Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Endpoint Manager (Microsoft Intune).

Microsoft Endpoint Manager ne supporte plus Android 5.x

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [iOS/iPadOS/macOS] Public Preview d’une nouvelle méthode d’authentification moderne avec Apple Setup Assistant. Lors de la création d'un profil d'inscription automatique des périphériques, vous pouvez désormais choisir une nouvelle méthode d'authentification : Setup Assistant avec authentification moderne. L'utilisateur doit s'authentifier à l'aide de l'authentification à facteurs multiples d’Azure AD (MFA) pendant les écrans de l'assistant de configuration. Cela nécessitera une connexion Azure AD supplémentaire après l'inscription à l'application Company Portal pour accéder aux ressources de l'entreprise protégées par un accès conditionnel. La version correcte de Company Portal doit être automatiquement envoyée en tant qu'application requise sur l'appareil pour iOS/iPadOS. Pour macOS, voici les options pour obtenir le Company Portal sur l'appareil.
  L'inscription est terminée lorsque l'utilisateur accède à l'écran d'accueil, et les utilisateurs peuvent utiliser librement le périphérique pour les ressources non protégées par l'accès conditionnel. L'affinité avec l'utilisateur est établie lorsque l'utilisateur accède à l'écran d'accueil après les écrans de configuration, mais le périphérique ne sera pas entièrement enregistré dans AAD avant la connexion au portail de l'entreprise. L'appareil n'apparaîtra pas dans la liste des appareils d'un utilisateur donné dans le portail AAD avant la connexion au portail de l'entreprise. Si le tenant a activé l'authentification MFA pour ces périphériques ou utilisateurs, il sera demandé aux utilisateurs de compléter l'authentification à facteurs multiples lors de l'inscription pendant l'assistant de configuration. L'authentification à facteurs multiples n'est pas obligatoire, mais elle est disponible pour cette méthode d'authentification dans l'accès conditionnel si nécessaire.

• [iOS] Microsoft a ajouté un texte supplémentaire à l'écran de confidentialité du portail d'entreprise pour clarifier la manière dont le portail d'entreprise utilise les données collectées. Il assure aux utilisateurs que les données collectées ne sont utilisées que pour vérifier que les appareils sont conformes aux stratégies de leur entreprise.

Gestion du périphérique

• [Windows 10] Une action de localisation géographique des périphériques à distance est disponible pour Windows 10 incluant : 20H2 (10.0.19042.789), 2004 (10.0.19041.789), 1909 (10.0.18363.1350), ou 1809 (10.0.17763.1728). Pour voir la nouvelle action, connectez-vous au centre d'administration de Microsoft Endpoint Manager et choisissez Devices > Windows > choose a Windows 10 > Locate device. Les services de localisation doivent être activés sur les appareils pour que cette action à distance fonctionne. Si Intune est incapable de récupérer l'emplacement de l'appareil et que l'utilisateur a défini un emplacement par défaut dans les paramètres de l'appareil, il affichera l'emplacement par défaut.

• [Android Enterprise] Pour les périphériques Android Enterprise (Dedicated, Fully Managed, et Fully managed with work profile), les numéros de téléphone des périphériques associés sont maintenant affichés dans Microsoft Endpoint Manager. Si plusieurs numéros sont associés au périphérique, un seul numéro sera affiché.
• [Android Enterprise] La possibilité de provisionner des appareils dédiés Android Enterprise avec Microsoft Authenticator automatiquement configuré en mode Azure AD shared device est maintenant en disponibilité générale.

• [iOS/iPadOS] L'identifiant eSIM (EID) est un identifiant unique pour la carte SIM intégrée (eSIM). La propriété EID apparaît désormais sur la page des détails du matériel pour les appareils iOS/iPadOS.

Configuration du périphérique

• [Android] Vous pouvez créer une politique OEMConfig pour ajouter, créer et personnaliser des paramètres spécifiques au fabricant. Désormais, le rapport sur la stratégie est mis à jour pour indiquer également le succès sur un utilisateur, un appareil et pour chaque paramètre de la politique.
• [iOS/iPadOS] Sur les périphériques iOS/iPadOS supervisés, vous pouvez créer un profil de restriction des appareils qui désactive la fonction NFC (Devices > Configuration profiles> Create profile > iOS/iPadOS comme plateforme > Device restrictions pour profil > Connected devices > Disable near field communication (NFC)). Lorsque vous désactivez cette fonction, elle empêche les appareils de s'apparier avec d'autres appareils compatibles NFC et désactive la NFC.

Gestion des applications

• [Général] On retrouve de nouvelles applications protégées par Intune incluant : Omnipresence Go, Comfy, et M-Files for Intune.
• [Windows 10] À partir de la page des applications installées du portail d'entreprise Windows ou du site Web du portail d'entreprise, les utilisateurs peuvent afficher l'état d'installation et les détails des applications obligatoires attribuées aux périphériques. Cette fonctionnalité est fournie en plus de l'état d'installation et des détails des applications requises attribuées par l'utilisateur.
• [Windows 10] La version de l’application Win32 est maintenant affichée dans le centre d'administration de Microsoft Endpoint Manager. La version de l'application est fournie dans la liste All apps, où vous pouvez filtrer par applications Win32 et sélectionner la colonne optionnelle de la version. Dans le centre d'administration de Microsoft Endpoint Manager, sélectionnez Apps > All apps > Columns > Version pour afficher la version de l'application dans la liste des applications.
• [iOS] À l'aide des stratégies de protection des applications Intune, vous pouvez ajouter un nouveau paramètre de lancement conditionnel pour vous assurer que les utilisateurs n'utilisent pas de version préliminaire ou bêta du système d'exploitation pour accéder aux données des comptes professionnels ou scolaires sur les périphériques iOS. Ce paramètre vous permet de vérifier toutes les versions du système d'exploitation avant que les utilisateurs n'utilisent activement les nouvelles fonctionnalités du système d'exploitation sur les périphériques iOS. Dans le centre d'administration de Microsoft Endpoint Manager, sélectionnez Apps > App protection policies.

Sécurité du périphérique

• [Général] Microsoft a ajouté des options pour aider à gérer la mise à niveau des serveurs Microsoft Tunnel Gateway incluant la définition d’une fenêtre de maintenance, le type de mise à niveau des serveurs, et un onglet vérification de l’état de santé.
• [Windows 10] Pour vous aider à planifier la fin de service des mises à jour de fonctionnalités de Windows 10 que vous déployez avec Intune, Microsoft a ajouté deux nouvelles colonnes d'informations aux profils de mises à jour de fonctionnalités dans le centre d'administration de Microsoft Endpoint Manager. Les nouvelles colonnes et détails sont les suivants :
  • Support - Cette colonne affiche le statut de la mise à jour de la fonctionnalité :
    • Supporté - La mise à jour est supportée pour la distribution.
    • Support terminé - La mise à jour est dans les deux mois de sa date de fin de service.
    • Non prise en charge - La mise à jour n'est plus prise en charge, car elle a atteint sa date de fin de service.
  • Date de fin de support - Cette colonne affiche la date de fin de service de la mise à jour de la fonctionnalité dans le profil.

• [Windows 10] Vous pouvez désormais configurer la fusion de l'administration locale Defender en tant que paramètre dans un profil Microsoft Defender Antivirus pour bloquer la fusion des listes d'exclusion locales pour Microsoft Defender Antivirus sur les périphériques Windows 10. Les listes d'exclusion pour Microsoft Defender Antivirus peuvent être configurées localement sur un périphérique, et spécifiées par la stratégie Intune Antivirus :
  • Lorsque les listes d'exclusion sont fusionnées, les exclusions définies localement sont fusionnées avec celles d'Intune.
  • Lorsque la fusion est bloquée, seules les exclusions de la politique seront effectives sur l'appareil.
• [Windows 10] Amélioration du flux pour l'accès conditionnel sur les appareils Surface Duo a simplifié le flux d'accès conditionnel sur les dispositifs Surface Duo.
  • Lorsque l'accès à une ressource est bloqué par l'accès conditionnel, les utilisateurs sont désormais redirigés vers l'app Company Portal qui était préinstallée sur l'appareil. Auparavant, ils étaient dirigés vers la liste de l'application du portail de l'entreprise dans le Store Google Play.
  • Pour les périphériques inscrits en tant que COPE, lorsqu'un utilisateur tente de se connecter à une version personnelle d'une application à l'aide de ses informations d'identification professionnelles, il est désormais dirigé vers la version professionnelle du portail de l'entreprise, où des messages d'orientation sont affichés. Auparavant, l'utilisateur était envoyé vers la liste de le Store Google Play de la version personnelle de l'application du portail de l'entreprise, où il devait réactiver le portail de l'entreprise personnel pour voir les messages d'orientation.

Supervision et Dépannage

• [Général] Les nouveaux rapports opérationnels prennent désormais en charge une nouvelle interface utilisateur permettant d'ajouter des filtres de données.
• [Windows 10] Le rapport sur la fréquence de redémarrage de Windows dans Endpoint analytics est en disponibilité générale.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Les versions 2.144, 2.145 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Si vous avez passé les nouvelles certifications Bêta pour les sujets de Conformité, Identité et de Sécurité, Microsoft vient de mettre en ligne les résultats des certifications SC-900: Microsoft Security, Compliance, and Identity Fundamentals, SC-200: Microsoft Security Operations Analyst, SC-300: Microsoft Identity and Access Administrator, et SC-400: Microsoft Information Protection Administrator.

Pour rappel, voici les différents éléments qui sont évalués :

• SC-900: Microsoft Security, Compliance, and Identity Fundamentals sur les fondamentaux de sécurité, de conformité et d’identité.
• SC-200: Microsoft Security Operations Analyst
  • 25 à 30% sur l’atténuation des menaces en utilisant Microsoft 365 Defender incluant la détection, l’investigation et la remédiation des menaces dans l’environnement en utilisant Microsoft Defender for Office 365 et Microsoft Defender for Endpoint. On retrouve aussi la détection, l’investigation, la réponse et la remédiation des menaces sur l’identité et la gestion des investigations cross-domaine dans le portail Microsoft 365 Defender.
  • 25 à 30% sur l’atténuation des menaces en utilisant Azure Defender incluant la conception, la configuration d’Azure Defender, la planification et l’implémentation de l’utilisation des connecteurs de données pour l’ingestion des sources de données dans Azure Defender. On retrouve aussi la gestion des règles d’alerte d’Azure Defender, la configuration de l’automatisation et de la remédiation, et l’investigation des alertes et incidents d’Azure Defender.
  • 40 à 45% sur l’atténuation des menaces en utilisant Azure Sentinel incluant la conception et la configuration d’un espace de travail Azure Sentinel, la planification et l’implémentation de l’utilisation des connecteurs de données pour l’ingestion des sources de données dans Azure Sentinel, et la gestion des règles d’analyse. On retrouve aussi la configuration de SOAR, la gestion des incidents, la chasse de menaces dans Azure Sentinel
• SC-300: Microsoft Identity and Access Administrator
  • 25 à 30% sur l’implémentation de la solution de gestion de l’identité incluant l’implémentation de la configuration initiale dans Azure Active Directory, la création, la configuration et la gestion des identités. On retrouve aussi l’implémentation et la gestion des identités externes, et l’implémentation et la gestion des identités hybrides.
  • 25 à 30% sur l’implémentation des solutions de gestion des authentifications et des accès incluant la planification et l’implémentation d’Azure MFA, la gestion de l’authentification utilisateur mais aussi la planification, l’implémentation, et l’administration de l’accès conditionnel. On retrouve aussi la gestion d’Azure AD Identity Protection.
  • 10 à 15% sur l’implémentation de la gestion des accès pour les applications incluant la planification, l’implémentation et la supervision de l’intégration des applications d’entreprise pour le SSO et l’implémentation de l’enregistrement des applications.
  • 25 à 30% sur la planification et l’implémentation d’une stratégie de gouvernance d’identité incluant la planification, et l’implémentation d’Entitlement Management, Access Reviews, et PIM. On retrouve aussi la supervision et le maintien d’Azure Active Directory
• SC-400: Microsoft Information Protection Administrator
  • 35 à 40% autour de l’implémentation de la protection de l’information incluant la création et la gestion des types d’information sensibles, la création et la gestion des classificateurs entrainés, l’implémentation et la gestion des étiquettes de sensibilité, la planification et l’implémentation du chiffrement pour les emails,
  • 30 à 35% sur l’implémentation de la prévention de la perte de donnée (DLP) incluant la création et la configuration des stratégies DLP, l’implémentation etl a supervision de Microsoft Endpoint data loss prevention, et la gestion et la supervision des stratégies et activités de prévention de fuite de données.
  • 25 à 30% sur l’implémentation de la gouvernance de l’information incluant la configuration des étiquettes et des stratégies de rétention, la gestion de la rétention de la donnée dans Microsoft 365, l’implémentation de la gestion des enregistrements dans Microsoft 365.

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Mars 2021.

Microsoft apporte les nouveautés suivantes :

• 37 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Bambuser Live Video Shopping, DeepDyve Inc, Moqups, RICOH Spaces Mobile, Flipgrid, hCaptcha Enterprise, SchoolStream ASA, TransPerfect GlobalLink Dashboard, SimplificaCI, Thrive LXP, Lexonis TalentScape, Exium, Sapient, TrueChoice, RICOH Spaces, Saba Cloud, Acunetix 360, Exceed.ai, GitHub Enterprise Managed User, Enterprise Vault.cloud for Outlook, Smartlook, Accenture Academy, Onshape, Tradeshift, JuriBlox, SecurityStudio, ClicData, Evergreen, Patchdeck, FAX.PLUS, ValidSign, AWS Single Sign-on, Nura Space, Broadcom DX SaaS, Interplay Learning, SendPro Enterprise, FortiSASE SIA.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • AWS Single Sign-on
  • Bpanda
  • Britive
  • GitHub Enterprise Managed User
  • Grammarly
  • LogicGate
  • SecureLogin
  • TravelPerk
• Le déploiement progressif de l'authentification Cloud (Staged rollout to cloud authentication) est désormais disponible. La fonction de déploiement échelonné vous permet de tester sélectivement des groupes d'utilisateurs avec des méthodes d'authentification Cloud, telles que Passthrough Authentication (PTA) ou Password Hash Sync (PHS).  
• Disponibilité Générale de l’authentification SSO basée sur l’entête avec Azure AD Application Proxy.

• Disponibilité Générale de la fonctionnalité d’ensembles de replica dans Azure AD Domain Services. Vous pouvez étendre un domaine géré pour avoir plus d'un ensemble de réplicas par tenant Azure AD. Les ensembles de réplicas peuvent être ajoutés à tout réseau virtuel pairé dans toute région Azure prenant en charge Azure AD DS. Des ensembles de réplicas supplémentaires dans différentes régions Azure permettent une reprise après sinistre géographique pour les applications existantes si une région Azure est hors ligne.

• Disponibilité dans Azure Government Cloud de la collaboration avec des partenaire en utilisant le mot de passe à usage unique par email.
• Public Preview de l’intégration des activités d’ouverture de session via AD FS dans les rapports d’activités Azure AD. À l'aide du rapport Azure AD Sign-Ins, de Log Analytics et Workbooks d'Azure Monitor, il est possible d'effectuer une analyse approfondie des scénarios d'ouverture de session AAD et AD FS, tels que les verrouillages de compte AD FS, les tentatives de mauvais mot de passe et les pics de tentatives d'ouverture de session inattendues.
• Public Preview d’un nouveau type d’action utilisateur pour demander l’enregistrement ou la jointure du périphérique via l’accès conditionnel. Cette action utilisateur vous permet de contrôler les stratégies MFA pour l'inscription des périphériques Azure AD. Actuellement, cette action utilisateur vous permet uniquement d'activer l'authentification MFA en tant que contrôle lorsque les utilisateurs enregistrent ou joignent des périphériques à Azure AD. Les autres contrôles qui dépendent de l'inscription des périphériques Azure AD ou qui ne s'y appliquent pas sont désactivés par cette action utilisateur.
• Public Preview permettant aux utilisateurs externes de désormais utiliser les comptes Email One-Time Passcode pour se connecter aux applications Azure AD 1st party et métiers.
• Public Preview de l’optimisation des groupes de connecteur pour trouver le service Cloud Azure AD Application Proxy le plus près régionalement. Cela peut améliorer les performances des applications dans les scénarios où les applications sont hébergées dans des régions autres que celle du tenant d'origine.
• Public Preview de la fonctionnalité permettant de restaurer des applications supprimées à partir du nœud App registration. Notez que si l’application a été supprimée, il y a plus de 30 jours, elle ne peut être restaurée.
• Public Preview du support de SharePoint Online multi-geo par Azure AD Entitlement Management.
• Les clients peuvent désormais mettre à jour le type d'utilisateur des utilisateurs Azure AD lorsqu'ils mettent à jour les informations de leur profil d'utilisateur depuis le portail d'administration Azure. Le type d'utilisateur peut également être mis à jour à partir de Microsoft Graph.

On retrouve les modifications de service suivantes :

• Microsoft a annoncé la dépréciation de TLS 1.0/1.1 à partir du 30 jours et fourni donc un guide pour se préparer au changement.
• Les SMS bidirectionnels pour MFA Server ont été initialement dépréciés en 2018, et ne sont plus pris en charge depuis le 24 février 2021. Les administrateurs doivent activer une autre méthode pour les utilisateurs qui utilisent encore le SMS bidirectionnel.

• L'API MS Graph pour l'image de marque de l'entreprise est disponible pour l'expérience de connexion Azure AD ou Microsoft 365 afin de permettre la gestion des paramètres de l'image de marque de manière programmatique.

Plus d’informations sur : What’s new Azure AD

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

La version 197 apporte les changements suivants :

• Le 29 avril, Cloud App Security supprimera la page d'état de santé du service et la remplacera par le tableau de bord de santé du service dans le portail d'administration de Microsoft 365. Ce changement permet d'aligner Cloud App Security sur les autres services Microsoft et de fournir un aperçu amélioré des services.
• Microsoft a ajouté la possibilité d'étendre les investigations sur les activités aux activités de consentement d'une application OAuth spécifique, directement à partir de la vue de l'application OAuth.

La version 195 et 196 introduisent les changements suivants :

• Microsoft a encore amélioré l’intégration Defender for Endpoint en tirant parti de signaux améliorés pour l'agent Defender, ce qui permet une découverte plus précise des apps et du contexte organisationnel des utilisateurs. Pour bénéficier des dernières améliorations, vous devez vous assurer que les machines sont mis à jour avec les dernières mises à jour de Windows 10 :

• KB4601383: Windows 10, version 1809
• KB4601380: Windows 10, version 1909
• KB4601382: Windows 10, version 20H2, version 21H1 Insider

• Il est maintenant possible de configurer une durée de vie de session plus courte pour le contrôle des apps à accès conditionnel. Par défaut, les sessions proxysées par Cloud App Security ont une durée de vie maximale de 14 jours.

Plus d’informations sur : What's new with Microsoft Cloud App Security

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Cloud App Security. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve une nouvelle table CloudAppEvents permettant de trouver des informations sur les événements dans diverses applications et services cloud couverts par Microsoft Cloud App Security. Ce tableau comprend également des informations précédemment disponibles dans AppFileEvents.

Microsoft a introduit un ensemble de nouveautés dans Azure Defender (anciennement Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La gestion d’Azure Firewall est intégrée à Security Center. Lorsque vous ouvrez Azure Security Center, la première page qui apparaît est la page d'aperçu. Ce tableau de bord interactif offre une vue unifiée de la posture de sécurité de vos charges de travail de cloud hybride. En outre, il affiche des alertes de sécurité, des informations sur la couverture, et plus encore. Pour vous aider à visualiser votre état de sécurité à partir d'une expérience centrale, nous avons intégré Azure Firewall Manager à ce tableau de bord. Vous pouvez désormais vérifier l'état de la couverture du pare-feu sur tous les réseaux et gérer de manière centralisée les politiques de pare-feu Azure à partir du Security Center.

• Preview de l’expérience permettant de « Disable rule » dans l’évaluation de vulnérabilité SQL. Ceci permet d’ignorer certaines règles afin qu’elles n’aient pas d’impacts sur le Secure Score.
• Intégration des workbooks Azure Monitor dans Security Center accompagnés de 3 modèles :
  • Secure Score Over Time pour suivre les scores des abonnements et les modifications apportées aux recommandations pour des ressources.
  • System Updates affiche les mises à jour système manquantes par ressources, système d'exploitation, gravité, etc.
  • Vulnerability Assessment Findings affiche les résultats des analyses de vulnérabilité de vos ressources Azure.
• Preview de la fonction permettant de télécharger les rapports de certifications Azure et Dynamics depuis la barre d'outils du tableau de bord de conformité réglementaire.

• Les pages de détails des recommandations comprennent désormais le bouton "Explore in ARG" de la barre d'outils. Ce bouton permet d’ouvrir une requête Azure Resource Graph et explorer, exporter et partager les données de la recommandation.

• Mise à jour des stratégies pour déployer des workflows d’automatisation. Il y a deux mises à jour des caractéristiques de ces politiques :
  • Une fois assignées, elles resteront activées.
  • Vous pouvez maintenant personnaliser ces politiques et mettre à jour n'importe lequel de leurs paramètres, même après qu'elles aient été déployées. Par exemple, si un utilisateur souhaite ajouter une autre clé d'évaluation ou modifier une clé d'évaluation existante, il peut le faire.
• Deux anciennes recommandations n'écrivent plus les données directement dans le journal d'activité d'Azure. Au lieu de cela, Microsoft exporte les données vers Azure Advisor comme c’est le cas pour toutes les autres recommandations. Ceci concerne :
  • Endpoint protection health issues should be resolved on your machines
  • Vulnerabilities in security configuration on your machines should be remediated
• Améliorations de la page de recommandation avec
  • Le score maximum et le score actuel pour chaque contrôle de sécurité.
  • Des icônes remplaçant les balises telles que Quick fix et Preview.
  • Une nouvelle colonne montrant l'initiative de politique liée à chaque recommandation - visible lorsque " Group by controls" est désactivé.

Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.143 a ajouté l'événement Windows 4741 pour détecter les comptes d'ordinateur ajoutés aux activités d'Active Directory. Vous devez configurer le nouvel événement pour qu'il soit collecté par Defender for Identity. Une fois configurés, les événements collectés pourront être consultés dans le journal des activités ainsi que dans l’Advanced Hunting de Microsoft 365 Defender.

• Les versions 2.142, 2.143 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft vient de publier une mise à jour (1.6.4.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

Cette version corrige un bug dans la version 1.6.2.4 où, après la mise à niveau vers cette version, la fonction Azure AD Connect Health n'était pas enregistrée correctement et ne fonctionnait pas. Les clients qui ont déployé la version 1.6.2.4 sont priés de mettre à jour leur serveur Azure AD Connect avec cette version, qui enregistrera correctement la fonction Health.

Pour rappel, la version précédente (1.6.2.4) apportait de nombreux changements parmi :

• Mise à jour des règles de synchronisation par défaut pour limiter le nombre de membres dans les groupes réécrits à 50 000 membres.
  • Ajout de nouvelles règles de synchronisation par défaut pour limiter le nombre de membres dans les groupes de réécriture (Out to AD - Group Writeback Member Limit) et de synchronisation de groupes vers Azure Active Directory (Out to AAD - Group Writeup Member Limit).
  • Ajout d'un attribut de membre à la règle "Out to AD - Group SOAInAAD - Exchange" pour limiter à 50 000 le nombre de membres dans les groupes réécrits.
• Mise à jour des règles de synchronisation pour prendre en charge Group Writeback v2 -Si la règle "In from AAD - Group SOAInAAD" est clonée et qu'AADConnect est mis à niveau. -La règle mise à jour sera désactivée par défaut et donc le targetWritebackType sera nul.
  • AADConnect réécrira tous les groupes du Cloud (y compris les groupes de sécurité Azure Active Directory activés pour la réécriture) en tant que groupes de distribution. -Si la règle "Out to AD - Group SOAInAAD" est clonée et que AADConnect est mis à niveau.
  • La règle mise à jour sera désactivée par défaut. Cependant, une nouvelle règle de synchronisation "Out to AD - Group SOAInAAD - Exchange" qui est ajoutée sera activée.
  • En fonction de la priorité de la règle de synchronisation personnalisée clonée, AADConnect transmettra les attributs Mail et Exchange.
  • Si la règle de synchronisation personnalisée clonée ne transmet pas certains attributs Mail et Exchange, la nouvelle règle de synchronisation Exchange ajoutera ces attributs.
• Ajout de la prise en charge de la synchronisation sélective du hash du mot de passe.
• Ajout de la nouvelle cmdlet Single Object Sync. Vous pouvez utiliser cette cmdlet pour dépanner votre configuration de synchronisation Azure AD Connect.
• Azure AD Connect prend désormais en charge le rôle Hybrid Identity Administrator pour la configuration du service.
• Mise à jour de l'agent AADConnectHealth vers la version 3.1.83.0
• Nouvelle version du module PowerShell ADSyncTools, qui comporte plusieurs nouvelle cmdlets ou améliorations.
  • Clear-ADSyncToolsMsDsConsistencyGuid
  • ConvertFrom-ADSyncToolsAadDistinguishedName
  • ConvertFrom-ADSyncToolsImmutableID
  • ConvertTo-ADSyncToolsAadDistinguishedName
  • ConvertTo-ADSyncToolsCloudAnchor
  • ConvertTo-ADSyncToolsImmutableID
  • Export-ADSyncToolsAadDisconnectors
  • Export-ADSyncToolsObjects
  • Export-ADSyncToolsRunHistory
  • Get-ADSyncToolsAadObject
  • Get-ADSyncToolsMsDsConsistencyGuid
  • Import-ADSyncToolsObjects
  • Import-ADSyncToolsRunHistory
  • Remove-ADSyncToolsAadObject
  • Search-ADSyncToolsADobject
  • Set-ADSyncToolsMsDsConsistencyGuid
  • Trace-ADSyncToolsADImport
  • Trace-ADSyncToolsLdapQuery
• Mise à jour de la journalisation des erreurs pour les échecs d'acquisition de jetons.
• Mise à jour des liens "En savoir plus" sur la page de configuration pour donner plus de détails sur les informations liées.
• Suppression de la colonne Explicit de la page CS Search dans l'ancienne interface utilisateur de Sync.
• Une interface utilisateur supplémentaire a été ajoutée au flux de réécriture de groupe pour demander à l'utilisateur de fournir des informations d'identification ou de configurer ses propres autorisations à l'aide du module ADSyncConfig si les informations d'identification n'ont pas déjà été fournies lors d'une étape précédente.
• Création automatique de MSA pour le compte de service ADSync sur un DC.
• Ajout de la possibilité de définir et d'obtenir la fonctionnalité Azure Active Directory DirSync Group Writeback V2 dans les cmdlets existants :
  • Set-ADSyncAADCompanyFeature
  • Get-ADSyncAADCompanyFeature
• Ajout de 2 cmdlets pour lire la version de l'API AWS
  • Get-ADSyncAADConnectorImportApiVersion - pour obtenir la version de l'API d'importation AWS
  • Get-ADSyncAADConnectorExportApiVersion - pour obtenir la version de l'API AWS pour l'exportation.
• Les modifications apportées aux règles de synchronisation font désormais l'objet d'un suivi afin de faciliter le dépannage des modifications apportées au service. La cmdlet "Get-ADSyncRuleAudit" permet de récupérer les modifications suivies.
• Mise à jour de la cmdlet Add-ADSyncADDSConnectorAccount dans le module PowerShell ADSyncConfig pour permettre à un utilisateur du groupe ADSyncAdmin de modifier le compte du connecteur AD DS.

Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#1640

Télécharger Microsoft Azure Active Directory Connect

Microsoft a publié la Public Preview (v2.11.57.0) du client et du scanner Unified Labeling d’Azure Information Protection.  Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Pour les fonctionnalités proposées par le client, on retrouve :

• La version 2.10.46.0 apporte (en Public Preview) la coédition dans les applications Office où une étiquette et un chiffrement est appliqué via les étiquettes de sensibilité.
• La version 2.10.43.0 apporte en public preview le support des stratégies Data Loss Prevention (DLP) supportées par Microsoft 365.

On retrouve les correctifs et améliorations suivants :

• Amélioration du temps de chargement de l'add-in AIP dans les applications Office.
• Correction de problèmes dans Outlook où la protection n'était pas supprimée lorsque l'étiquette était retirée, dans certains cas limites.
• Le paramètre avancé PowerPointRemoveAllShapesByShapeName ne nécessite plus que vous définissiez également le paramètre ExternalContentMarkingToRemove. Vous pouvez désormais définir le paramètre avancé PowerPointRemoveAllShapesByShapeName de manière autonome.
• Correction d'un problème où une option vide apparaissait sur les messages popup Outlook personnalisés lorsque seulement deux options à sélectionner par l'utilisateur étaient configurées pour le message popup.
• Correction des problèmes d'ouverture des fichiers .jt protégés dans l'application AIP Viewer.
• Les limites de taille pour la protection des fichiers à l'aide de l'explorateur de fichiers et de PowerShell sont maintenant mises à jour.
• Correction de problèmes dans l'analyse des stratégies d'étiquettes de sensibilité.

Pour les fonctionnalités relatives au Scanner, on retrouve :

• Le scanner Unified Labeling consigne désormais l'activité de l'utilisateur dans le journal des événements local de Windows.
• Avec la mise à niveau vers la version 2.11.57.0, l'exécution de la cmdlet Start-AIPScannerDiagnostics avec le paramètre Verbose affiche les 10 dernières erreurs du journal du scanner. Pour afficher plus ou moins d'erreurs, utilisez le nouveau paramètre VerboseErrorCount pour définir le nombre d'erreurs que vous souhaitez afficher.
• À partir de la version 2.11.57.0, les types d'informations sensibles suivants ne sont pas analysés par le scanner Unified Labeling : EU Phone Number, EU GPS Coordinates. Si vous avez des étiquettes de sensibilité qui utilisent ces types d'informations sensibles, Microsoft recommande de les supprimer.

• La version 2.10.43.0 apporte en public preview le support des stratégies Data Loss Prevention (DLP) supportées par Microsoft 365 :
  • L'utilisation d'une stratégie DLP permet au scanner de détecter les fuites de données potentielles en faisant correspondre les règles DLP aux fichiers stockés dans les partages de fichiers et SharePoint Server.
  • Activez les règles DLP dans votre tâche d'analyse de contenu pour réduire l'exposition de tous les fichiers qui correspondent à vos politiques DLP.
  • Le scanner peut réduire l'accès aux fichiers aux seuls propriétaires des données, ou réduire l'exposition aux groupes de l'ensemble du réseau, tels que Everyone, Authenticated Users ou Domain Users.
  • L'analyse de vos fichiers avec les règles DLP activées crée également des rapports sur les autorisations de fichiers. Interrogez ces rapports pour étudier l'exposition à des fichiers spécifiques ou pour explorer l'exposition d'un utilisateur spécifique aux fichiers analysés.

Télécharger Azure Information Protection unified labeling

Microsoft vient de mettre à disposition une nouvelle version (1.2.1844) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Mise à jour de la fonctionnalité d'installation en arrière-plan pour qu'elle s'exécute silencieusement pour la fonction de mise à jour automatique du client.
• Correction d'un problème où le client transmettait plusieurs tentatives de lancement d'un bureau à la même session. Selon la configuration de votre stratégie de groupe, l'hôte de session peut désormais autoriser la création de plusieurs sessions pour le même utilisateur sur le même hôte de session ou déconnecter la connexion précédente par défaut. Ce comportement n'était pas cohérent avant la version 1.2.1755.
• Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation
• Mises à jour du plugin "Teams on Windows Virtual Desktop", avec notamment :
  • Microsoft a revu le traitement vidéo (XVP) pour réduire l'utilisation du CPU de 5 à 10 % (selon la génération du CPU). Combiné avec la fonction de décodage matériel de la mise à jour de février, Microsoft a maintenant réduit l'utilisation totale du CPU de 10 à 20 % (selon la génération du CPU).
  • Microsoft a ajouté XVP et le décodage matériel, ce qui permet aux machines plus anciennes d'afficher plus de flux vidéo entrants de manière fluide en mode 2x2.
  • Microsoft a également mis à jour la pile WebRTC de la version M74 à M88. La version M88 offre une meilleure fiabilité, de meilleures performances de synchronisation AV et moins de problèmes transitoires.
  • Microsoft a remplacé l’encodeur H264 logiciel par OpenH264. OpenH264 est un codec open-source qui augmente la qualité vidéo du flux sortant de la caméra.
  • Le client dispose maintenant d'une expédition simultanée avec le mode 2x2. Le mode 2x2 affiche jusqu'à quatre flux vidéo entrants simultanément.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft vient de publier une nouvelle version (10.1.0.5) du Management Pack à destination des systèmes d’exploitation Windows Server 2016 ou plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Cette version corrige le problème de découverte des cartes réseau non physiques dans la découverte des adaptateurs réseau de Windows Server 2016 et des versions ultérieures.

Ce Management Pack supporte les systèmes d’exploitation suivants :

• Windows Server 2016.
• Windows Server Nano
• Windows Server 1709
• Windows Server 2019

Il peut être utilisé sur System Center Operations Manager 2016 et 2019.

Télécharger Microsoft System Center Management Pack for Windows Server Operating System 2016 and above

Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

• TCPView v4.0 : Cette mise à jour majeure de TCPView ajoute un filtrage flexible, une prise en charge de la recherche et affiche désormais le service Windows propriétaire d'un point de terminaison. C'est également le deuxième outil de Sysinternals à utiliser le nouveau moteur de thème avec le mode sombre (Dark).
• PsExec v2.33: Cette mise à jour de PsExec atténue les attaques nommées pipe squatting qui peuvent être exploitées par un attaquant pour intercepter des informations d'identification ou s'élever aux privilèges du système. Le commutateur de ligne de commande -i est maintenant nécessaire pour exécuter des processus de manière interactive, par exemple avec des entrées-sorties redirigées.
• WinObj v3.02: Cette version de WinObj corrige un bug qui pouvait provoquer son plantage.
• Sysmon v13.02: Cette mise à jour de Sysmon corrige un crash qui pouvait être causé par des événements de suppression de fichiers, corrige le prédicat de la règle "is any", et ajoute plusieurs améliorations des performances d'analyse de la configuration.

Microsoft vient de publier une mise à jour pour le Management Pack des systèmes d’exploitation Windows Server en version 6.0.7326.0. Ce Management Pack apporte quelques corrections de problème. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Cette version corrige un bug sur le problème de découverte de la propriété « Volume Name » pour les disques logiques dans le Management Pack de découverte de Windows Server 2003/2008/2012.

Ce Management Pack supporte les systèmes d’exploitation suivants : Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, et Windows Server 2012 R2.

Télécharger System Center Monitoring Pack for Windows Server Operating System

Microsoft vient de mettre à disposition une nouvelle version (1.2020.1219.0) de l’outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Cette préversion ajoute les fonctionnalités :

• Améliorations de l’interface graphique pour la page de sélection de l'installateur.
• Suppression du support pour la version 1 de Device Guard Signing
• N'ajoute un logo par défaut pour le magasin que si celui-ci n'est pas extrait de l'application.

Pour accéder à l’outil, vous devez :

• Participer au programme Windows Insider Fast ou Slow Ring
• Avoir les droits d’administrateur sur la machine
• Avoir un compte Microsoft pour accéder au Microsoft Store.

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Microsoft vient de mettre à disposition une nouvelle version (1.2.1755) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Ajout du point d'accès Experience Monitor à l'icône de la barre d'état système.
• Correction d'un problème où la saisie d'une adresse électronique dans l'onglet "Subscribe to a Workplace" entraînait l'arrêt de la réponse de l'application.
• Correction d'un problème où le client n'envoyait parfois pas les événements EventHub et Diagnostics.
• Mises à jour du plugin "Teams on Windows Virtual Desktop", avec notamment :
  • L’amélioration des performances de la synchronisation audio et vidéo et l’ajout d'un décodage accéléré par le matériel qui réduit l'utilisation du CPU sur le client.
  • La résolution des causes les plus fréquentes de problèmes d'écran noir lorsqu'un utilisateur se joint à un appel ou à une réunion avec sa vidéo activée, lorsqu'un utilisateur effectue un partage d'écran et lorsqu'un utilisateur allume et éteint sa caméra.
  • L’amélioration de la qualité de la commutation du haut-parleur actif dans la vue d'une seule vidéo en réduisant le temps d'apparition de la vidéo et en réduisant les écrans noirs intermittents lors de la commutation des flux vidéo vers un autre utilisateur.
  • La correction d'un problème où les périphériques matériels avec des caractères spéciaux n'étaient parfois pas disponibles dans Teams.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• D'ici à la fin mars 2021, le rôle d'administrateur Desktop Analytics dans Azure Active Directory ne nécessitera plus les autorisations suivantes :
  • microsoft.office365.webPortal/allEntities/basic/read
  • microsoft.office365.serviceHealth/allEntities/allTasks
  • microsoft.office365.supportTickets/allEntities/allTasks

Ces permissions ne sont pas utilisées actuellement par ce rôle.Aucune action n'est requise, cet avis est une annonce de dépréciation.

 Plus d’informations sur : What’s new in Desktop Analytics

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

La version 189, 190 et 191 introduisent les changements suivants :

• Nouvelle détection d'anomalies : Suspicious addition of credentials to an OAuth app.  Microsoft a étendu les détections d'anomalies pour inclure l'ajout suspect d'identifiants privilégiés à une application OAuth. La détection peut indiquer qu'un attaquant a compromis l'application et l'utilise pour des activités malveillantes. Pour plus d'informations, voir Cloud App Security anomaly detection alerts investigation guide | Microsoft Docs.
• Audit amélioré pour les activités de découverte Shadow IT : Microsoft a mis à jour l'audit des activités Shadow IT pour y inclure les actions effectuées par les administrateurs. Les nouvelles activités suivantes sont désormais disponibles dans le journal des activités et peuvent être utilisées dans le cadre d'enquête sur la sécurité des applications Cloud.
  • Taguer ou dé-taguer des applications
  • Créer, mettre à jour ou supprimer des collecteurs de journaux
  • Créer, mettre à jour ou supprimer de sources de données
• Nouveaux points de terminaison de l'API REST pour l'enrichissement des données. Microsoft a ajouté les points de terminaison de l'API d'enrichissement des données suivants, qui vous permettent de gérer entièrement vos plages d'adresses IP à l'aide de l'API.

La version 192, 193 et 194 introduisent les changements suivants :

• Mises à jour de la page des stratégies : Microsoft a mis à jour la page des stratégies, en ajoutant un onglet pour chaque catégorie de stratégie. Microsoft a également ajouté un onglet "All Policies" pour vous donner une liste complète de toutes les stratégies.
• Microsoft a amélioré l'exportation des activités des applications Office 365 OAuth vers un fichier CSV avec l'URL de redirection des applications OAuth.
• Dans les mois à venir, Cloud App Security mettra à jour son interface utilisateur afin d'offrir une expérience plus cohérente sur les portails de sécurité Microsoft 365. Plus d’infos sur : Microsoft Cloud App Security User Interface Updates - Microsoft Tech Community

Plus d’informations sur : What's new with Microsoft Cloud App Security

Microsoft a introduit un ensemble de nouveautés dans Azure Defender (anciennement Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Azure Security Benchmark est maintenant une stratégie par défaut pour Azure Security Center. Azure Security Benchmark est un ensemble de directives spécifiques à Azure, élaborées par Microsoft, pour les bonnes pratiques de sécurité et de conformité, basées sur des cadres de conformité communs. Ce référentiel largement respecté s'appuie sur les contrôles du Center for Internet Security (CIS) et du National Institute of Standards and Technology (NIST) en mettant l'accent sur la sécurité dans le Cloud.t
• Disponibilité Générale des connecteurs multi-cloud permettant la gestion d’Azure, d’Amazon Web Services (AWS) et Google Cloud Platform (GCP).
• Disponibilité Générale de la nouvelle page des alertes de sécurité dans le portail Azure. Ceci permet d’améliorer l’expérience de tri, de donner plus d’informations sur les alertes, d’ajouter un bouton de création d’alerte exemple, d’alignement de l’expérience d’incident sur Azure Sentinel, d’amélioration des performances, etc.
• Disponibilité Générale de l’évaluation de la vulnérabilité des machines sur site et multi-cloud grâce à l’intégration via Azure Arc. Lorsque vous aurez activé Azure Arc sur vos machines non Azure, Security Center vous proposera de déployer le scanner de vulnérabilité intégré sur celles-ci. Parmi les fonctionnalités, on retrouve :
  • Surveillance de l'état de provisionnement du scanner de vulnérabilité (VA) sur les machines Azure Arc.
  • Provisionnement de l'agent VA intégré aux machines non protégées Windows et Linux Azure Arc.
  • Réception et analyse des vulnérabilités détectées par les agents déployés.
  • Une expérience unifiée pour les VMs Azure et les machines Azure Arc.
• Disponibilité Générale des recommandations de protection pour les ressources Kubernetes avec 13 recommandations de sécurité.
• Amélioration de la page d’inventaire des actifs (Asset Inventory)
• Preview du Secure Score pour les groupes d’administration (Management groups) an plus du niveau d’abonnement.
• Disponibilité Générale de l’API Secure Score.
• L’intégration de Microsoft Defender for Endpoint avec Azure Defender supporte maintenant en Preview Windows Server 2019 et Windows Virtual Desktop (WVD).
• Azure Defender for App Service détecte désormais les entrées DNS en suspens (DNS Dandling) lorsqu'un site web App Service est mis hors service. C'est le moment où l'entrée DNS pointe vers une ressource inexistante, et votre site web est vulnérable à une prise de contrôle de sous-domaine. Ces protections sont disponibles que vos domaines soient gérés par Azure DNS ou par un registraire de domaines externe et s'appliquent à la fois à l'App Service sous Windows et Linux.

• Lorsque vous examinez les détails d'une recommandation, il est souvent utile de pouvoir voir la stratégie sous-jacente. Pour chaque recommandation supportée par une stratégie, il y a un nouveau lien à partir de la page des détails de la recommandation.
• Microsoft étend la capacité d’exclusion pour inclure des recommandations entières. Vous pouvez exclure une ressource, un abonnement ou un groupe d’administration (management group) pour s’assurer qu’ils ne soient pas listés comme non sains et n’impactent pas le Secure Score.
• La recommandation "Sensitive data in your SQL databases should be classified" n'affecte plus le Secure Score.
• Si un utilisateur n'a pas l'autorisation de voir les données du Centre de sécurité, il verra désormais un lien lui permettant de demander des autorisations à l'administrateur global de son entreprise. La demande comprend le rôle qu'il souhaite et la justification de la nécessité de cette autorisation.
• Microsoft a ajouté un troisième type de données aux options de déclenchement des automatisations de flux de travail : les modifications des évaluations de conformité réglementaire.

• On retrouve 35 recommandations en Preview afin d’améliorer la couverture d’Azure Security Benchmark avec :
  • Azure Cosmos DB accounts should use customer-managed keys to encrypt data at rest
  • Azure Machine Learning workspaces should be encrypted with a customer-managed key (CMK)
  • Bring your own key data protection should be enabled for MySQL servers
  • Bring your own key data protection should be enabled for PostgreSQL servers
  • Cognitive Services accounts should enable data encryption with a customer-managed key (CMK)
  • Container registries should be encrypted with a customer-managed key (CMK)
  • SQL managed instances should use customer-managed keys to encrypt data at rest
  • SQL servers should use customer-managed keys to encrypt data at rest
  • Storage accounts should use customer-managed key (CMK) for encryption
  • Subscriptions should have a contact email address for security issues
  • Auto provisioning of the Log Analytics agent should be enabled on your subscription
  • Email notification for high severity alerts should be enabled
  • Email notification to subscription owner for high severity alerts should be enabled
  • Key vaults should have purge protection enabled
  • Key vaults should have soft delete enabled
  • Function apps should have 'Client Certificates (Incoming client certificates)' enabled
  • Web Application Firewall (WAF) should be enabled for Application Gateway
  • Web Application Firewall (WAF) should be enabled for Azure Front Door Service service
  • Firewall should be enabled on Key Vault
  • Private endpoint should be configured for Key Vault
  • App Configuration should use private link
  • Azure Cache for Redis should reside within a virtual network
  • Azure Event Grid domains should use private link
  • Azure Event Grid topics should use private link
  • Azure Machine Learning workspaces should use private link
  • Azure SignalR Service should use private link
  • Azure Spring Cloud should use network injection
  • Container registries should not allow unrestricted network access
  • Container registries should use private link
  • Public network access should be disabled for MariaDB servers
  • Public network access should be disabled for MySQL servers
  • Public network access should be disabled for PostgreSQL servers
  • Storage account should use a private link connection
  • Storage accounts should restrict network access using virtual network rules
  • VM Image Builder templates should use private link
• Microsoft permet maintenant l’export d’une liste de recommandations au format CSV tout en prenant en compte les filtres définis dans la page des recommandations.t

• Auparavant, les ressources qui étaient évaluées pour une recommandation et qui étaient jugées non applicables apparaissaient dans la politique d'Azure comme "non conformes". Aucune action de l'utilisateur ne pouvait changer leur état en "Conforme". Avec ce changement, elles sont signalées comme "conformes" pour plus de clarté.

• Microsoft a ajouté une nouvelle fonction aux outils d'exportation continue pour exporter des instantanés hebdomadaires de données de score sécurisé et de conformité réglementaire.

Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs

Microsoft a publié le correctif KB4600089 de Microsoft Endpoint Configuration Manager 2010 (MECM/SCCM). Ce correctif s’applique à la fois aux environnements qui ont utilisé le script Early Wave et à ceux qui ont attendu la version finale

Parmi les problèmes corrigés, on retrouve :

Console Configuration Manager

• Si le processus de mise à jour des images de démarrage sur les points de distribution prend plus de huit minutes, des détails d'exception ressemblant à ce qui suit sont affichés : Exception type:   System.ArgumentOutOfRangeException. Message:          Value of '101' is not valid for 'Value'. 'Value' should be between 'minimum' and 'maximum'.
• Si le processus d’onboarding du tenant est terminé et que les téléchargements de périphériques sont limités à une collection spécifique, l'utilisateur ne peut pas modifier la collection de limitation lorsque la console termine. Cela se produit si l'utilisateur se voit refuser l'accès au parent de la collection limite.
• Lors de la modification d'un type de déploiement d'application qui ne contenait pas auparavant de chemin d'accès au contenu, ceci génère une exception.
• Il inclut aussi la KB4599924 Console terminates unexpectedly in Configuration Manager current branch, version 2010.

• Les clients ConfigMgr qui mettent à jour leur BIOS peuvent être listés deux fois à plusieurs endroits dans la console.
• Si vous supprimez du contenu téléchargé du Community Hub, le contenu n'est pas supprimé du Community hub > Your downloads et vous ne pouvez pas le télécharger à nouveau.
• Le bouton "Push Update" n'est pas activé pour le contenu révisé du Community Hub.
• Un utilisateur ayant un accès en lecture seule aux applications est incapable de copier ou de faire défiler le contenu du script dans la fenêtre de l'éditeur de script.

Exceptions du service SMS_Executive

• Sur les serveurs de site Windows Server 2012 R2 après la mise à jour vers ConfigMgr 2010. Cela se produit si les services IIS n'ont jamais été installés auparavant sur le serveur.
• Si le fichier de verrouillage de l'installation du client a une date de fichier non valide.
• Si le Software Update Point a le paramètre "Use a proxy server when downloading content by using automatic deployment rules" activé.

Clients

• Le Software Center ne s'ouvre pas sur certains clients ConfigMgr 2010. Le fichier SCClient_<domaine>@<nom d'utilisateur>_1.log contient des erreurs ressemblant à ce qui suit. Notez que le numéro de ligne peut être différent de l'exemple ci-dessous.

Call to ExecuteQuery failed, Query: "Select * From CCM_Application WHERE UserUIExperience = TRUE"
Exception caught in ExecuteQuery, line 465...
(Microsoft.SoftwareCenter.Client.Data.WmiConnectionManager at ExecuteQuery)

• Le DCMAgent.log contient également une erreur ressemblant à ce qui suit, enregistrée en même temps que l'entrée du journal du SCClient. Le code d'erreur 0x87d00315 se traduit par "The CI version info data is not available".  ExecuteApplicationQuery - Failed to get machine targeted applications (0x87d00315).
• Les ordinateurs signalent à tort le non-respect d'une stratégie de chiffrement des lecteurs de données fixes BitLocker. Cela se produit pour les ordinateurs ne comportant qu'un seul lecteur et une seule partition, même s'ils sont chiffrés avec BitLocker.

Inventaires

• Les données d'inventaire du matériel client ne sont pas répliquées d'un site primaire vers le CAS lorsque le reporting est activé pour la classe CCM_SoftwareDistributionClientConfig dans l'espace de noms ROOT\ccm\Policy\Machine\ActualConfig. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier dataldr.log sur le site primaire.

Column names in each view or function must be unique. Column name 'ADV_RebootLogoffNotification0' in view or function 'v_GS_CCM_SOFTWAREDISTRIBUTIONCLIENTCONFIG' is specified more than once.

Gestion des applications

• Les options de déploiement et l'option permettant aux clients d'utiliser des points de distribution à partir des paramètres par défaut du groupe limite du site dans l'onglet Content des propriétés de déploiement peuvent revenir inopinément à la valeur par défaut après l'enregistrement des modifications.

Gestion des mises à jour logicielles

• La case à cocher Set custom scheduleest désactivée et tout paramètre de calendrier personnalisé est supprimé lorsque la liste des catalogues de mise à jour des logiciels partenaires est actualisée.
• Le tableau de bord de gestion des clients d'Office 365 affiche tous les canaux du client sous la rubrique "Autres".
• Le traitement des règles de déploiement automatique échoue après la mise à jour vers la ConfigMgr 2010. La dernière description d'erreur est la suivante : " Auto Deployment Rule download failed". Cela se produit en raison des fichiers temporaires de zéro octet laissés dans le dossier Windows\Temp pendant le processus de téléchargement.
• Les ordinateurs clients peuvent recevoir inopinément un déploiement de mise à jour logicielle si la collection cible passe de "Tous les systèmes" à une autre collection.
• La synchronisation des pilotes surface échoue si le Software Update Point se trouve dans un domaine séparé et non fiable du serveur du site. Et une erreur ressemblant à ce qui suit est enregistrée dans le fichier wsyncmgr.log. Sync failed: The request failed with HTTP status 401: Unauthorized. Source: Microsoft.UpdateServices.Internal.ApiRemoting.ExecuteSPSearchUpdates

Gestion par le Cloud

• Les stratégies de pare-feu attribuées par le centre d'administration de Microsoft Endpoint Manager ne s'appliquent pas aux clients Windows 10 20H1 et ultérieures.
• Plusieurs fichiers journaux de clients, tels que CoManagementHandler.log et execmgr.log, contiennent les fausses entrées de journal. Cela entraîne l'écrasement d'informations de dépannage potentiellement précieuses. Failed to GetDeviceManagementConfigInfo, honor MEM authority. Error (0x00000000).
• Les stratégies de cogestion existantes ne s'appliquent pas à Windows Virtual Desktop.

Déploiement de système d’exploitation

• L'étape de séquence de tâche Run PowerShell Script n'honore pas la variable SMSTSDisableStatusRetry. Il en résulte de multiples tentatives d'envoi de messages d'état même lorsqu'une machine est hors ligne, ce qui entraîne des retards croissants dans l'exécution de la séquence de tâches.
• Le contenu temporaire n'est pas toujours supprimé après l'exécution d'une séquence de tâches.
• Les clients Hybrid Azure AD Join peuvent apparaître en double dans la console ConfigMgr, mais avec des GUID (SMSID) différents. Cela se produit lors du déploiement d'un système d'exploitation vers le client où le Management Point est configuré pour la communication HTTPS.
• La propriété d'installation du client CCMDEBUGLOGGING ne fonctionne pas lorsqu'elle est passée lors de l'étape de la séquence de tâches Setup Windows et ConfigMgr.
• Les mises à jour logicielles déployées via la séquence de tâches pendant une fenêtre de maintenance peuvent ne pas redémarrer l'ordinateur comme prévu. Le fichier UpdateDeployment.log contient une erreur ressemblant à ce qui suit : InstallTargetedUpdates failed, error 87d00708
• Le contenu du package au-delà du premier package n'est pas mis en cache localement sur le client lorsque le paramètre "Save path as a variable" est activé pour l'étape de la séquence de tâches "Download Package Content".

Plus d’informations sur :  Update Rollup for Microsoft Endpoint Configuration Manager current branch, version 2010

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Février 2021.

Microsoft apporte les nouveautés suivantes :

• 37 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Loop Messenger Extension, Silverfort Azure AD Adapter, Interplay Learning, Nura Space, Yooz EU, UXPressia, introDus Pre- and Onboarding Platform, Happybot, LeaksID, ShiftWizard, PingFlow SSO, Swiftlane, Quasydoc SSO, Fenwick Gold Account, SeamlessDesk, Learnsoft LMS & TMS, P-TH+, myViewBoard, Tartabit IoT Bridge, AKASHI, Rewatch, Zuddl, Parkalot - Car park management, HSB ThoughtSpot, IBMid, SharingCloud, PoolParty Semantic Suite, GlobeSmart, Samsung Knox and Business Services, Penji, Kendis- Scaling Agile Platform, Maptician, Olfeo SAAS, Sigma Computing, CloudKnox Permissions Management Platform, Klaxoon SAML, Enablon.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Atea
  • Getabstract
  • HelloID
  • Hoxhunt
  • Iris Intranet
  • Preciate
• Microsoft activera l’authentification du mot de passe à usage unique par email par défaut à partir du 31 Octobre 2021. À l'heure actuelle, Microsoft n'autorisera plus l’utilisation d'invitations à l'aide de comptes Azure Active Directory non gérés.
• Disponibilité Générale du rôle intégré Authentication Policy Administrator. Les utilisateurs ayant ce rôle peuvent configurer la stratégie des méthodes d'authentification, les paramètres de MFA pour l'ensemble du tenant et la stratégie de protection par mot de passe. Ce rôle donne la permission de gérer les paramètres de protection par mot de passe : configurations de verrouillage intelligent et mise à jour de la liste des mots de passe interdits personnalisés.

• Disponibilité Générale du rôle intégré Domain Name Administrator. Les utilisateurs ayant ce rôle peuvent gérer (lire, ajouter, vérifier, mettre à jour et supprimer) des noms de domaine. Ils peuvent également lire des informations de l’annuaire sur les utilisateurs, les groupes et les applications, car ces objets ont des dépendances de domaine.

• Disponibilité Générale des collections d’utilisateur sur MyApps. Les utilisateurs peuvent désormais créer leurs propres groupes d'applications sur le lanceur d'applications My Apps. Ils peuvent également réorganiser et masquer les collections qui leur sont partagées par leur administrateur.
• Disponibilité Générale du remplissage automatique de mot de passe dans Microsoft Authenticator. Pour utiliser l'autofill sur Authenticator, les utilisateurs doivent ajouter leur compte personnel Microsoft à Authenticator et l'utiliser pour synchroniser leurs mots de passe. Les comptes professionnels ou scolaires ne peuvent pas être utilisés pour synchroniser les mots de passe pour le moment.
• Disponibilité Générale de la fonctionnalité permettant aux entreprises peut désormais inviter des invités internes à utiliser la collaboration interentreprises au lieu d'envoyer une invitation à un compte interne existant. Cela permet aux clients de conserver l'ID d'objet, l'UPN, les adhésions à des groupes et les affectations d'applications de cet utilisateur.
• Public Preview de l’utilisation du mot de passe d’accès temporaire (Temporary Access Pass) pour enregistrer les identifiants sans mot de passe. Le Temporary Access Pass est un code d'accès limité dans le temps qui sert de justificatif d'identité fort et permet d'embarquer des justificatifs d'identité sans mot de passe et de les récupérer lorsqu'un utilisateur a perdu ou oublié son facteur d'authentification forte (par exemple, la clé de sécurité FIDO2 ou l'application Microsoft Authenticator) et doit se connecter pour enregistrer de nouvelles méthodes d'authentification forte.

• La prochaine génération de flux d'utilisateurs B2C prend désormais en charge la fonctionnalité "keep me signed in" (KMSI) qui permet aux clients de prolonger la durée de vie de la session pour les utilisateurs de leurs applications web et natives en utilisant un cookie persistant. Cette fonctionnalité en Public Preview maintient la session active même lorsque l'utilisateur ferme et rouvre le navigateur, et est révoquée lorsque l'utilisateur se déconnecte.

• Public Preview permettant aux utilisateurs externes pourront désormais utiliser les comptes Microsoft pour se connecter aux applications Azure AD et métiers.
• Public Preview les clients peuvent désormais réinviter les utilisateurs invités externes existants pour réinitialiser leur statut de redemption, ce qui permet au compte de l'utilisateur invité de rester sans qu'il ne perde l’accès.
• Public Preview permettant aux clients de désormais utiliser application.readwrite.ownedby comme autorisation d'appeler les API de synchronisation. Notez que cette fonction n'est prise en charge que pour le provisionnement d'Azure AD dans des applications tierces (par exemple, AWS, Data Bricks, etc.). Il n'est actuellement pas pris en charge pour le provisionnement de HR (Workday / Successfactors) ou Cloud Sync (AD vers Azure AD).

On retrouve les modifications de service suivantes :

• Les possibilités de configuration de la durée de vie des jetons de session et de rafraîchissement dans CTL sont supprimées. Azure Active Directory n'honore plus le rafraîchissement et la configuration des jetons de session dans les stratégies existantes.
• Les autorisations non demandées mais consenties ne seront plus ajoutées aux jetons si elles déclenchent un accès conditionnel.
• Une nouvelle personnalisation de l’entreprise dans l’enregistrement combiné MFA/SSPR. Dans le passé, les logos des entreprises n'étaient pas utilisés sur les pages de connexion d'Azure Active Directory. La personnalisation de l'entreprise se trouve désormais en haut à gauche de l'enregistrement combiné MFA/SSPR. Le logo de l'entreprise figure également sur les pages "My Sign-Ins" et "Security Info".
• Le tableau de bord actualisé des activités des méthodes d'authentification donne aux administrateurs un aperçu de l'enregistrement des méthodes d'authentification et de l'activité d'utilisation chez leur locataire. Il résume le nombre d'utilisateurs enregistrés pour chaque méthode, ainsi que les méthodes utilisées lors de la connexion et de la réinitialisation des mots de passe.

Plus d’informations sur : What’s new Azure AD

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Janvier 2021.

Microsoft apporte les nouveautés suivantes :

• 29 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : mySCView, Talentech, Bipsync, OroTimesheet, Mio, Sovelto Easy, Supportbench,Bienvenue Formation, AIDA Healthcare SSO, International SOS Assistance Products, NAVEX One, LabLog, Oktopost SAML, EPHOTO DAM, Notion, Syndio, Yello Enterprise, Timeclock 365 SAML, Nalco E-data, Vacancy Filler, Synerise AI Growth Ecosystem, Imperva Data Security, Illusive Networks, Proware, Splan Visitor, Aruba User Experience Insight, Contentsquare SSO, Perimeter 81, Burp Suite Enterprise Edition.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Fortes Change Cloud
  • Gtmhub
  • com
  • Splashtop
  • Templafy OpenID Connect
  • WEDO

• Disponibilité Générale d’Azure AD Connect Cloud Sync permettant de déployer des agents légers permettant la synchronisation d’environnements déconnectés par exemple.
• Disponibilité Générale de deux nouveaux rôles par défaut Attack Simulation Administrator et Attack Payload Author. Attack Simulation Administrator permet de créer et gérer tous les aspects de la création de simulations d'attaques, de lancer / programmer une simulation et examiner les résultats des simulations. Les utilisateurs ayant le rôle d'auteur de charge utile d'attaque peuvent créer des charges utiles d'attaque mais pas les lancer ou les programmer. Les charges utiles d'attaque sont alors disponibles pour tous les administrateurs du locataire qui peuvent les utiliser pour créer une simulation.
• Disponibilité Générale du rôle Usage Summary Reports Reader permettant d’accéder aux données agrégées au niveau du tenant et aux informations associées dans Microsoft 365 Admin Center for Usage et Productivity Score. Toutefois, il ne peut pas accéder aux détails ou aux informations concernant les utilisateurs.
• Disponibilité Générale de la stratégie Require App Protection pour l’accès conditionnel Azure AD. Ce paramètre permet d’accéder aux services uniquement quand les stratégies de protection applicative Intune sont délivrées et appliquées aux applications mobiles.
• Disponibilité Générale du mot de passe à usage unique par email (Email One-Time passcode).
• Public Preview de la personnalisation et de la configuration des périphériques partagés Android pour les employés de terrain. Cette intégration a lieu entre Azure AD et Microsoft Endpoint Manager (Intune) afin de permettre :
  • Mettre à disposition des périphériques Android partagés avec Microsoft Endpoint Manager
  • Sécuriser l’accès pour les employés de terrain en utilisant l'accès conditionnel basé sur le périphérique
  • Personaliser l'expérience d'enregistrement des employés de terrain avec Managed Home Screen.
• Public Preview de la possibilité d’assigner des groupes Azure AD à des rôles Azure AD personnalisés ou à des rôles étendus dans des unités administratives.
• Public Preview de la fonction permettant de télécharger les journaux de provisionnement sous le format CSV ou JSON.

On retrouve les modifications de service suivantes :

• Dans le passé, le champ Secret Token pouvait être laissé vide lors de la mise en place du provisionnement sur une application personnalisée ou BYOA. Cette fonction était destinée à être utilisée uniquement à des fins de test. Microsoft a mis à jour l'interface utilisateur pour rendre le champ obligatoire.
• Public Preview d’une option supplémentaire pour la sélection des approbateurs dans la fonctionnalité Entitlement Management. Si vous sélectionnez " Manager as approver" pour le premier approbateur, vous aurez une autre option, " Second level manager as alternate approver", que vous pourrez choisir dans le champ "Approbateur suppléant". Si vous sélectionnez cette option, vous devez ajouter un approbateur suppléant auquel transmettre la demande au cas où le système ne trouverait pas le gestionnaire de deuxième niveau.  
• Vous pouvez ouvrir dans Teams directement depuis le portail My Access.
• Les invites de connexion et d'utilisateur final pour les utilisateurs invités à risque ont été mises à jour.

Plus d’informations sur : What’s new Azure AD

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Intégration de l'Alert ID (recherche à l'aide de l'Alert ID et de la navigation Alert-Explorer) dans les expériences de chasse (Hunting)
• Augmentation des limites d'exportation d’enregistrements de 9990 à 200 000 dans les expériences de chasse (Hunting)
• Extension de la limite de conservation des données et de recherche de l'explorateur (et des détections en temps réel) pour les tenant d'essai de 7 (limite précédente) à 30 jours expériences de chasse (Hunting).
• De nouveaux pivots de chasse appelés "domaine usurpé" (Impersonated domain) et "utilisateur usurpé" (Impersonated user) dans l'explorateur (et détections en temps réel) pour rechercher les attaques d'usurpation d'identité contre des utilisateurs ou des domaines protégés. Pour plus d'informations Threat Explorer and Real-time detections - Office 365 | Microsoft Docs. (Microsoft Defender pour Office 365 Plan 1 ou Plan 2)

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Cloud App Security. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve l’intégration de Microsoft Defender for Endpoint et Microsoft Defender for Office 365 dans le centre de sécurité amélioré de Microsoft 365 (https://security.microsoft.com). Cette expérience est en Public Preview. En savoir plus : Microsoft 365 security center overview - Microsoft 365 security | Microsoft Docs

Je vous propose un petit aperçu des nouveautés en Janvier 2021 autour de la gouvernance, de la conformité et de la protection de données (MIP, etc.).

On retrouve notamment :

• Les solutions de conformité Microsoft 365 suivantes prennent désormais en charge la détection du contenu des cartes générées par les applications dans les messages Teams :

• • eDiscovery de base et avancée. Le contenu des cartes peut désormais être mis en attente ou inclus dans les recherches (Ceci s'applique également à la recherche de contenu).
  • Audit. L'activité de la carte est désormais enregistrée dans le journal d'audit.
  • Stratégie de rétention. Il est désormais possible d'utiliser les stratégies de rétention pour conserver et supprimer le contenu de la carte..
• Une nouvelle évaluation permettant d’adresser la gouvernance et la protection de l’information en répondant aux exigences de conformité de la loi néo-zélandaise sur els documents publics.
• Sur les étiquettes de confidentialité (Sensibility labels) :
  • Les étiquettes sont maintenant supportées dans les tenants US Government (GCC et GCC-H)
  • Nouveau support de la labélisation automatique (Automatic labeling) pour macOS.

Plus d’informations sur : Announcing new Microsoft Information Protection capabilities to know and protect your sensitive data - Microsoft Tech Community