Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve :

• (Preview) Il est désormais possible d'effectuer des actions sur les messages électroniques directement à partir des résultats des requêtes de chasse. Les e-mails peuvent être déplacés vers d'autres dossiers ou supprimés définitivement.
• (Preview) La nouvelle table UrlClickEvents de l’Advanced Hunting peut être utilisé pour rechercher des menaces telles que les campagnes de phishing et les liens suspects en fonction des informations provenant des clics Safe Links dans les messages électroniques, Microsoft Teams et les applications Office 365. 

Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Les versions 222, 223, 224, 225 et 226 apportent les changements suivants :

• Mise à jour des niveaux de sévérité pour les détections d'anomalies de Defender for Cloud Apps. Les niveaux de gravité des alertes de détection d'anomalies intégrées à Defender for Cloud Apps ont été modifiés afin de mieux refléter le niveau de risque en cas d'alertes positives réelles. Les nouveaux niveaux de gravité sont visibles sur la page des politiques.
• Prise en charge des versions Rome et San Diego de ServiceNow. Grâce à cette mise à jour, vous pouvez protéger les dernières versions de ServiceNow en utilisant Defender for Cloud Apps.
• Amélioration de la détection des logiciels malveillants pour les applications de stockage non-Microsoft. Defender for Cloud Apps a apporté des améliorations majeures au mécanisme de détection des applications de stockage non-Microsoft. Cela permettra de réduire le nombre de fausses alertes positives.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

A partir de ce jour (10 mai 2022), Windows 10 20H2 Home et Pro n’est plus supporté par Microsoft pour les éditions Home et Pro. Le Patch Tuesday du 10 mai 2022 sera donc les dernières mises à jour de sécurité produites par Microsoft pour les éditions de cette version.

Vous devez donc mettre à jour vers une version supérieure.

Source : Windows 10, version 20H2 end of servicing - Microsoft Lifecycle | Microsoft Docs

A partir de ce jour (10 mai 2022), Windows 10 20H2 Home et Pro n’est plus supporté par Microsoft pour les éditions Home et Pro. Le Patch Tuesday du 10 mai 2022 sera donc les dernières mises à jour de sécurité produites par Microsoft pour les éditions de cette version.

Vous devez donc mettre à jour vers une version supérieure.

Source : Windows 10, version 20H2 end of servicing - Microsoft Lifecycle | Microsoft Docs

A partir de ce jour (10 mai 2022), Windows 10 1909 n’est plus supporté par Microsoft pour les éditions Enterprise, Education, et IoT Enterprise. Le Patch Tuesday du 10 mai 2022 sera donc les dernières mises à jour de sécurité produites par Microsoft pour cette version.

Vous devez donc mettre à jour vers une version supérieure.

Source : Windows 10, version 1909 end of servicing (Enterprise and Education) - Microsoft Lifecycle | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

• Disponibilité Générale du client afin d’unifier la parité des fonctionnalités pour Windows Server 2012 R2 et Windows Server 2016. Le nouveau package de solutions unifiées est désormais disponible de manière générale et facilite l'onboarding des serveurs en supprimant les dépendances et les étapes d'installation. En outre, ce package de solutions unifiées est accompagné de nombreuses améliorations de fonctionnalités.
• Intégration avec Tunnel. Microsoft Defender for Endpoint sur iOS peut désormais s'intégrer à Microsoft Tunnel, une solution de passerelle VPN pour permettre la sécurité et la connectivité dans une seule application. Cette fonctionnalité était auparavant disponible uniquement sur Android.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Améliorations de la purge manuelle des e-mails : Microsoft a ajouté les actions de purge manuelle des e-mails prises dans Microsoft Defender for Office 365 dans le centre d'action unifié de Microsoft 365 Defender (M365D) à l'aide d'une nouvelle enquête axée sur les actions.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft vient de mettre à disposition une nouvelle version (1.2.3128) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction d'un problème où Narrator n'annonçait pas correctement les vues de grille ou de liste.
• Correction d'un problème pour lequel le processus msrdc.exe pouvait prendre beaucoup de temps pour se terminer après la fermeture de la dernière connexion Azure Virtual Desktop si les clients ont défini une politique d'expiration des jetons très courte.
• Mise à jour du message d'erreur qui s'affiche lorsque les utilisateurs ne parviennent pas à s'abonner à leur flux.
• Mise à jour des boîtes de dialogue de déconnexion qui s'affichent lorsque l'utilisateur verrouille sa session à distance ou met son ordinateur local en veille pour qu'elles soient uniquement informatives.
• Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et de flux.
• La redirection multimédia pour Azure Virtual Desktop (Preview) a maintenant une mise à jour qui lui donne plus de compatibilité avec les sites et le contrôle des médias.
• Amélioration de la fiabilité des connexions pour Teams sur Azure Virtual Desktop.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

L’équipe Compliance a publié un billet visant à créer une formation complète sur Communication Compliance allant jusqu’à un niveau d’expertise. On retrouve notamment :

• Why do I need Communication Compliance?
  • Aligning Culture and compliance for better business 
  • Microsoft can help reduce risk during the Great Reshuffle 
  • Holistic approach to risk detection and prevention 
  • Why is Insider Risk important 
  • Why do I need Communication Compliance Knowledge Check
• Overview
  • Communication Compliance Overview
  • How Microsoft 365 secures and supports your organization from the inside out
  • Manage risk and compliance with end-to-end security solutions
  • Communication Compliance Learning Path
  • What’s new in Insider Risk Management and Communication Compliance
  • How to protect employees from online harassment
  • How to foster safe and compliant communications at work
  • Reducing Code of Conduct and Regulatory Compliance Violation
  • Building an effective insider risk program 
  • Overview Knowledge Check
• Getting Started
  • Solution Guides
    • Getting started with Communication Compliance 
    • Communication Compliance Interactive guide
    • Learn how to reduce communication risk for your organization
    • Communication Compliance with Teams
    • Fulfill regulatory compliance requirements with Communication Compliance
  • Licensing : Communication Compliance License Requirements 
  • Permissions : Plan for permissions in Communication Compliance 
  • Understand your risk : Communication Compliance Recommended Actions  
  • Creating Policies
    • Create and manage policies
    • Case study - Configure an inappropriate text policy 
  • Investigate and Remediate alerts
    • Investigate and remediate Communication Compliance alerts 
    • Setting alert notifications 
  • Getting Started Knowledge Check
• Detecting violations of Non-Microsoft Communications
  • Connecting non-Microsoft sources to Communication Compliance Policies 
  • Learn about connectors  
  • Data connectors 
  • Detecting Violation on Non-Microsoft Communications Knowledge Check
• Integrating with other tools
  • Working with PowerAutomate 
  • Microsoft Data Loss Prevention 
  • Microsoft Sensitive Information types  
  • Microsoft Advanced eDiscovery  
  • Communication Compliance with SIEM Solutions 
  • Integrating with other tools Knowledge Check
• Fine-tuning your conditions
  • Ignore Disclaimers 
  • Classifier support including support for 12 languages 
  • Create Custom Sensitive Information types  
  • Policy Settings 
  • Fine-tuning of your conditions Knowledge Check
• Reporting and Auditing
  • Communication Compliance Reporting  
  • Message Details Report 
  • Audit
  • Reporting and Auditing Knowledge Check

Accéder à Become a Communication Compliance Ninja - Microsoft Tech Community

L’équipe Compliance a publié un billet visant à créer une formation complète sur Insider Risk Management allant jusqu’à un niveau d’expertise. On retrouve notamment :

• Why do I need Insider Risk Management :
  • How Microsoft can help reduce risk during the Great Reshuffle 
  • Holistic approach to risk detection and prevention 
  • Insider Risk Management Overview
  • Why is Insider Risk important
  • Uncover Hidden Risk 
  • Protecting your sensitive assets in a Hybrid environment 
  • Why do I need Insider Risk Management Knowledge Check?
• Overview :
  • Insider Risk Management Walkthrough 
  • Insider risk management in Microsoft 365 - Microsoft 365 Compliance
  • Insider Risk Management Microsoft Mechanics 
  • What’s new in Insider Risk Management and Communication Compliance 
  • Insider Risk Management Learning Path
  • Manage risk and compliance with end-to-end security solutions
  • How Microsoft 365 secures and supports your organization from the inside out
  • An inside view on detecting and mitigating insider risks 
  • Manage risk and compliance with end-to-end security solutions 
  • Building an effective insider risk program
  • Overview Knowledge Check
• Getting Started
  • Solution Guide : Insider Risk Management Interactive Guide 
  • Licensing : Insider Risk Management License Requirements
  • Permissions : Enable Permissions for Insider Risk
  • Understand your risk : Insider Risk Management Analytics
  • Setup Policies :
    • Get started with insider risk management
    • Insider risk management settings
    • Insider Risk Management Policy Configuration
    • Insider risk management policies
  • Investigate
    • Insider Risk Management Alert Triage Experience
    • Investigate insider risk management activities
    • Take action on Insider Risk cases
    • Insider Risk Management Investigation and Escalation
    • Identify and taking action on Critical Insider Threats
  • Getting Started Knowledge Check
• Connectors
  • Insider Risk Indicators 
  • Onboard your endpoints (Windows) 
  • Onboard your endpoints (macOS) 
  • Setting up an HR Data connector 
  • Data Connector for physical badging connector 
  • HR data connector import
  • Data connector for Healthcare EHR 
  • Data connector for Epic EHR  
  • Microsoft Defender for Endpoint 
  • Microsoft Defender for Cloud Apps 
  • Browser Signal Detection  
  • Connectors Knowledge Check
• Integrating with other tools
  • Working with PowerAutomate 
  • Working with Microsoft Teams
  • Leveraging the Microsoft Sentinel 
  • Integrating with other tools Knowledge Check
• Fine-tuning your policies for Insider Risk Management
  • Set your indicator level settings 
  • Configure intelligent detections  
  • Prioritize content in polices
  • Review policy health for recommendation
  • Fine-tuning your policies Knowledge Check

Accéder à Become a Insider Risk Management Ninja - Microsoft Tech Community

Forrester a publié son rapport sur les solutions Enterprise Detection and Response (EDR). Microsoft ressort avec CrowdStrike et Trend Micro parmi les leaders du marché. Palo Alto, Elastic, Bitdefender, SentinelOne, VMware Carbon Black sont les concurrents qui suivent.

Voici le résumé de Forrester : Microsoft s'est imposé comme une puissance en matière d'innovation de sécurité et de RGPD. En 2021, Microsoft a engagé 20 milliards de dollars sur cinq ans pour fournir des outils de sécurité plus avancés, faisant monter les enchères par rapport au milliard de dollars par an qu'elle consacre à la cybersécurité depuis 2015. Au-delà des chiffres, Microsoft a pour ambition de protéger tous les terminaux en combinant la prévention, la détection et l'autoremédiation. Les clients de référence ont souligné cet investissement comme l'une des principales raisons pour lesquelles ils ont choisi de travailler avec le fournisseur, malgré la perception précoce du secteur dans l'informatique. L'éditeur a également modifié sa structure tarifaire pour plus de flexibilité, en proposant une tarification autonome par point de terminaison ou une tarification par licence. Sa feuille de route prévoit des progrès continus en matière de fonctionnalités Linux et Mac, de collaboration en matière d'informatique et de sécurité, et de fonctionnalités XDR. La couverture de Microsoft pour les versions de Windows, Mac et les distributions Linux est comparable à celle des autres fournisseurs de son évaluation. L'offre dispose d'une variété de fonctionnalités utiles pour les enquêtes, telles que des noms de détection lisibles par l'homme et une relecture de la chronologie de l'attaque pour voir exactement ce qui s'est passé dans l'attaque et dans quel ordre. Toute la télémétrie est alignée sur MITRE ATT&CK. Elle fournit une fonction sandbox native, des recommandations de réponse, des capacités de shell à distance et des scripts personnalisés. Les chasseurs de menaces peuvent rechercher la télémétrie par type ou rechercher la télémétrie brute pendant 30 jours par défaut. Ils peuvent programmer des requêtes mais ne peuvent pas créer de règles de détection personnalisées sur la base d'une recherche. Microsoft convient mieux à ceux qui ont un grand déploiement de Windows ou qui passent à une licence E5.

Lire le rapport de Forrester

Plus d’informations sur : Forrester names Microsoft a Leader in 2022 Enterprise Detection and Response Wave report - Microsoft Security Blog

Depuis plusieurs mois, Microsoft organise des Lives communautaires réalisés par les équipes produit afin de fournir toutes les réponses aux questions autour de Microsoft Endpoint Manager (Intune). Le 27 avril, on retrouve 4 sessions de 17h à 21h :

• Linux management – 17h (Paris)
• Endpoint security in Microsoft Endpoint Manager – 18h (Paris)
• Endpoint analytics and the user experience – 19h (Paris) 
• Windows manageability – 20h (Paris) 

Pour vous inscrire, vous devez visiter : https://aka.ms/TCL/EndpointManager

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v100. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

Cette version comprend 7 nouveaux paramétrages utilisateurs et 7 nouveaux paramétrages ordinateurs. Pour résumé, voici les nouveaux paramétrages :

• Configure if the ads transparency feature is enabled
• Hide restore pages dialog after browser crash
• Secure mode and Certificate-based Digital Signature validation in native PDF reader
• Allow the WebHID API on these sites
• Block the WebHID API on these sites
• Control use of the WebHID API
• Prompt the user to select a certificate when multiple certificates match

Voici les différences avec la version 99 : https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-for-microsoft-edge-v100/ba-p/3281982?attachment-id=51376

Vous pouvez retirer la liste de toutes les stratégies sur : Microsoft Edge Browser Policy Documentation | Microsoft Docs

Plus d’informations sur l’article suivant : Security baseline for Microsoft Edge v100 - Microsoft Tech Community

Télécharger Security Compliance Toolkit

Le beta-testing de la certification sur le dépannage de la connectivité dans Microsoft Azure a débuté. L’examen DP-500: Designing and Implementing Enterprise-Scale Analytics Solutions Using Microsoft Azure and Microsoft Power BI (beta) - Learn | Microsoft Docs est concerné avec les connaissances suivantes :

• Mettre en œuvre et gérer un environnement d'analyse de données (25-30%)
• Interroger et transformer des données (20-25%)
• Implémentation et gestion de modèles de données (25-30%)
• Exploration et visualisation des données (20-25%)

Cet examen permettra d’acquérir le statut Microsoft Certified: Azure Enterprise Data Analyst Associate - Learn | Microsoft Docs

Vous pouvez alors utiliser gratuitement le code suivant : DP500CARLSBAD.
Il doit être utilisé avant le 17 mai 2022.

Il n’y a que 300 places disponibles.

Source : Exam DP-500 (beta): Prove your skills as an Azure enterprise data analyst - Microsoft Tech Community

En septembre 2021, les journaux d’audit AIP ont été intégrés à l’Activity Explorer de Microsoft 365. Il n’est ainsi plus nécessaire d’utiliser Log Analytics pour les obtenir. Depuis le 18 mars 2022, il n’est pas possible d’onboarder de nouveaux workspace pour stocker ces journaux. Les clients existants qui utilisent Log Analytics pour les journaux d’audit pourront continuer de bénéficier du transfert de journaux dans le workspace jusqu’au 30 septembre 2022.

Vous devez donc utiliser Office 365 Management API pour obtenir accès à ces logs de manière programmatique.

Plus d’informations sur : Removed and retired services - Azure Information Protection | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Gestion du périphérique

• Nouvelle action à distance Remote Help dans le centre d’administration Microsoft Endpoint Manager afin de démarrer une session à distance sur un PC Cloud.
• Preview de l’optimisation de l’expérience utilisateur pour la connexion au PC Cloud de Windows 365. Ceci permet par exemple d’enregistrement automatiquement des comptes Azure AD dans le client Remote Desktop de Windows sans aucune interaction. Ceci peut se faire via des paramétrages Policy CSP proposés dans le Settings Catalog. C’esdt notamment le cas du paramètre : Auto-subscription (User)

Intégration

• Disponibilité Générale des sous-titres en direct dans Microsoft Teams sur Windows 365. Teams sur Windows 365 est une version spécifique et optimisée qui possède des fonctionnalités différentes du client Windows. Avec cette annonce, Windows 365 peut voir le texte du présentateur, changer la langue parlée (dans 28 langues différentes) etc.

• Public Preview d’une mise à jour des redirections de médias (MMR) dans Windows 365 afin de bénéficier d'une expérience de lecture vidéo plus fluide lorsqu'ils regardent des vidéos dans le navigateur Windows 365. Ces mises à jour permettent aux utilisateurs d'accéder à davantage de contrôles multimédias et permettent également à MMR de fonctionner sur des sites Web supplémentaires, tels que Facebook, IMBD, YouTube et Fox Sports.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft a publié un point d’entrée unique servant de bibliothèque de contenu technique autour de la sécurité. Le site permet d’accéder au contenu selon plusieurs vecteurs :

• Solution Areas : Sécurité, Conformité, Identité, Gestion et protection contre les menaces
• Produits
• Sujets : Applications et Services, Gestion de la conformité, Découvrir et réponse, Sécurité des emails, sécurité des terminaux.
• Rôles : Administrateur, Sécurité des applications et DevSecOps, Propriétaire d’entreprise, etc.

Accéder à cette bibliothèque de contenu

Microsoft vient de mettre à disposition une nouvelle version (1.2.3004) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction d'un problème où Narrator n'annonçait pas correctement les vues de grille ou de liste.
• Correction d'un problème pour lequel le processus msrdc.exe pouvait prendre beaucoup de temps pour se terminer après la fermeture de la dernière connexion Azure Virtual Desktop si les clients ont défini une politique d'expiration des jetons très courte.
• Mise à jour du message d'erreur qui s'affiche lorsque les utilisateurs ne parviennent pas à s'abonner à leur flux.
• Mise à jour des boîtes de dialogue de déconnexion qui s'affichent lorsque l'utilisateur verrouille sa session à distance ou met son ordinateur local en veille pour qu'elles soient uniquement informatives.
• Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et de flux.
• La redirection multimédia pour Azure Virtual Desktop a maintenant une mise à jour qui lui donne plus de compatibilité avec les sites et le contrôle des médias.
• Amélioration de la fiabilité des connexions pour Teams sur Azure Virtual Desktop.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Depuis plusieurs mois, Microsoft organise des Lives communautaires réalisés par les équipes produit afin de fournir toutes les réponses aux questions autour de Windows et Microsoft Endpoint Manager (Intune). Bien que les événements soient passés, ils constituent une mine d’informations sur différents sujets :

• Windows 10 -> Windows 11: What changes (and what doesn't)
• Unpacking endpoint management
• Windows 11 & Windows 10: servicing and lifecycle
• Windows security
• Universal Print
• Application compatibility
• Preparing for Windows 11 with Intune & Configuration Manager
• What's new and what's next with MSIX
• Windows 365
• Planning for Windows 11 with analytics
• Windows Update for Business
• Windows Autopilot
• Microsoft 365 and Windows licensing
• Microsoft Edge
• Deploying and managing Windows devices in education
• Windows 11 upgrade paths and deployment tools
• Delivery Optimization

On retrouve aussi des vidéos pour les webcasts : Tech Community Live: Windows edition - Microsoft Tech Community

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve :

• La Disponibilité Générale de Microsoft Defender for Business et l’ajout à tous les clients existants des abonnements Microsoft 365 Business Premium. Ceci apporte les fonctionnalités de Microsoft Defender for Endpoint Plan 1 à ces entreprises.
• Public Preview des améliorations de la queue de gestion des incidents avec :
  • Une vue synthétique des filtres appliqués. Vous pouvez voir tous les filtres appliqués à partir de l'en-tête de la file d'attente, et vous pouvez rapidement les modifier ou les désactiver.
  • La recherche d'un incident par ID ou par nom. Vous pouvez maintenant rechercher rapidement un incident spécifique par ID ou par nom.
  • La recherche des actifs impactés. Vous pouvez nommer un actif dans un filtre, tel qu'un nom d'utilisateur, de périphérique, de boîte aux lettres ou d'application, et trouver tous les incidents associés directement dans la file d'attente.
  • La spécification d’une plage de temps personnalisée. En plus des plages de temps prédéfinies, vous pouvez désormais spécifier une plage personnalisée qui comprend à la fois des dates et des heures.
• Nouvelle communauté GitHub unifiée pour Microsoft SIEM et XDR. Ceci permet au SOC de découvrir de manière centralisée les dernières requêtes de chasse et analyses pour Microsoft Sentinel et Microsoft Defender. En outre, les contributeurs de la communauté peuvent étendre leur impact à plusieurs produits avec une seule contribution. .

Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

Microsoft a publié un kit pour intégrer et passer à Windows 11. Ce dernier comprend les éléments suivants :

• Différents documents et livre blancs (FastTrack, Passwordless, W11 Enterprise, Security Book).
• Des outils d’évaluation de Windows 11 comprenant notamment des modèles d’email à destination des utilisateurs, des astuces, des posters et des stickers, etc.
• Des fiches pratiques à destination du support et des utilisateurs pour présenter les nouveautés

Télécharger Windows 11 Onboarding Kit from Official Microsoft Download Center

De plus en plus fréquemment, j’interviens chez des clients qui construisent des solutions d’automatisation via PowerShell ou d’autres langages pour automatiser des tâches d’administration dans les services reposant sur Microsoft Graph incluant Azure Active Directory, Microsoft Endpoint Manager (Intune), Autopilot, Microsoft 365, etc. Je me rends compte que beaucoup ne suivent pas les bonnes pratiques en la matière en créant des comptes utilisateurs parfois exclus des règles d’accès conditionnel pour faire tourner ces tâches planifiées et automatisées.

Il existe pourtant des méthodes très simples, efficaces, et sécurisées pour se connecter au Graph de Microsoft sans pour autant abaisser le niveau de sécurité mis en place. Vous pouvez pour cela utiliser :

• Les Service Principals correspondent à une application Azure AD dont les tokens peuvent être utiliser pour s’authentifier et obtenir l’accès à des ressources Azure spécifiques.
• Les Managed Identities sont dans le principe similaire aux Service Principals à la différence qu’elles sont liées à des ressources Azure. On en retrouve deux formats : les System assigned Managed Identities qui sont liées à une seule ressource Azure (VM, Web App, etc.) et les User assigned Managed Identities qui sont crées de manière autonome puis assignées à plusieurs ressources Azure.

Vous l’aurez compris chacune des solutions couvre un enjeu : Les Managed Identities peuvent être utilisées pour administrer vos ressources Azure alors que les Service Principals peuvent être utilisés pour gérer des services Cloud (Microsoft 365, Intune, etc.)

Dans cet article, j’aborderais la création d’un Service Principal dans le but d’exécuter par exemple des scripts de traitement sur un des services cités plus haut. On retrouve différentes étapes :

1. La création d’un certificat autosigné ou issu d’une autorité de certification de l’entreprise (plus sécurisé).
2. Création d’une application Azure Active Directory utilisée pour l’authentification
3. Associer le certificat
4. Associer les droits Microsoft Graph
5. Optionnel : Création d’une règle d’accès conditionnel pour sécuriser ces charges de travail. Cette étape peut être optionnelle mais elle permet de s’assurer que l’application ne peut être utilisée pour s’authentifier que depuis certains réseaux.
6. Mise en pratique

Création d’un certificat

On retrouve deux options :

• Créer un certificat à partir de l’autorité de certification de l’entreprise en utilisant un modèle disposant des capacités : Client Authentication. Cette méthode est la plus adéquate car elle permet de révoquer le certificat et faire connaître cette révocation via la liste de révocation de certificat (CRL).
• Créer un certificat autosigné.

Je détaillerais simplement la création d’un certificat autosigné mais vous pouvez aisément utiliser votre PKI.

Idéalement, sur la machine qui exécutera les scripts, exécutez les commandes suivantes pour créer un certificat autosigné valable 6 mois :

$pwd = "<Le Mot de passe de la clé privée du certificat>"

$notAfter = (Get-Date).AddMonths(6) # Valide pour 6 mois

$thumb = (New-SelfSignedCertificate -DnsName "<Nom du tenant>.onmicrosoft.com" -CertStoreLocation "cert:\LocalMachine\My"  -KeyExportPolicy Exportable -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -NotAfter $notAfter).Thumbprint

$pwd = ConvertTo-SecureString -String $pwd -Force -AsPlainText

Export-PfxCertificate -cert "cert:\localmachine\my\$thumb" -FilePath c:\temp\CertAutomatisation.pfx -Password $pwd

Le certificat apparaît dans le store de la machine ainsi qu’à l’emplacement spécifié            

L’étape suivante consiste à exporter le certificat sans sa clé privée :

Note : Je ne détaille pas l’intégralité des étapes d’export mais veillez à ne pas cocher l’export de la clé privée et à exporter le certificat au format CER.

Création d’une application Azure Active Directory

Cette étape permet la création d’une application Azure AD qui sera utilisé pour réaliser l’authentification ainsi que la délégation des permissions adéquates.
Il n’existe pas une seule règle quant à la création des applications Azure AD, ceci doit être réfléchi et dépendre de la gouvernance en place. Vous pouvez par exemple :

• Créer des applications Azure AD dédié par équipe avec les droits granulaires nécessaires à l’automatisation des tâches de l’équipe
• Créer des applications Azure AD dédié à certaines tâches / applications avec les droits granulaires nécessaires à l’automatisation des tâches de l’application

Pour ce faire, ouvrez le portail d’administration d’Azure Active Directory et naviguez dans App Registration puis cliquez sur New registration :

Entrez le nom de l’application et sélectionnez Account in this organizational directory only puis choisssez Register.

Associer le certificat

Une fois l’application créée, vous devez associer le certificat qui sera utilisée pour s’authentifier. Pour cela, une fois l’application créée, choisissez Certificates & Secrets.

Choisissez Certificate si vous utilisez un certificat et cliquez sur Upload certificate.
Sélectionnez le certificat précédemment exporté dans l’étape 1 et spécifiez une description puis cliquez sur Add.

Une fois importé, vous retrouvez le certificat dans le portail :

Maintenant que vous avez configuré les capacités qui vous permettront de vous authentifier, vous pouvez passer à l’association des droits Microsoft Graph dont vous aurez besoin.

Associer les droits Microsoft Graph

On retrouve différents types de permissions :

• Delegated correspond à des permissions déléguées à des utilisateurs pouvant se connecter physiquement au service.
• Application correspond aux permissions déléguées pour des applications ou des services comme c’est le cas pour les Service Principals. Ce sont ces permissions qui nous intéressent.

Pour associer les droits, cliquez sur API Permissions.
Commencez par supprimer la permission User.Read Delegated :

Confirmez la suppression.

Cliquez ensuite sur Add a permission :

La page de sélection des APIs vous permet de choisir les services cibles. On retrouve notamment :

• Microsoft Graph qui propose des permissions pour Office 365, Azure AD, Microsoft Endpoint Manager (Intune), Autopilot, OneNote, SharePoint, Planner, Microsoft Information Protection, etc.
• Azure DevOps
• Azure Services Management
• Intune pour des permissions relatives à des intégrations partenaires (Data Warehouse, Stratégie de conformité partenaire, etc.)
• Etc.

Dans la majorité des cas, ce seront les permissions issues de Microsoft Graph qui vous intéresserons.

Comme expliqué précédemment, choisissez ensuite Application permissions :

Une fois sélectionné, vous avez accès à l’ensemble des catégories de permissions disponibles. Choisissez ensuite de manière granulaire toutes les permissions que vous souhaitez mettre à disposition :

Cliquez sur Add permissions.

Une fois ajouté, les permissions apparaissent. Vous devez ensuite donner le consentement pour le tenant en cliquant grant admin consent for <Tenant>

Vous constatez ensuite que les droits ont été consentis :

Création d’une règle d’accès conditionnel pour sécuriser ces charges de travail

Cette étape n’est pas obligatoire mais fortement recommandée puisqu’elle permet de s’assurer que cette application Azure AD et ses permissions associées, ne peut être utilisée que dans certaines conditions (notamment d’être présent sur un réseau spécifique).

Pour ce faire, ouvrez le portail d’administration Azure AD et naviguez dans Azure Active Directory puis Security et Conditional Access. Choisissez Named locations puis cliquez IP ranges location :

Nommez l’emplacement et ajoutez les adresses IP en cliquant sur + puis en spécifiant l’adresse IP ou la plage associée et Add. Enfin, cliquez sur Create.

Dans Policies, cliquez sur New policy et Create new policy.

Nommez la stratégie d’accès conditionnel selon votre convention de nommage puis cliquez sur Users or workload identities. Choisissez Workload identities et :

• Choisissez All owned service principals pour cibler tous ces types de charges de travail. Avant validez les types de charge de travail pour s’assurer de l’impact associée.
• Choisissez select service principals et le service principal associé.

Choisissez ensuite Cloud Apps or actions puis sélectionnez All cloud apps :

Dans Conditions, ouvrez Locations. Cliquez sur Configure : Yes puis Any location dans Include.
Cliquez sur Exclude puis select et choisissez l’emplacement nommé précédemment créé.

Dans Grant, vérifiez que la condition Block Access est sélectionnée :

Cliquez sur On pour activer la stratégie puis Create. Accessoirement, vous pouvez la créer en mode Report-Only pour voir l’impact de la stratégie via l’espace Sign-In logs.

Mise en pratique

Vous pouvez ensuite utiliser le module Microsoft.Graph et les commandes suivantes pour se connecter.
Pour se connecter, on retrouve deux solutions :

1. Utiliser le certificat présent dans le store de l’utilisateur
   Import-module Microsoft.Graph
   Connect-MGGraph -TenantId "<TenantID>" -ClientId "<ClientID de l’application>" -CertificateThumbprint "EMPREINTE/THUMBPRINT du certificat"

2. Utiliser le certificat présent physiquement sur le disque

Import-module Microsoft.Graph
# Load from path.
$password= "<Le Mot de passe de la clé privée du certificat>"

$passwordSecure = ConvertTo-SecureString -AsPlainText -Force $password

$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<Chemin vers le certificat PFX>\ CertAutomatisation.pfx", $passwordSecure)

Connect-MGGraph -TenantId "<TenantID>" -ClientId  "<ClientID de l’application>" -Certificate $cert

Note : L’identifiant cliente de l’application peut se trouver sur la page Overview / Aperçu de l’application que nous avons créé précédemment.

Vous pouvez ensuite lancer une commande permettant de lister les ressources sur lesquelles vous avez les droits.

Bon scripting !

Rod Trent (MSFT) a publié une série d’articles permettant d’aborder les concepts généraux du Kusto Query Language (KQL) utilisé par de nombreux produits de sécurité (Microsoft 365 Defender, Microsoft Sentinel, etc.). Bref, cela devient un incontournable ! Vous pouvez donc utiliser les articles suivants :

• Must Learn KQL Part 1: Tools and Resources
• Must Learn KQL Part 2: Just Above Sea Level
• Must Learn KQL Part 3: Workflow
• Must Learn KQL Part 4: Search for Fun and Profit
• Must Learn KQL Part 5: Turn Search into Workflow
• Must Learn KQL Part 6: Interface Intimacy
• Must Learn KQL Part 7: Schema Talk
• Must Learn KQL Part 8: The Where Operator
• Must Learn KQL Part 9: The Limit/Take Operators
• Must Learn KQL Part 10: The Count Operator
• Must Learn KQL Part 11: The Summarize Operator
• Must Learn KQL Part 12: The Render Operator (with Bin and Time)
• Must Learn KQL Part 13: The Extend Operator
• Must Learn KQL Part 14: The Project Operator
• Must Learn KQL Part 15: The Distinct Operator
• Must Learn KQL Part 16: The Order/Sort and Top Operators
• Must Learn KQL Part 17: The Let Statement
• Must Learn KQL Part 18: The Union Operator
• Must Learn KQL Part 19: The Join Operator
• Must Learn KQL Part 20: Building your first Microsoft Sentinel Analytics Rule

On retrouve aussi un eBook : MustLearnKQL/Book_Version at main · rod-trent/MustLearnKQL · GitHub

Il existe aussi une chaine Youtube : https://cda.ms/3Jx

J’étais passé à côté de cette annonce, l’équipe Microsoft WDAC a publié une application de bureau Windows open-source écrite en C# et fournie sous forme de paquet MSIX. L'assistant a été conçu pour fournir un moyen plus convivial de créer, modifier et fusionner les politiques WDAC. L'application de bureau Wizard utilise les Cmdlets PowerShell de ConfigCI en backend, de sorte que la politique de sortie de l'assistant et des cmdlets PowerShell soient identique.

Plus d’informations sur : Windows Defender Application Control Wizard - Windows security | Microsoft Docs

Télécharger Microsoft WDAC Wizard (webapp-wdac-wizard.azurewebsites.net)

Microsoft a communiqué que le passage prochain de Microsoft Edge (Chromium) à la version 100 peut avoir un impact sur certains scripts ou certaines analyses côté serveur qui utilisateur un analyseur bugué pour déterminer le numéro de version de la chaîne User-Agent. En, effet, Microsoft reverra dans l’en-tête User-Agent, une valeur tel que Edg/100.

Il est recommandé de valider le comportement sur les sites. Avec la version 97 d’Edge, Microsoft a permis d’emuler la version en activant l'indicateur expérimental #force-major-version-to-100 dans edge://flags.

Vous pouvez aussi utiliser la version Dev ou Bêta (prochainement) pour valider les sites.

Plus d’informations sur : Site compatibility-impacting changes coming to Microsoft Edge - Microsoft Edge Development | Microsoft Docs