Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.141 apporte une nouvelle alerte de sécurité Suspected AS-REP Roasting attack (external ID 2412). Dans cette détection, une alerte de sécurité est déclenchée lorsqu'un attaquant cible des comptes avec une préauthentification Kerberos désactivée, et tente d'obtenir des données TGT Kerberos. L'intention de l'attaquant peut être d'extraire les identifiants des données en utilisant des attaques de craquage de mots de passe hors ligne. Pour plus d'informations : Kerberos AS-REP Roasting exposure (external ID 2412).

• Les versions 2.140, 2.141 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.136 prend désormais en charge l'installation de capteurs sur les serveurs Active Directory Federation Services (AD FS). L'installation du capteur sur les serveurs AD FS compatibles étend la visibilité de Microsoft Defender for Identity dans un environnement hybride en surveillant ce composant de fédération. Microsoft a également mis à jour certaines de nos détections existantes (création de services suspects, attaque de force brute suspecte (LDAP), reconnaissance d'énumération de comptes) pour travailler également sur les données AD FS. Pour commencer le déploiement du capteur pour AD FS server, téléchargez le dernier package de déploiement depuis la page de configuration du capteur.
• La version 2.139 a mis à jour la gravité de l’exposition Suspected Kerberos SPN pour mieux refléter l’impact de l’alerte. Plus d’informations sur : Suspected Kerberos SPN exposure (external ID 2410).

• Les versions 2.136, 2.137, 2.138, 2.139 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

• Microsoft Defender for Endpoint ajoute maintenant le support de Windows Virtual Desktop.

Plus d’informations sur : What’s new in Microsoft Defender for Endpoint

Il y a 4 ans, je vous annonçais la sortie officielle de deux nouveaux livres sur System Center Configuration Manager Current Branch.

Aujourd’hui c’est la sortie d’une nouvelle édition pour répondre à tous les changements introduits par Microsoft. Il a été encore une fois co-écrit par Guillaume Calbano (Consultant Avanade) et moi-même. Microsoft Endpoint Configuration Manager Current Branch embrasse la stratégie as-a-Service de Microsoft avec des versions publiées plus fréquemment. Le but est de suivre les innovations du marché des versions de Windows 10. Cet ouvrage est accessible à la fois aux novices mais aussi aux personnes souhaitant se perfectionner sur la technologie ou simplement mettre à jour ses connaissances avec les versions récentes.

Ce livre de 940 pages sur Microsoft Endpoint Configuration Manager (en version 2010 au moment de l’écriture), anciennement System Center Configuration Manager ou SCCM, s'adresse à toute personne qui, confrontée à l'administration de périphériques et de ressources dans son entreprise, participe à l'exploitation et l'administration quotidienne de cette solution. Le suivi des différents chapitres transmettra au lecteur la maîtrise des outils et fonctionnalités, ainsi que l'acquisition des compétences pour maintenir le produit et gérer l'ensemble des périphériques avec MECM.

Microsoft Endpoint Configuration Manager Current Branch embrasse la stratégie as-a-Service de Microsoft avec des versions apportant un grand nombre de nouveautés et d’innovations pour apporter des réponses à la gestion, à la sécurisation et au maintien des postes Windows 10.

Après une présentation de l'historique du produit et des concepts permettant la compréhension d'une architecture ConfigMgr (sites, CMG, etc.), les auteurs détaillent les inventaires et leur exploitation, Asset Intelligence et le contrôle logiciel. Ils se servent ensuite de ces informations pour créer des requêtes, des collections et des rapports et présentent le nouvel outil de requêtage en temps réel CMPivot. Le chapitre suivant étudie le contrôle à distance des périphériques avec la prise en main ainsi que les actions à distance possibles. Le chapitre qui suit aborde les applications et leur distribution sous toutes leurs formes (Win32, virtuelle, etc.) mais aussi la gestion de Microsoft 365 Apps ou Microsoft Edge. Les auteurs détaillent également la sécurisation des ressources avec notamment la gestion des mises à jour Microsoft ou des éditeurs tiers, les solutions Microsoft Defender (Antivirus, for Endpoint, Exploit Guard, etc.) de protection contre les attaques et les menaces, et la gestion du chiffrement BitLocker. Ensuite, la création et le déploiement des systèmes d'exploitation sont intégralement présentés. Ce chapitre aborde aussi le cycle de vie de Windows 10 dont le modèle de fonctionnement est très lié à celui de MECM. Le modèle de service, les scénarios de mise à niveau et le maintien du parc Windows 10 sont détaillés avec l’ensemble des solutions disponibles (Desktop Analytics, etc.).

Enfin, le dernier chapitre fait état des fonctionnalités liées à la conformité, aux paramétrages et à l’accès aux ressources de l’entreprise. Il contient les éléments nécessaires à la gestion des lignes de base et des éléments de configuration mais aussi des profils de configuration et de maintenance via la fonction d’exécution de scripts.

• Avant-propos
• Aperçu et fondamentaux de ConfigMgr
• Inventaires
• Requêtes, Collections et Rapports
• Les outils de contrôle distant
• La distribution d’applications
• La sécurité des ressources
• Le déploiement de système d’exploitation
• Paramètres, Conformité et Accès aux ressources
• Conclusion  

Vous pouvez acheter ce livre dans toutes les bonnes librairies et notamment sur :

• Le site d’ENI 
• Le site de la Fnac
• Le site d’Amazon 
• Tout autre site de vente (ISBN : 978-2-409-02909-7)

Notez que l’ouvrage System Center Configuration Manager Concepts, Architecture, Déploiement et Support est toujours disponible pour parler plus globalement de ces éléments.

Microsoft a créé une documentation visant à vous aider pour dépanner les problèmes qui pourraient survenir avec le scanner Azure Information Protection.
On y retrouve :

• L’utilisation de l’outil de diagnostic scanner.
• Le dépannage des analyses qui tombent en timeout
• Les références aux erreurs d’analyse

Lire : Troubleshoot your on-premises scanner deployment | Microsoft Docs

Les rapports s’améliorent de mois en mois dans Microsoft Endpoint Manager (Intune) mais Petri Paavola (MVP Windows) propose des scripts PowerShell qui réalisent des rapports HTML des assignations et déploiement de stratégies et d’applications de l’environnement.

On retrouve deux scripts principaux :

• Create_IntuneConfigurationAssignments_HTML_Report.ps1 pour créer un rapport des déploiements pour les stratégies de configuration.
• Create_IntuneMobileAppAssignments_HTML_Report.ps1 pour créer un rapport des déploiements d’applications.

Obtenir les scripts : Intune/Reports at master · petripaavola/Intune · GitHub

Microsoft planifie un cours gratuit dirigé par l’équipe produit sur Windows Virtual Desktop (WVD). Microsoft va présenter la solution, des éléments sur la roadmap, les bonnes pratiques et des labs :

• Vision du produit et feuille de route
• Les fondamentaux de la sécurité
• 10 choses que vous ne saviez pas sur Windows Virtual Desktop en 10 minutes
• Exploiter votre déploiement à l'échelle
• Simplifier la gestion des images et des applications
• Conseils pour l'optimisation des coûts
• Bonnes pratiques pour les charges de travail sensibles au temps de latence
• Les leçons des clients qui migrent vers Windows Virtual Desktop

L’événement a lieu 28 Janvier 2021 de 18h à 01h (heure française)

Si vous procédez à l’enregistrement, vous serez dans la capacité de regarder l’événement à nouveau.

Windows Virtual Desktop Event | Microsoft Azure

Microsoft vient de formaliser un parcours d’apprentissage autour d’Azure Sentinel. Ce dernier vient compléter la formation précédente en fournissant un aperçu sur la base des thèmes suivants :

• Introduction à Azure Sentinel
• Déployer Azure Sentinel et connecter les sources de données
• Détection des menaces avec l'analyse d'Azure Sentinel
• Gestion des incidents de sécurité dans Azure Sentinel
• Investigation avec Azure Sentinel
• Réponse aux menaces avec les playbooks Azure Sentinel
• Interroger, visualiser et surveiller les données dans Azure Sentinel

Accéder à Cloud-native security operations with Azure Sentinel - Learn | Microsoft Docs

En parallèle, je vous remets le lien vers la formation : Become an Azure Sentinel Ninja: The complete level 400 training - Microsoft Tech Community

Aujourd’hui, je vous partage une astuce qui facilite grandement la vie des administrateurs informatiques afin d’enregistrer des périphériques Android dans les modes Fully Managed (COBO) et Corporate-owned devices with work profile (COPE) avec le QR Code. Il est possible d’éditer ce QR Code avec un service afin d’ajouter des éléments de configuration.

Pour ce faire :

1. Ouvrez le centre d’administration Microsoft Endpoint Manager et naviguez dans Devices – Enroll Devices – Android enrollment puis choisissez le profil d’enregistrement COBO ou COPE.
2. Récupérez le QR Code en enregistrant l’image.
3. Connectez-vous au site : Android Enterprise QR Code Generator (datalogic.github.io)
4. Sélectionnez l’option Import et chargez l’image du QR Code précédemment extraite.
5. Vous retrouvez ensuite les différentes configurations :

Component name of admin receiver est spécifique à l’enregistrement

Download and enrollment permet de rediriger vers l’application Microsoft Intune et le numéro du Token

Configure Wi-Fi Network vous permet de configurer un réseau Wi-Fi qui sera utilisée lors de cette phase d’enregistrement. Cette configuration est très pratique car elle permet d’éviter de le faire manuellement. Vous pouvez renseigner le SSID, le type de sécurité, le mot de passe, et la configuration proxy.

Additional Android Enterprise properties permet de :

• Passer le chiffrement du périphérique
• Laisser toutes les applications système activées
• Configurer la langue et le pays
• La date et l’heure du périphérique (la valeur est statique ; il est donc préférable d’éviter la configuration)
• Le fuseau horaire

Datalogic properties permet de spécifier des données spécifiques à DataLogic

Une fois terminé, vous pouvez cliquer sur Generate Code afin de récupérer le QR Code qui peut être utilisé sur vos périphériques.

Je souhaitais revenir sur une annonce importante qui n’a pas forcément eu l’écho nécessaire. Auparavant, il était possible de peupler correctement le numéro de téléphone dans l’annuaire Active Directory et d’utiliser Azure Active Directory Connect pour répliquer ce numéro qui est ensuite utilisé lors de l’enregistrement de l’authentification à facteurs multiples (MFA) ou de la réinitialisation du mot de passe en libre-service (SSPR). A partir du 1^er Mai 2021, cette capacité ne sera plus disponible !

Il faudra alors passer par des scripts pour aller mettre à jour directement le numéro via Graph API ou PowerShell.

Plus d’informations sur : Gérer les méthodes d'authentification d'Azure AD Multi-Factor Authentication - Azure Active Directory | Microsoft Docs

Source : Updates to managing user authentication methods - Microsoft Tech Community

Je souhaitais vous partager un script de Microsoft qui permet une analyse des utilisateurs dans Azure AD et vous fournit des recommandations sur l’amélioration de la configuration de l’authentification à facteurs multiples (MFA).

Le script doit être exécuté avec un utilisateur sur le tenant disposant à minima des droits user Administrator. Lors de l’exécution, vous devez spécifier l’identifiant de votre tenant.

.\MfaAuthMethodAnalysis.ps1 -TenantId <tenantID>

Télécharger : Script for Azure MFA authentication method analysis - Code Samples | Microsoft Docs

Jonas Ohmsen (PFE Microsoft) propose une série de rapports détaillant la conformité des mises à jour avec Microsoft Endpoint Configuration Manager. On retrouve par défaut une série de rapports mais qui ne répondent parfois pas forcément exactement aux besoins des entreprises. Les rapports de Jonas méritent que l’on y jette un œil.

Il propose notamment :

• Un rapport d’aperçu de la conformité en fonction d’une collection
• Un sous rapport avec la liste des machines non conformes
• Un sous rapport offrant l’état de conformité des mises à jour pour une machine

Plus d’informations sur : Mastering Configuration Manager Patch Compliance Reporting - Microsoft Tech Community

Télécharger les rapports sur : GitHub - jonasatgit/updatereporting: MECM update reporting solution

Lothar Zeitler (Senior PM Microsoft Endpoint Manager) a publié un billet décrivant l’intégration entre Microsoft Endpoint Manager (Intune) et le système de gestion des mises à jour Android de Samsung E-FOTA.

L’article permet :

• La création d’un groupe comportant les modèles Android concernés par la gestion E-FOTA
• L’interconnexion d’Azure AD et Samsung E-FOTA par la création d’une application enregistrée.
• La connexion d’E-FOTA via l’application enregistrée.
• L’ajout des groupes à E-FOTA
• La création d’une campagne ciblant le groupe.
• La configuration des périphériques pour la connexion avec le service E-FOTA en utilisant OEMConfig.

Pour obtenir la procédure complète, vous pouvez lire le billet : Samsung E-FOTA Update Management with Microsoft Endpoint Manager - Intune - Microsoft Tech Community

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Gestion des applications

• [Général] De nouvelles applications protégées sont disponibles et peuvent recevoir des stratégies de protection applicatives (APP/MAM) :
  • Dynamics 365 Remote Assist
  • Box - Cloud Content Management
  • STid Mobile ID
  • FactSet 3.0
  • Notate for Intune
  • Field Service (Dynamics 365)

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

L’équipe Azure Sentinel a publié un billet visant à donner des instructions permettant l’ingestion de données provenant de plusieurs tenants Office 365 et Azure Active Directory dans Azure Sentinel. Nativement, ceci n’est pas possible mais l’article revient sur l’utilisation de playbook via Logic App et Azure Function pour aller lire les données dans les différentes APIs et les écrire dans des tables.

Plus d’informations sur : O365 & AAD Multi-Tenant Custom Connector - Azure Sentinel - Microsoft Tech Community

Pouyan Khabazi (MSFT) a publié un billet que je trouve très intéressant. Avec la montée en puissance d’Azure Sentinel chez les clients, l’utilisation d’une approche DevOps pour déployer et maintenir Azure Sentinel est clairement une belle opportunité. Son article revient sur l’utilisation d’Infrastructure as Code, d’Azure DevOps, etc.

Je vous recommande de lire : Deploying and Managing Azure Sentinel - Ninja style - Microsoft Tech Community

Microsoft vient de réaliser plusieurs annonces qui concernent son programme de certification. Auparavant, quand vous procédiez à l’acquisition d’une certification basée sur un rôle, vous deviez repasser un examen afin de vous recertifier car ce dernier avait une durée de validité de 2 ans.

A partir de février 2021, il sera possible de renouveler vos certifications basées sur des rôles en passant une évaluation gratuite sur Microsoft Learn. Ceci pourra se faire en ligne sans avoir à planifier un examen dédié dans les 6 mois précédent l’expiration de votre certification. Après le passage avec succès, votre certification se voit étendue d’une année à partir de la date courante d’expiration. Microsoft fournira des modules permettant de se préparer à chaque renouvellement.

A partir de juin 2021, Microsoft mettra à jour la durée de validité des certifications basées sur des rôles et de spécialité à un an à partir de la date d’obtention (contre deux). Ceci concerne toutes les nouvelles applications acquises. Le but est de permettre de plus facilement aligner les changements liés au Cloud avec le renouvellement des certifications et l’évaluation des compétences.

Source : Stay current with in-demand skills through free certification renewals - Microsoft Tech Community

L’équipe Intune a publié un billet à propos d’un problème concernant l’application de stratégies de protection applicatives (APP/MAM) qui ne sont pas délivrées aux périphériques Windows dû à une adresse IP manquante. Si votre organisation utilise un pare-feu ou network protection qui cible ou restreint les adresses IP accessibles, Microsoft recommande de mettre à jour votre configuration réseau pour permettre le trafic réseau vers et depuis toutes les plages d'IP MAM, comme indiqué dans Network endpoints for Microsoft Intune.

Pour ce faire, vous pouvez créer une stratégie de type :

• Ouvrez le centre d’administration MEM
• Cliquez sur Endpoint Security puis naviguez dans Firewall.
• Sélectionnez Create Policy puis Windows 10 and later et Microsoft Defender Firewall rules
• Spécifiez un nom puis ajoutez les règles pour les adresses IP spécifiées dans l’URL : Network endpoints for Microsoft Intune

Plus d’informations : Support Tip: Devices not receiving APP/MAM policies due to missing IP addresses - Microsoft Tech Community

Microsoft a introduit un ensemble de nouveautés dans Azure Defender (anciennement Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Disponibilité Générale d’Azure Defender for SQL permettant la protection des serveurs SQL Server On-Premises. Ceci couvre aussi les serveurs SQL hébergés dans d’autres Clouds (AWS, GCP, etc.). Cette disponibilité générale apporte notamment le support pour des pools SQL dédiés Azure Synapse Analytics
• Preview d’Azure Defender pour Azure Resource Manager permettant la supervision de toutes les opérations de gestion des ressources réalisées dans l’organisation au travers du portail Azure, des APIs REST Azure, d’Azure CLI, ou des clients programmatiques Azure. Vous obtiendrez des informations sur les opérations suspicieuses (depuis des adresses IP ou désactivation d’anti-malware, de scripts, etc.), l’utilisation de kit d’exploitation (Microburst ou PowerZure) ou les mouvements latéraux entre couches de gestion Azure.
• Preview d’Azure Defender pour DNS pour permettre la protection en supervisant toutes les requêtes DNS depuis des ressources Azure. Ceci permet de couvrir l’exfiltration de données depuis des ressources Azure en utilisant DNS tunneling, la communication de malware avec des serveurs de Command et Control, les communications avec des domaines malicieux, les attaques DNS.
• Les administrateurs globaux peuvent désormais s'accorder des autorisations au niveau des tenants. En effet, un utilisateur ayant le rôle d'administrateur global d'Azure Active Directory peut avoir des responsabilités au niveau du tenant, mais n'a pas les permissions Azure pour voir les informations de l’entreprise dans Azure Security Center.
• Previex d’une nouvelle page d’alertes de sécurité dans le portail Azure ayant été revue pour :
  • Améliorer de l'expérience de triage des alertes - pour réduire la fatigue des alertes et se concentrer plus facilement sur les menaces les plus pertinentes, la liste comprend des filtres personnalisables et des options de regroupement
  • Donner plus d'informations dans la liste des alertes - telles que les tactiques de MITRE ATT&ACK
  • Offrir un bouton de création d'alertes types - pour évaluer les capacités d'Azure Defender et tester la configuration de vos alertes (pour l'intégration SIEM, les notifications par courrier électronique et les automatismes de flux de travail), vous pouvez créer des alertes types à partir de tous les plans d'Azure Defender
  • S’aligner sur l'expérience d'Azure Sentinel en matière d'incidents - pour les clients qui utilisent les deux produits, passer de l'un à l'autre est désormais une expérience plus simple et il est facile d'apprendre l'un de l'autre
  • Offrir de meilleures performances pour les listes d'alerte volumineuses
  • Permettre la navigation au clavier dans la liste d'alerte
• L’expérience a été revue pour Azure SQL Database et SQL Managed Instance avec les recommandations de sécurité, les alertes de sécurité, les trouvailles (findings).

• La page d'inventaire dans Azure Security Center a été rafraîchie avec les changements suivants :

• • Guides and feedback a été ajouté à la barre d'outils et ouvre un volet contenant des liens vers des informations et des outils connexes.
  • Un filtre d'abonnement a été ajouté aux filtres par défaut disponibles pour vos ressources.
  • Un lien Open query permet d’ouvrir les options du filtre actuel en tant que requête de graphique de ressources Azure (anciennement appelé "View in resource graph explorer").
  • Options de l'opérateur pour chaque filtre. Vous pouvez maintenant choisir parmi des opérateurs logiques supplémentaires autres que "=". Par exemple, vous pourriez vouloir trouver toutes les ressources avec des recommandations actives dont les titres comprennent la chaîne "encrypt".

• La recommandation "Web apps should request an SSL certificate for all incoming requests" a été déplacée de security control Manage access and permissions (qui vaut un maximum de 4 points) à Implement security best practices (qui ne vaut aucun point).

• Les outils d'exportation continue d'Azure Security Center vous permettent d'exporter les recommandations et les alertes du Security Center pour les utiliser avec d'autres outils de surveillance dans votre environnement. Ces outils ont été améliorés et développés de la manière suivante :
  • Amélioration des stratégies de d’export continu deployifnotexist.
  • Ajout de données d'évaluation de la conformité réglementaire (Preview). Vous pouvez désormais exporter en continu les mises à jour des évaluations de conformité réglementaire, y compris pour toute initiative personnalisée, vers un espace de travail Log Analytics ou un Event Hub.

Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Cloud App Security. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve :

• Il est maintenant possible de recevoir des emails de notifications pour la création ou la mise à jour d’un incident. Cette notification contient ensuite le nom de l’incident, sa sévérité et sa catégorie.
• Microsoft a réalisé des changements dans les tables EmailEventset EmailAttachmentInfo concernant les données Office 365 avec deux nouvelles colonnes pour l’émetteur. On retrouve de nouvelles colonnes qui se mappent sur d’ancienne colonnes. Pour avoir l’exhaustivité des changements : Additional email data in advanced hunting - Microsoft Tech Community
• Microsoft harmonise les valeurs des sources de service (ServiceSource) et les sources de détection (DetectionSource) pour faire correspondre les changements de nom des différents produits (Microsoft Defender for Endpoint, Microsoft Defender for Office 365, etc.)
• On retrouve la public preview avec de nouvelles sources de données fournissant les journaux d’audit Azure Active Directory dans la fonctionnalité Advanced Hunting. Pour l’instant, l’ingestion a une dépendance sur MCAS et le connecteur Office 365 mais Microsoft a pour objectif de l’étendre à d’autres clients.
• Microsoft publie un article pour détailler comment utiliser Microsoft 365 Defender pour détecter Solorigate : Le 28 décembre, Microsoft complète ses recommandations par un article pour investiguer Solorigate avec Microsoft 365 Defender : Using Microsoft 365 Defender to protect against Solorigate - Microsoft Security

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Ajout d’une nouvelle alerte pour les investigations d’email exécutées par un administrateur. Ceci permet de voir les investigations dans Microsoft 365 Defender. Ces alertes seront corrélées dans les incidents pour les associées à une attaque.
• Ajout d’un nouveau type d’entité Mailbox Configuration permettant de clairement voir les éléments de configuration de boite aux lettres suspicieux depuis les onglets évidences, et investigation d’un incident. Vous pouvez par exemple voir les éventuelles règles de redirection, les délégations suspicieuses, etc.
• La vue des entités sur l’incident levé lors qu’une suspicion de compromission d’un utilisateur a été mise à jour pour inclure un onglet Email Clusters permettant de lister les emails similaires à des messages malicieux.
• Microsoft a supprimé l’action redondante Block URL. Cette action apparaît quand l’investigation trouve une URL malicieuse. Comme la stack de protection d'Office 365 bloquera l'URL au moment de la livraison et des clics via Safe Links, l'action d'enquête n'est plus nécessaire.  Il y aura à l'avenir des utilisations d'actions dans la partie Hunting et de l'explorateur pour des actions de correction de faux positifs et faux négatifs liés à l'administration.
• La Public Preview des trainings de simulation d’attaque délivré en partenariat avec Terranova Security est maintenant disponible pour tous les clients Microsoft 365 E3 en plus des clients Microsoft Defender for Office 365 P2, Microsoft 365 E5 et Microsoft Security E5. Ce service permet de découvrir, quantifier et remédier les risques social engineering à travers tous les utilisateurs.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Azure Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft annonce l’arrivée de Sixgill TAXII Server permettant d’obtenir les données Threat Intelligence à partir de Sixgill dans Azure Sentinel en utilisant le connecteur Threat Intelligence – TAXII Data.
• On retrouve 80 nouvelles requêtes d’investigation (Hunting) sur étagère.  Ces requêtes sont rassemblées au travers des 10 catégories du Framework MITRE ATT&CK.
• La sauvegarde d’un workbook comme workbook privé va être déprécié à partir de Janvier 2021. Ce sera possible d’accéder à ces workbooks privés mais les éditions et les sauvegardes ne pourront plus être possibles.
• Microsoft a ajouté un flag New à côté des nouveaux modèles de règles d’analytique.
• Microsoft a fait des améliorations sur l’agent Log Analytics afin de rendre plus facile son utilisation à travers des plateformes. On retrouve notamment : CentOS 8, RedHat 8, SUSE Linux 15 mais aussi le support de Python 3.

Microsoft Endpoint Manager (Intune) propose une stratégie de connexion de données qui est utilisée pour collecter les données nécessaires à Endpoint Analtyics et d’autres services. Sur les postes Windows 10 Pro, la stratégie peut remonter en erreur.

En réalité, Windows 10 Pro requiert le correctif cumulatif de Novembre 2020 pour que la stratégie fonctionne :

• Windows 10 Pro 1903 et 1909 nécessite KB4577062 ou un correctif cumulatif ultérieur.
• Windows 10 Pro 2004 et 20H2 nécessite  KB4577063 ou un correctif cumulatif ultérieur.

Avec la crise sanitaire, les entreprises ont fait face à un changement dans la façon de devoir administrer leurs périphériques. En effet, ces derniers ne sont plus présents physiquement dans l’entreprise et il peut devenir difficile d’assurer les opérations de mise à jour ou de déploiement des applications. Beaucoup d’entreprises ont implémenté des Cloud Management Gateway avec l’outil d’administration Microsoft Endpoint Configuration Manager. La puissance de cette passerelle n’est plus à démontrer mais il existe quelques astuces qui peuvent permettre d’en optimiser le coût. Le client Microsoft 365 Apps n’échappe pas à la règle. La taille de cette application peut être conséquente notamment dans des contextes internationaux avec de nombreux packs de langues (plusieurs giga-octets).  Martin Nothnagel (MSFT) a publié un billet détaillant la capacité de déployer le client Microsoft 365 Apps avec ConfigMgr tout en limitant l’impact réseau avec la récupération des sources sur l’Office CDN.

La technique revient à retirer les sources du packages et modifier le fichier de configuration pour que le client se procure les sources depuis l’Office CDN.

Je vous invite à lire son article : Deploy Microsoft 365 Apps to remote workers - Microsoft Tech Community

J’en profite de cette période pour dépiler des retours d’expérience sur certains sujets et notamment Windows Autopilot. A partir de Windows 10 2004, il est possible d’utiliser le profil Autopilot pour configurer la langue (région) et le clavier de la machine.

Ces paramètres ne peuvent pour l’instant pas être défini lorsque vous utilisez le scénario de préprovisionnement (White Glove).

En effet, la définition de ces deux paramétrages ne permet pas d’appuyer 5 fois sur la touche Windows sur ces écrans afin de lancer le processus White Glove.

Microsoft travaille à corriger ce problème qui requiert à la fois un changement dans Windows mais aussi sur la page de connexion Azure AD.