans.

A partir de février 2021, il sera possible de renouveler vos certifications basées sur des rôles en passant une évaluation gratuite sur Microsoft Learn. Ceci pourra se faire en ligne sans avoir à planifier un examen dédié dans les 6 mois précédent l’expiration de votre certification. Après le passage avec succès, votre certification se voit étendue d’une année à partir de la date courante d’expiration. Microsoft fournira des modules permettant de se préparer à chaque renouvellement.

A partir de juin 2021, Microsoft mettra à jour la durée de validité des certifications basées sur des rôles et de spécialité à un an à partir de la date d’obtention (contre deux). Ceci concerne toutes les nouvelles applications acquises. Le but est de permettre de plus facilement aligner les changements liés au Cloud avec le renouvellement des certifications et l’évaluation des compétences.

Source : Stay current with in-demand skills through free certification renewals - Microsoft Tech Community

L’équipe Intune a publié un billet à propos d’un problème concernant l’application de stratégies de protection applicatives (APP/MAM) qui ne sont pas délivrées aux périphériques Windows dû à une adresse IP manquante. Si votre organisation utilise un pare-feu ou network protection qui cible ou restreint les adresses IP accessibles, Microsoft recommande de mettre à jour votre configuration réseau pour permettre le trafic réseau vers et depuis toutes les plages d'IP MAM, comme indiqué dans Network endpoints for Microsoft Intune.

Pour ce faire, vous pouvez créer une stratégie de type :

• Ouvrez le centre d’administration MEM
• Cliquez sur Endpoint Security puis naviguez dans Firewall.
• Sélectionnez Create Policy puis Windows 10 and later et Microsoft Defender Firewall rules
• Spécifiez un nom puis ajoutez les règles pour les adresses IP spécifiées dans l’URL : Network endpoints for Microsoft Intune

Plus d’informations : Support Tip: Devices not receiving APP/MAM policies due to missing IP addresses - Microsoft Tech Community

Microsoft a introduit un ensemble de nouveautés dans Azure Defender (anciennement Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Disponibilité Générale d’Azure Defender for SQL permettant la protection des serveurs SQL Server On-Premises. Ceci couvre aussi les serveurs SQL hébergés dans d’autres Clouds (AWS, GCP, etc.). Cette disponibilité générale apporte notamment le support pour des pools SQL dédiés Azure Synapse Analytics
• Preview d’Azure Defender pour Azure Resource Manager permettant la supervision de toutes les opérations de gestion des ressources réalisées dans l’organisation au travers du portail Azure, des APIs REST Azure, d’Azure CLI, ou des clients programmatiques Azure. Vous obtiendrez des informations sur les opérations suspicieuses (depuis des adresses IP ou désactivation d’anti-malware, de scripts, etc.), l’utilisation de kit d’exploitation (Microburst ou PowerZure) ou les mouvements latéraux entre couches de gestion Azure.
• Preview d’Azure Defender pour DNS pour permettre la protection en supervisant toutes les requêtes DNS depuis des ressources Azure. Ceci permet de couvrir l’exfiltration de données depuis des ressources Azure en utilisant DNS tunneling, la communication de malware avec des serveurs de Command et Control, les communications avec des domaines malicieux, les attaques DNS.
• Les administrateurs globaux peuvent désormais s'accorder des autorisations au niveau des tenants. En effet, un utilisateur ayant le rôle d'administrateur global d'Azure Active Directory peut avoir des responsabilités au niveau du tenant, mais n'a pas les permissions Azure pour voir les informations de l’entreprise dans Azure Security Center.
• Previex d’une nouvelle page d’alertes de sécurité dans le portail Azure ayant été revue pour :
  • Améliorer de l'expérience de triage des alertes - pour réduire la fatigue des alertes et se concentrer plus facilement sur les menaces les plus pertinentes, la liste comprend des filtres personnalisables et des options de regroupement
  • Donner plus d'informations dans la liste des alertes - telles que les tactiques de MITRE ATT&ACK
  • Offrir un bouton de création d'alertes types - pour évaluer les capacités d'Azure Defender et tester la configuration de vos alertes (pour l'intégration SIEM, les notifications par courrier électronique et les automatismes de flux de travail), vous pouvez créer des alertes types à partir de tous les plans d'Azure Defender
  • S’aligner sur l'expérience d'Azure Sentinel en matière d'incidents - pour les clients qui utilisent les deux produits, passer de l'un à l'autre est désormais une expérience plus simple et il est facile d'apprendre l'un de l'autre
  • Offrir de meilleures performances pour les listes d'alerte volumineuses
  • Permettre la navigation au clavier dans la liste d'alerte
• L’expérience a été revue pour Azure SQL Database et SQL Managed Instance avec les recommandations de sécurité, les alertes de sécurité, les trouvailles (findings).

• La page d'inventaire dans Azure Security Center a été rafraîchie avec les changements suivants :

• • Guides and feedback a été ajouté à la barre d'outils et ouvre un volet contenant des liens vers des informations et des outils connexes.
  • Un filtre d'abonnement a été ajouté aux filtres par défaut disponibles pour vos ressources.
  • Un lien Open query permet d’ouvrir les options du filtre actuel en tant que requête de graphique de ressources Azure (anciennement appelé "View in resource graph explorer").
  • Options de l'opérateur pour chaque filtre. Vous pouvez maintenant choisir parmi des opérateurs logiques supplémentaires autres que "=". Par exemple, vous pourriez vouloir trouver toutes les ressources avec des recommandations actives dont les titres comprennent la chaîne "encrypt".

• La recommandation "Web apps should request an SSL certificate for all incoming requests" a été déplacée de security control Manage access and permissions (qui vaut un maximum de 4 points) à Implement security best practices (qui ne vaut aucun point).

• Les outils d'exportation continue d'Azure Security Center vous permettent d'exporter les recommandations et les alertes du Security Center pour les utiliser avec d'autres outils de surveillance dans votre environnement. Ces outils ont été améliorés et développés de la manière suivante :
  • Amélioration des stratégies de d’export continu deployifnotexist.
  • Ajout de données d'évaluation de la conformité réglementaire (Preview). Vous pouvez désormais exporter en continu les mises à jour des évaluations de conformité réglementaire, y compris pour toute initiative personnalisée, vers un espace de travail Log Analytics ou un Event Hub.

Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs