Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Les versions 209, 210, 211 apportent les changements suivants :

• Le connecteur API de Slack est désormais disponible, ce qui donne une meilleure visibilité et un meilleur contrôle sur la façon dont Slack est utilisé dans l’entreprise.
• Une nouvelle expérience d'avertissement (Warn and Educate) pour les applications surveillées avec Microsoft Defender for Endpoint est maintenant disponible. Cloud App Security a étendu son intégration native avec Microsoft Defender for Endpoint. Il est maintenant possible d’appliquer un blocage souple de l'accès aux applications marquées comme surveillées en utilisant la capacité Network Protection de Microsoft Defender for Endpoint. Les utilisateurs pourront contourner le blocage.
• Microsoft propose une nouvelle expérience des applications découvertes pour couvrir les applications Web découvertes et les applications OAuth et fournir une vue unifiée d'une entité d'application.

Les versions 212, et 213 apportent les changements suivants :

• Les alertes relatives aux voyages impossibles, à l'activité depuis des pays peu fréquents, à l'activité depuis des adresses IP anonymes et à l'activité depuis des adresses IP suspectes ne s'appliqueront plus aux échecs de connexion. Après un examen approfondi, Microsoft a décidé de séparer le traitement des échecs de connexion des alertes mentionnées ci-dessus. Dorénavant, elles ne seront déclenchées qu'en cas de connexion réussie, et non plus en cas d'échec de la connexion ou de tentative d'attaque. L'alerte de masse en cas d'échec de connexion sera toujours appliquée s'il y a un nombre anormalement élevé de tentatives de connexion échouées pour un utilisateur.
• Nouvelle détection d'anomalie : ISP inhabituel pour une application OAuth. Microsoft a étendu les détections d'anomalies pour inclure l'ajout suspect d'informations d'identification privilégiées à une application OAuth. La nouvelle détection est désormais disponible et automatiquement activée. La détection peut indiquer qu'un attaquant a compromis l'app et l'utilise pour une activité malveillante.
• Nouvelle détection : Activité à partir d’adresses IP associées à la pulvérisation du mot de passe (password spray). Cette détection compare les adresses IP effectuant des activités réussies dans vos applications Cloud aux adresses IP identifiées par les sources de threat intelligence de Microsoft comme ayant récemment effectué des attaques par pulvérisation de mot de passe. Elle signale les utilisateurs qui ont été victimes de campagnes de pulvérisation de mots de passe et qui ont réussi à accéder à vos applications Cloud à partir de ces adresses IP malveillantes. Cette nouvelle alerte sera générée par la politique existante Activity from suspicious IP addresses.
• Les connecteurs API de Smartsheet et OneLogin sont désormais disponibles. Vous pouvez désormais connecter Microsoft Cloud App Security à Smartsheet et à OneLogin pour surveiller et protéger les utilisateurs et les activités.
• Nouvelle intégration Shadow IT avec Open Systems pour bénéficier d'une visibilité Shadow IT sur l'utilisation des applications et de contrôler leur accès.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Amélioration de la fonction DKIM pour les livraisons avancées : Ajout du support de la saisie du domaine DKIM dans le cadre de la configuration de la simulation de phishing par un tiers.
• Secure by Default : Extension de Secure by Default pour les règles de flux de courrier Exchange (également appelées règles de transport).

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft vient de mettre à disposition une nouvelle version (1.2.2606) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction de la vulnérabilité connue sous le nom de CVE-2021-38665.
• Correction de la vulnérabilité connue sous le nom de CVE-2021-38666.
• Correction d'un problème où le service collait parfois des cadres vides lorsqu'un utilisateur essayait de copier une image depuis un navigateur Internet Explorer fonctionnant à distance vers un document Word fonctionnant localement.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft a informé les clients disposant de périphériques Android 9 ou plus d'un changement à venir où il ne sera plus possible d'afficher l'adresse MAC Wi-Fi dans Microsoft Endpoint Manager (Intune).

Ce changement survient depuis octobre et concerne les périphériques Android en mode Device Administrator ou Android Enterprise Work Profile. En effet, Google exige que toutes les mises à jour d'applications utilisent l'API 30 d'ici novembre 2021. Avec à ce changement, Android empêche les applications de collecter l'adresse MAC utilisée par l'appareil.

A partir de novembre, un appareil nouvellement inscrit n’affichera plus l’adresse MAC WiFi. Pour les périphériques précédemment inscrits, il se peut qu'une valeur en cache soit répertoriée.

A partir du 7 janvier 2022, Android 8 ou ultérieur sera un prérequis pour les périphériques enregistrés dans Microsoft Endpoint Manager. Les appareils inscrits au MDM fonctionnant sous Android version 7.x ou inférieure ne recevront plus de mises à jour du portail d'entreprise Android ou de l'application Intune. Les stratégies Intune continueront d'être appliquées aux appareils inscrits, mais ils ne seront plus pris en charge par aucun scénario Intune. Si vous disposez d'appareils enregistrés fonctionnant sous Android 7.x ou moins, vous devez les mettre à jour vers Android version 8.0 (Oreo) ou supérieure ou les remplacer par un périphérique sous Android version 8.0 ou supérieure.

Vous pouvez identifier le nombre d'appareils fonctionnant actuellement sous Android 7.x ou moins en accédant à Devices > All devices  en filtrant par OS et trier par version d'OS.

En outre, il existe deux options permettant d'informer les utilisateurs ou de bloquer l’enregistrement.

• Pour avertir les utilisateurs, vous pouvez
  • Configurer un paramètre de lancement conditionnel sur la stratégie de protection des applications avec une exigence de version de système d’exploitation minimale pour avertir les utilisateurs.
  • Utilisez une stratégie de conformité et définir l'action de non-conformité pour envoyer un e-mail ou une notification push aux utilisateurs avant de les marquer comme non conformes.
• Pour bloquer les périphériques sur les versions inférieures à Android 8.0 :
  • Configurer un paramètre de lancement conditionnel de la politique de protection des applications avec une exigence de version minimale du système d'exploitation pour bloquer l'accès des utilisateurs aux applications.
  • Utiliser une stratégie de conformité pour rendre non conformes les appareils sous Android 7.x ou moins.
  • Définir des restrictions d'inscription pour empêcher les appareils sous Android 7.x ou moins de s'inscrire.

Le portail d'entreprise Android n'est actuellement pas à jour dans le store Huawei AppGallery et les mises à jour récentes du portail d'entreprise ne sont pas disponibles via l’Huawei AppGallery.

Si les utilisateurs ont téléchargé le Company Portal depuis Huawei AppGallery et que vous utilisez des applications qui prennent en charge les stratégies de protection des applications (APP, également connues sous le nom de MAM), les utilisateurs peuvent être empêchés d'accéder aux ressources de l'entreprise avec ces applications s'ils ne disposent pas de la dernière version du Company Portal.

En attendant une mise à jour en cours d’élaboration par Microsoft, vous devez informer les utilisateurs, qu'ils devront télécharger la dernière version du portail d'entreprise depuis l'un des autres stores d'applications pris en charge (Baidu, etc.) ou depuis le centre de téléchargement Microsoft. La liste des stores d'applications pris en charge et les instructions associées sont sur : Installer Portail d'entreprise Intune applique en République populaire de Chine | Microsoft Docs.

Microsoft a informé d’un changement ayant eu lieu dans la mise à jour d’octobre (2110) de Microsoft Endpoint Manager (Intune) concernant les périphériques Samsung. Ce changement vous concerne si vous enregistrez les téléphones en mode Device Administrator (Legacy). Les périphériques équipés du portail d’entreprise en version 5.04993.0 ou ancienne version ne pourront plus procéder à l’enregistrement.

Vous avez normalement été prévenu par le centre de message Microsoft 365 si vous avez des périphériques concernés. Dans ce cas de figure, vous devez demander à l’utilisateur de mettre à jour le portail d’entreprise à partir du Play Store.

Lancé il y a deux ans, Microsoft vient d’annoncer la fin du service Desktop Analytics pour le 30 novembre 2022. Desktop Analytics avait pour mission de réaliser l’évaluation de la compatibilité des machines (matériels, logiciels, drivers, etc.) avec les dernières versions de Windows. En outre, il permettait l’inventaire et la rationalisation des applications, en définissant la priorité et la compatibilité associée en fonction de la télémétrie. Il offrait aussi un mécanisme de suivi des mises à niveau de fonctionnalités (Builds Windows 10). Au fil du temps, Microsoft a investi plus massivement dans Endpoint Analytics. L’évaluation de la compatibilité avec Windows 11 est par exemple portée par ce dernier.

C’est d’ailleurs la recommandation de Microsoft : Utiliser Endpoint Analytics et les rapports Intune (dont certains vont arriver dans les prochains mois) en lieu et place de Desktop Analytics. Ceci permet d’uniformiser la gestion que la machine soit cogérée, gérés uniquement via Intune ou remontée via la fonctionnalité tenant-attach.

Microsoft va donc travailler à l’intégration des éléments manquants directement dans Microsoft Endpoint Manager (Intune).

Plus d’informations : A data-driven approach to managing devices in your organization - Microsoft Tech Community

En novembre, Microsoft a annoncé que le client Microsoft Defender for Endpoint (MDE) sur Android 11 ou plus, demandera l’acceptation de nouvelles permissions pour le stockage. Ceci survient car Microsoft a adopté l’API 30 d’Android requise par Google sur ces versions de périphériques. L’acceptation permettra de continuer à bénéficier des fonctionnalités de sécurité d’applications proposées par Defender for Endpoint.

A date, il n’est pas encore possible de configurer ces nouvelles permissions via les stratégies de protection applicatives.

Les utilisateurs recevront une notification indiquant une autorisation manquante pour la sécurité des applications. Si l'utilisateur refuse cette autorisation, la fonctionnalité "Sécurité de l'application" sera désactivée sur l'appareil. Si l’utilisateur n'approuve ni ne refuse l'autorisation, il continuera à recevoir l'invite lors du déverrouillage de son appareil ou de l'ouverture de l'application jusqu'à ce qu'elle soit approuvée.

Remarque : si vous testez la nouvelle fonctionnalité "Tamper protection" et si les nouvelles autorisations de stockage ne sont pas accordées par l'utilisateur dans les 7 jours suivant la mise à jour de la dernière version, l'utilisateur peut perdre l'accès aux ressources de l'entreprise.

Vous devez donc les utilisateurs et votre support (le cas échéant) que les utilisateurs devront accepter les nouvelles autorisations lorsqu'ils y seront invités après avoir effectué la mise à jour vers la version de novembre de l'application Microsoft Defender for Endpoint.

Pour accepter les permissions, les utilisateurs doivent :

1. Tapez sur la notification d’application Defender ou ouvrir l'application Microsoft Defender for Endpoint où les utilisateurs verront un écran qui liste les autorisations nécessaires. Une coche verte manquera à côté de l'autorisation de stockage.
2. Tapez sur Commencer/Begin.
3. Appuyez sur le bouton à bascule pour Autoriser l'accès à la gestion de tous les fichiers. Remarque : Cette autorisation permet à Microsoft Defender for Endpoint d'accéder au stockage sur l'appareil de l'utilisateur, ce qui permet de détecter et de supprimer les applications malveillantes et indésirables. Microsoft Defender for Endpoint n'accède/analyse que les fichiers de paquetage d'applications Android (.apk), et sur les appareils avec un profil de travail, n'analyse que les fichiers liés au travail.
4. L'appareil est maintenant protégé.

Microsoft a annoncé qu’à partir de la version de novembre 2011, Microsoft Endpoint Manager (Intune) ne comprendra plus la fonction permettant de désactiver le verrouillage d’activation (Disable Activation Lock) de l’interface. En effet, cette dernière ne fonctionne pas comme attendue et le but est de supprimer la confusion associée.

Pour rappel, le verrouillage d’activation permet d’empêcher un tiers d’utiliser l’iPhone ou l’iPad en cas de perte ou de vol. Cette option est automatiquement mise en place lorsque l’utilisateur active Find My iPhone (Localiser).

La fonction est toujours disponible pour les périphériques iOS/iPadOS supervisés : Contournement du verrouillage d’activation iOS/iPadOS avec Intune - Microsoft Intune | Microsoft Docs

Microsoft a publié la Public Preview (v2.13.47) du client et du scanner Unified Labeling d’Azure Information Protection.  Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée.  

Pour les fonctionnalités proposées par le client, on retrouve :

• Cette version du client apporte des améliorations en matière d’internationalisation, notamment une précision accrue pour les langues d'Asie de l'Est et la prise en charge des caractères à deux octets. Ces améliorations ne sont fournies que pour les processus 64 bits et sont désactivées par défaut.

• L'application Azure Information Protection Viewer génère désormais des journaux d'audit d'accès chaque fois qu'un fichier étiqueté ou protégé est ouvert au sein de l’entreprise. L'application Viewer ne génère plus de journaux d'audit Discover.

Concernant le Scanner, on retrouve :

• À partir de la version 2.13.47.0, le scanner n'est pris en charge que sur les systèmes 64 bits.

Cette version du client et du scanner Azure Information Protection intègre pleinement le kit de développement logiciel (SDK) Microsoft Information Protection (MIP) version 1.10.93.

On retrouve les correctifs et améliorations suivants :

• Amélioration de la prise en charge du paramètre avancé PFileSupportedExtensions, pour ajouter la possibilité de protéger uniquement les types de fichiers Office et les fichiers PDF, sans avoir à configurer une valeur spécifique.
• Correction d'un problème pour lequel un filigrane peut ne pas être reflété correctement lorsqu'une étiquette est modifiée.
• Correction d'un problème où les applications Office peuvent se comporter de manière inattendue si la valeur de la couleur pour une étiquette a une valeur invalide.
• Correction d'un problème où la sélection des autorisations via l'option Classifier et protéger de l'explorateur de fichiers peut supprimer les adresses électroniques des autorisations définies si plusieurs adresses électroniques comprennent une apostrophe (').
• Correction d'un problème où l'info-bulle du texte personnalisé d'étiquetage automatique configuré peut ne pas s'afficher comme prévu dans le cas d'une AsyncPolicy appliquée.
• Correction d'un problème où les fenêtres pop-up dans Outlook peuvent se comporter de manière inattendue lors de l'attachement d'un e-mail à un autre e-mail, nouvellement crypté.
• Correction d'un problème où une erreur liée à AIP apparaissait après l'ajout d'une étiquette enfant et sa portée sur les groupes et sites.
• Correction d'un problème où l'icône Supprimer l'étiquette peut ne pas apparaître dans la barre de classification d'Outlook lorsque l'étiquetage obligatoire est activé dans Office, mais pas dans Outlook.
• Correction d'un problème où Excel peut ne pas se fermer complètement lorsque l'add-in AIP et d'autres add-ins sont en cours d'exécution.
• Correction d'un problème où Outlook peut échouer à envoyer un message avec des images incorporées dans du texte riche avec des règles pour les pop-ups dans Outlook configurées.
• Correction d'un problème pour lequel le complément AIP peut ne pas se charger dans les applications Office avec des erreurs liées à la langue.
• Correction d'un problème pour empêcher les erreurs de se produire lors de la suppression de la protection d'un fichier PST avec des caractères spéciaux.

Télécharger Azure Information Protection unified labeling

Microsoft annonce un changement qui concerne les périphériques Windows non Hybrid Azure AD Join ou Azure AD Join gérés par Microsoft Endpoint Manager (Intune). Cela concerne donc le scénario où ces périphériques ne sont pas joint mais gérés par la solution et donc dans un mode Workplace Joined.

À partir du 1er décembre 2021, Microsoft Endpoint Manager commencera à ne plus gérer les mises à jour via le profil de mise à jour des fonctionnalités Windows (Windows Feature Updates) pour ces périphériques. Microsoft réalise ce changement car Azure Active Directory (Azure AD) est utilisé pour cibler de manière fiable les appareils pour les mises à jour de fonctionnalités et constitue une condition préalable documentée pour les profils Windows Feature Updates. La livraison des mises à jour des fonctionnalités Windows aux périphériques Workplace Joined n'est pas fiable dans ce mode, Microsoft recommande donc d'utiliser un mécanisme de déploiement différent pour mettre à jour ces périphériques. 

Peu d’entreprises doivent être concernés mais si tel est le cas, vous avez reçu un message par le centre d’administration.

Dans ce cas, vous commencerez à voir une alerte 'DeviceRegistrationInvalidAzureADJoin' dans le rapport Feature Update errors pour tous les périphériques Workplace Joined et qui doivent avoir des mises à jour de fonctionnalités gérées par un mécanisme différent. 

Si vous souhaitez continuer à gérer les mises à jour des fonctionnalités sur ces périphériques, vous pouvez utiliser des stratégies Windows Update ring qui utilisent les reports de Windows Update for Business, ou définir la TargetReleaseVersion dans la catégorie Windows Update for Business d’un profil de configuration qui est ensuite ciblé sur ces périphériques Workplace Joined.

Microsoft a annoncé un changement prévu sur les services Desktop Analytics et Update Compliance à partir du 31 janvier 2022. Au début d’année, Microsoft a ajouté le support de la configuration du traitement de données de diagnostic Windows. Ce changement force Microsoft à ne supporter que les machines équipées de Windows 10 1809 ou ultérieur.

Concrètement pour :

• Desktop Analytics : Si vous utilisez des appareils exécutant des versions de Windows 7, Windows 8 ou Windows 10 antérieures à la version 1809, vous devrez alors mettre à jour ces périphériques vers une version prise en charge de Windows 10 pour continuer à recevoir des données Desktop Analytics pour ces appareils. Remarque : Windows 11 n'est pas pris en charge par Desktop Analytics.
• Update Compliance : Une nouvelle stratégie a été ajoutée pour prendre en charge la nouvelle configuration et sera nécessaire si vous utilisez Update Compliance. Les périphériques doivent exécuter Windows 10 version 1809 ou ultérieure pour utiliser cette configuration. En outre, les appareils configurés avant le 10 mai 2021 devront être reconfigurés pour rester inscrits dans Update Compliance via : Script de configuration de la mise à jour de la conformité - Windows Deployment | Microsoft Docs

Microsoft a informé que les périphériques Android 11 peuvent remonter comme non conforme à cause d’un problème dans l’application de la stratégie de mot de passe.

Le problème est apparu à la suite d'une nouvelle mise à jour du portail de l'entreprise, rendue nécessaire par la décision de Google d'utiliser l'API 30. Les exigences en matière de politique de mot de passe ont changé entre l'API 29 et l'API 30 pour imposer un mot de passe numérique ou d'une plus grande complexité. Sur les appareils enregistrés avant Android 11, la plateforme ne nécessitait pas la configuration de la politique, mais une fois sur Android 11, vous devez maintenant définir une politique de mot de passe plus granulaire dans Microsoft Endpoint Manager.

Vous pouvez rencontrer le problème si le paramétrage ‘required password type’ est vide.

Pour corriger le problème, vous devez :

• Aller dans Endpoint Manager et naviguez dans Device > Compliance Policies > Personally owned work profiles
• Editez la stratégie pour inclure une des 5 configurations suivantes :
  • At least numeric (default): Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.
  • Numeric complex: Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.
  • At least alphabetic: Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.
  • At least alphanumeric: Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.
  • At least alphanumeric with symbols: Entrez la longueur minimale du mot de passe qu'un utilisateur doit saisir, entre 4 et 16 caractères.

Une fois que vous aurez enregistré la stratégie, la prochaine fois qu'un appareil s'enregistrera ou qu'un utilisateur lancera un contrôle de conformité sur son appareil, les utilisateurs recevront la stratégie mise à jour. À ce moment-là, l'utilisateur pourra être invité à définir son mot de passe et retrouvera alors l'accès aux ressources de l'entreprise.

Annoncé ce longue date, Microsoft va démarrer le blocage de certaines versions d’Office qui souhaiteraient se connecter aux services Office 365 et Microsoft 365. Ceci concerne particulièrement le client Outlook de Windows. La procédure de blocage a commencé depuis le 1^er novembre 2021 et permet à Microsoft d’optimiser les performances de ses services.

Parmi les versions concernées, on retrouve :

Vous devez donc mettre à jour ces versions vers des versions supportées.

Les autres versions non listées dans le tableau, restent entièrement supportées. Pour en voir la liste, vous avez les deux URLs suivantes :

• Update history for Microsoft 365 Apps (listed by date) (Pour Microsoft 365 Apps)
• Latest updates for versions of Office that use Windows Installer (MSI) (Pour Office 2013 and 2016).

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v95. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

Cette version comprend 11 nouveaux paramétrages utilisateurs et 11 nouveaux paramétrages ordinateurs. Pour résumé, voici les changements principaux :

• Enable browser legacy extension point blocking : Pour améliorer la fiabilité et la sécurité, ce nouveau paramètre bloque certaines injections de code provenant d'utilitaires tiers hérités. Ce paramètre est activé par défaut et sera appliqué avec une valeur "enabled" dans la ligne de base.
• Specifies whether the display-capture permissions-policy is checked or skipped  : Ce paramètre existe en tant que mesure d'atténuation temporaire de la compatibilité pour permettre aux applications Web utilisant l'API getDisplayMedia() de contourner la vérification de la politique d'autorisation requise par la spécification de l'API. Ce paramètre est activé par défaut et sera appliqué avec la valeur "enabled" dans la ligne de base jusqu'à la version 100, lorsque ce paramètre deviendra obsolète et sera définitivement activé.

Plus d’informations sur l’article suivant :  Security baseline for Microsoft Edge v95 - Microsoft Tech Community

Télécharger Security Compliance Toolkit

L’équipe CxE Security and Compliance a publié un billet visant à créer une formation complète sur Microsoft Information Protection allant jusqu’à un niveau d’expertise. On retrouve notamment :

• Niveau Débutant
  • Deployment Acceleration Guide(DAG)
  • Microsoft Compliance Configuration Analyzer (MCCA)(D) 
  • MIP Webinars(V) 
  • MIP Overview(D) 
  • The client side of Azure Information Protection(D) 
  • Sensitivity Information Types(D) 
  • Microsoft Unified DLP Story(V) 
  • Learn about data loss prevention(D) 
  • Know and protect your sensitive data(V) 
  • Data Discovery Concept(V)
  • Understanding and maximizing the value of Microsoft's DLP Approach(V)
  • Endpoint Data Loss Prevention (DLP) | What it is and how to set it up in Microsoft 365(V) 

Beginner Knowledge Check

• Niveau Intermédiaire
  • Apply a sensitivity label to content automatically(D) 
  • Custom Sensitive Information Types(D) 
  • Create custom sensitive information types with Exact Data Match based classification(D) 
  • Get started with trainable classifiers(D)  
  • Advanced Classification and Auto Labeling(V) 
  • Custom SITs and Client-side Auto Labeling(V)
  • Service-side Auto Labeling(V)
  • Migrate Legacy DLP Policies (ETR) to DLP (Playbook)
  • Extending Microsoft DLP Deployment to Endpoints(V) 
  • Microsoft Endpoint DLP: Sensitive Info Types as a Condition (Policy Trigger)(V)
  • Sensitivity Labels for Containers(V)
  • Teams DLP(D)

Intermediate Knowledge Check

• Advanced Level Training
  • MIP with 3rd parties(V) 
  • Continuing Microsoft Information Protection integration momentum(B) 
  • Microsoft Information Protection (MIP) SDK setup and configuration(B) 
  • Get started with Office 365 Management APIs(B) 
  • Office 365 Management Activity API and Power BI(B)
  • Leverage M365 sensitivity labels to improve your Power BI deployment compliance and protect sensitiv...(V)
  • Protection for on-premises data(V)
  • AIP Scanner(V)
  • Microsoft Endpoint Management (Intune) with MIP part 1(V)
  • Microsoft Endpoint Management (Intune) with MIP part 2(V)
  • Preview Channels(OSS)
  • Double Key Encryption(D)

Advanced Knowledge Check

Accéder à The Microsoft Information Protection (MIP) Ninja Training is here! - Microsoft Tech Community

Microsoft a communiqué que l’initialement Windows 365 a utilisé des machines virtuelles de génération 1 basées sur des images Windows 10. Avec l’arrivée de Windows 11 et afin de bénéficier des nouvelles fonctionnalités (Puce TPM, UEFI, etc.), des étapes sont requises pour utiliser des machines virtuelles de génération 2.

Si vous utilisez des images personnalisées, aucune action n’est requise pour continuer d’utiliser Windows 10. Néanmoins, si vous souhaitez utiliser Windows 11 ou si vous souhaitez ajouter des applications à vos images personnalisées, vous devez utiliser une des options suivantes :

• Recréer une nouvelle image personnalisée avec des machines virtuelles de génération 2. Vous pouvez créer une nouvelle image personnalisée à partir d’Azure MarketPlace sur la base d'une image de galerie génération 2 en suivant les étapes : Device images in Windows 365 | Microsoft Docs
• Convertir vos machines virtuelles de Génération 1 existantes en machines virtuelles de génération 2 en suivant les étapes : Convert custom device images to generation 2 virtual machines in Windows 365 | Microsoft Docs. Après avoir effectué ces étapes, tous les futurs Cloud PCs provisionnés à partir de l'image de périphérique convertie seront basés sur des machines virtuelles de génération 2.
• Si vous utilisez une image de base de galerie, vous pouvez attendre que Windows 11 soit disponible, puis remplacer votre image personnalisée par l'image de galerie Windows 11 et ajouter vos applications pour vérifier la compatibilité avec Windows 11.

A partir du 5 octobre, Microsoft a annoncé que prochainement Windows 365 n’acceptera que des images basées sur la génération 2. Microsoft publiera une machine virtuelle de génération 2 dans Microsoft Endpoint Manager à partir du 28 septembre. Si vous souhaitez attendre que ces images soient disponibles, vous n'aurez pas à recréer ou à convertir des images comme décrit précédemment.

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en août 2021.

Microsoft apporte les nouveautés suivantes :

• Nouvelle version majeure d’Azure Active Directory Connect (v2.0) contenant plusieurs mises à jour des composants fondamentaux (SQL Server 2019 LocalDB, MSAL Authentication Library, Visual C++ Redist 14, TLS 1.2, tous les binaires sont signés avec SHA2, PowerShell 5.0). La mise à jour est recommandée pour tous les clients utilisant Azure AD Connect.
• 46 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Siriux Customer Dashboard, STRUXI, Autodesk Construction Cloud - Meetings, Eccentex AppBase for Azure, Bookado, FilingRamp, BenQ IAM, Rhombus Systems, CorporateExperience, TutorOcean, Bookado Device, HiFives-AD-SSO, Darzin, Simply Stakeholders, KACTUS HCM - Smart People, Five9 UC Adapter for Microsoft Teams V2, Automation Center, Cirrus Identity Bridge for Azure AD, ShiftWizard SAML, Safesend Returns, Brushup, directprint.io Cloud Print Administration, plain-x,X-point Cloud, SmartHub INFER, Fresh Relevance, FluentPro G.A. Suite, Clockwork Recruiting, WalkMe SAML2.0, Sideways 6, Kronos Workforce Dimensions, SysTrack Cloud Edition, mailworx Dynamics CRM Connector, Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service, Peripass, JobDiva, Sanebox For Office365, Tulip, HP Wolf Security, Genesys Engage cloud Email, Meta Wiki, Palo Alto Networks Cloud Identity Engine Directory Sync, Valarea, LanSchool Air, Catalyst, Webcargo
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Chatwork
  • Freshservice
  • InviteDesk
  • Maptician

• Disponibilité Générale de l’action utilisateur « Register or join devices » dans l’accès conditionnel. Cette action utilisateur vous permet de contrôler les stratégies d'authentification multifactorielle (MFA) pour l'inscription des périphériques Azure Active Directory (AD). Actuellement, cette action utilisateur vous permet uniquement d'activer l'authentification à facteurs multiples en tant que contrôle lorsque les utilisateurs enregistrent ou joignent des périphériques à Azure AD. Les autres contrôles qui dépendent de l'inscription des périphériques Azure AD ou qui ne s'y appliquent pas continuent d'être désactivés par cette action utilisateur.
• Disponibilité Générale pour les administrateurs permettant de créer des revues d'accès ne comportant que des affectations permanentes ou éligibles à des rôles privilégiés d'Azure AD ou de ressources Azure.
• Disponibilité Générale de la capacité permettant d’assigner des rôles à des groupes Azure Active Directory permettant de simplifier la gestion.
• Public Preview de la prise en charge du SSO natif et l'accès conditionnel basé sur les appareils pour le navigateur Firefox sur Windows 10 et Windows Server 2019. Le support est disponible dans la version 91 de Firefox.
• Public Preview de la publication de la version bêta de l'API MS Graph pour Azure AD Access Reviews. L'API dispose de méthodes permettant de renvoyer une liste de noms de réviseurs contactés en plus du type de réviseur.

On retrouve les modifications de service suivantes :

• Pour aider les administrateurs à comprendre que leurs utilisateurs sont bloqués pour MFA suite à un rapport de fraude, Microsoft a ajouté un nouvel événement d'audit lorsque l'utilisateur signale une fraude. L'événement d'audit est disponible en plus des informations existantes dans les journaux d'ouverture de session concernant le rapport de fraude.
• Pour améliorer la qualité des alertes à faible risque émises par Identity Protection, Microsoft a modifié l'algorithme afin de réduire le nombre d'ouvertures de session à faible risque. Les organisations peuvent constater une réduction significative des ouvertures de session à faible risque dans leur environnement.
• Identity Protection émet désormais des connexions à risque lors des connexions non interactives. Les administrateurs peuvent trouver ces connexions à risque en utilisant le filtre de type connexion dans le rapport sur les connexions à risque.
• Les attributions de permissions pour gérer les packages d'accès et d'autres ressources dans la gestion des droitsv passent du rôle User Administrator au rôle Identity Governance administrator. Les utilisateurs qui se sont vus attribuer le rôle User administrator ne peuvent plus créer de catalogues ou gérer les packages d'accès dans un catalogue qu'ils ne possèdent pas. Si des utilisateurs de l’entreprise se sont vu attribuer le rôle User administrator pour configurer des catalogues, des packages d'accès ou des stratégies dans la gestion des droits, ils devront recevoir une nouvelle affectation. Vous devez plutôt attribuer à ces utilisateurs le rôle Identity Governance administrator.
• Le connecteur AD de Windows Azure pour le FIM n'est plus fonctionnel et est déprécié. La solution consistant à utiliser le FIM et le connecteur Azure AD a été remplacée. Les déploiements existants doivent migrer vers Azure AD Connect, Azure AD Connect Sync ou Microsoft Graph Connector, car les interfaces internes utilisées par Azure AD Connector for FIM sont supprimées d'Azure AD.
• À partir du 31 août 2022, toutes les versions V1 d'Azure AD Connect seront retirées. Si vous ne l'avez pas encore fait, vous devez mettre à jour votre serveur vers Azure AD Connect V2.0. Vous devez vous assurer que vous exécutez une version récente d'Azure AD Connect pour bénéficier d'une expérience de support optimale. Si vous exécutez une version obsolète d'Azure AD Connect, il se peut qu'elle cesse de fonctionner de manière inattendue. Il se peut également que vous ne disposiez pas des derniers correctifs de sécurité, des améliorations de performances, des outils de dépannage et de diagnostic et des améliorations de service.
• Retrait du support pour l’installation de Microsoft Identity Manager (MIM) sur Windows Server 2008 R2 ou SQL Server 2008 R2.

Plus d’informations sur : What’s new Azure AD

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v93. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

Cette version comprend 26 nouveaux paramétrages utilisateurs et 31 nouveaux paramétrages ordinateurs. Pour résumé, voici les changements principaux :

• Microsoft active le paramètre Enable 3DES cipher suites in TLS pour s’assurer qu'il reste désactivé. 3DES sera complètement supprimé de Microsoft Edge dans la version 95 (en octobre 2021) et ce paramétrage cessera de fonctionner à ce moment-là. Dès que ce sera le cas, Microsoft supprimera ce paramètre de la Baseline.
• Maintenant que le support d'Adobe Flash a pris fin et a été supprimée de Microsoft Edge, Microosft a désactivé le paramètre Default Adobe Flash setting.

Plus d’informations sur l’article suivant :  Security baseline for Microsoft Edge v93 - Microsoft Tech Community

Télécharger Security Compliance Toolkit

Microsoft a publié un Management Pack (7.1.10128.1) pour Windows Defender. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système. Il est à noter que cette version supporte System Center Operations Manager 2016 ou 2019.

Cette version du Management Pack a été vérifié pour les systèmes d'exploitation Windows Server 2016 et ultérieurs. Microsoft les a marqué comme agnostiques vis-à-vis de la version.

Télécharger Microsoft System Center Management Pack for Windows Defender

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Windows Server 2022. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft. Microsoft annonce l’arrivée des baselines sous forme de paramètres MDM prochainement.

On retrouve trois nouveaux paramétrages :

• AppLocker : Maintenant que Microsoft Edge est inclus dans Windows Server, Microsoft a mis à jour la liste de restriction de navigateur du contrôleur de domaine. La liste de restriction de navigateur restreint maintenant Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, et Microsoft Edge. Si d'autres navigateurs sont utilisés sur vos contrôleurs de domaine, vous devez les mettre à jour en conséquence.
• Script Scanning : L'analyse de script était une lacune entre la politique de groupe et MDM que Microsoft couvre maintenant en imposant l'activation de l'analyse des scripts (Modèles d'administration\Microsoft Defender Antivirus\Real-time Protection\Turn on script-scanning).
• Restriction des installations de pilotes : En juillet, un article de la base de connaissances et un correctif ont été publiés pour CVE-2021-34527 "PrintNightmare". Microsoft a ajouté un nouveau paramètre au modèle d'administration personnalisé.

Plus d’informations sur l’article suivant : Windows Server 2022 Security Baseline - Microsoft Tech Community

Télécharger Windows Server 2022 Security Baseline

Avec l’arrivée de macOS 12 (Monterey) à l’automne 2021, Microsoft annonce la fin de support par Microsoft Endpoint Manager (Intune) des versions autre que macOS 10.15 (Catalina) et les versions ultérieures peu après la publication.

Il se peut que cela n'ait pas d'impact sur vous car les utilisateurs ont probablement déjà mis à niveau leurs périphériques macOS. Pour connaître la liste des matériels compatibles, vous pouvez consulter : macOS Catalina est compatible avec les ordinateurs suivants - Assistance Apple (FR)

Les périphériques actuellement enregistrés sous macOS 10.13.x et 10.14 resteront inscrits même si ces versions ne sont plus prises en charge. Les nouveaux périphériques ne pourront pas s'inscrire s'ils utilisent macOS 10.14 ou une version inférieure.

Vous pouvez utiliser les rapports Intune pour voir quels périphériques ou utilisateurs peuvent être impactés. Accédez à Devices > All devices et filtrez par macOS. Demandez aux utilisateurs de mettre à niveau vers une version d'OS prise en charge avant la sortie de macOS 12.

Avec l’arrivée de d’iOS/iPadOS 15 et Android 12, Microsoft a communiqué des éléments relatifs au SDK Intune App. Vous avez pu être notifié dans le centre de messages Microsoft. Une nouvelle version est en cours de publication.

Pour les applications utilisant le kit SDK Intune App ou Wrapper pour iOS :

• Si vous avez une application utilisant Azure Active Directory Authentication Library (ADAL) et ARKit, vous devrez adopter la nouvelle version de l'Intune App SDK (v 14.7) qui a été publiée en août.
• Si vous choisissez de créer des apps avec XCode 13 d'Apple, Microsoft publiera une nouvelle version du SDK Intune App pour iOS peu après la sortie officielle de XCode 13 que vous devrez utiliser. Si vous wrappez l'application, vous devez utiliser le dernier wrapper (15.0.0 ou plus).

Pour les applications utilisant le SDK Intune App ou Wrapper pour Android :

• Si vous choisissez de créer des applications ciblant Android API 31, vous devrez adopter la nouvelle version de l'Intune App SDK pour Android (v 8.0) qui sera disponible en septembre. Si vous avez wrappez votre application et que vous ciblez l'API 31, Microsoft publiera un nouveau wrapper que vous devrez utiliser, le calendrier reste à déterminer.

Voici les liens vers les ressources :

• Intune App SDK for iOS
• Intune App Wrapper for iOS
• Intune App SDK for Android
• Intune App Wrapper for Android

Microsoft vient d’annoncer Windows Server 2022 et va proposer un événement en ligne à destination des professionnels de l’informatique : le Windows Server Summit. Cette conférence aura lieu afin de présenter les nouveautés de Windows Server. Celui-ci aura lieu le jeudi 16 septembre de 10h à 19h30 (heure française).

Microsoft prévoit beaucoup de contenu, de démos et des sessions de questions/réponses. On retrouve 4 sujets qui peuvent être suivies :

• Hybride : Il sera détaillé comment exécuter les charges de travail Windows Server de manière On-Prem et dans Azure, ainsi que comment les services Azure peuvent être utilisés pour gérer les charges de travail Windows Server s'exécutant dans le Cloud ou On-Prem.
• Sécurité : Présentation des nouvelles fonctions de sécurité améliorées.
• Plateforme d'application : Microsoft détaillera ce qu’il y a de nouveau dans Windows Server pour permettre la modernisation des applications fonctionnant on-Prem ou sur Azure.
• Les éléments de simplification

Enregistrez-vous !