• [MEM/Intune] Fin de support de macOS 10.15

    Avec l’arrivée de macOS 13 (Ventura) à l’automne 2022, Microsoft annonce la fin de support par Microsoft Endpoint Manager (Intune) des versions autre que macOS 11 (Big Sur) et les versions ultérieures peu après la publication.

    Il se peut que cela n'ait pas d'impact sur vous car les utilisateurs ont probablement déjà mis à niveau leurs périphériques macOS. Pour connaître la liste des matériels compatibles, vous pouvez consulter : macOS Big Sur est compatible avec les ordinateurs suivants - Assistance Apple (FR)

    Les périphériques actuellement enregistrés sous macOS 10.15 ou antérieure resteront inscrits même si ces versions ne sont plus prises en charge. Les nouveaux périphériques ne pourront pas s'inscrire s'ils utilisent macOS 10.15 ou une version inférieure.

    Vous pouvez utiliser les rapports Intune pour voir quels périphériques ou utilisateurs peuvent être impactés. Accédez à Devices > All devices et filtrez par macOS. Demandez aux utilisateurs de mettre à niveau vers une version d'OS prise en charge avant la sortie de macOS 13.

  • [MEM/Intune] Fin de support prochain d’iOS/iPadOS 14

    iOS 16 est attendu pour la fin de l’année. A partir de cette publication, iOS 14/iPadOS 14 sera un prérequis à l’installation du portail d’entreprise Intune, les stratégies de protection applicative (APP/MAM). Si vous gérez des périphériques iOS/iPadOS, il se peut que vous ayez des périphériques qui ne pourront pas être mis à niveau vers la version minimale prise en charge (iOS 14/iPadOS 14). Consultez la documentation Apple suivante afin de vérifier quels périphériques prennent en charge iOS 14 ou iPadOS 14 (le cas échéant).

    Vérifiez vos rapports Intune pour voir quels périphériques ou utilisateurs peuvent être affectés. Pour les périphériques gérés en MDM, allez dans Devices > All devices et filtrez par OS. Pour les périphériques avec des stratégies de protection des applications, allez dans Apps > Monitor > App protection status > App Protection report: iOS, Android.

  • Retirer/Cacher une machine de la liste d’inventaire de Microsoft Defender for Endpoint (MDE)

    Microsoft Defender for Endpoint garde les données renvoyées par les machines enregistrées dans Microsoft Defender for Endpoint (MDE) pour une durer de rétention définie par l’administrateur du service et ce bien que la machine ait pu être désinscrite/offboardée du service.

    Le service ne permet pas de supprimer un périphérique pour des raisons de sécurité. Cela signifierait qu’un attaquant/hacker qui a réussi à rentrer sur le système d’informations pourrait effacer les traces de ses actions. Ainsi, le service ne permet pas la destruction des informations à des fins de forensic et d’investigations.

    Pour autant, il y a de nombreux cas où cela peut amener à des doublons ou des enregistrements fantômes, complexifiant la gestion opérationnelle :

    • Remasterisation d’une machine
    • Machine mise au rebus
    • Machine de rechange en attente d’attribution
    • Machine de tests, etc.

    Il est possible de cacher / retirer des machines de la liste d’inventaire afin de faciliter le quotidien des équipes opérationnelles. Ceci se fait via :

    • La création d’une balise/tag
    • L’association de cette balise/tag à toutes les machines concernées
    • (Optionnel) La création d’un groupe basé sur cette balise
    • Le filtrage de la vue selon la balise/tag ou le groupe.

     

    Création d’une balise/tag et association à une machine

    Pour ce faire, ouvrez le portail Microsoft 365 Defender et naviguez dans Assets – Devices. Sélectionnez une machine que vous souhaitez exclure dans la liste présente.

    Une fois un des périphériques cibles sélectionnés, cliquez sur Manage tags :

    Renseignez le nom de la balise précédemment créée ou qui doit être nouvellement créée pour ce besoin. Puis cliquez sur le nom associé dans la liste déroulante :

    Répétez l’opération pour toutes les machines qui doivent être cachées / exclues / retirées.

     

    (Optionnel) Création d’un groupe basé sur cette balise

    Cette opération n’est pas nécessaire pour filtrer la vue d’inventaire mais peut être utile pour d’autres actions dans le produit liées à la gestion des vulnérabilités et des menaces.

    Pour la création, toujours dans le portail, naviguez dans Settings – Endpoints – Permissions – Device Groups. Sélectionnez ensuite Add device group

    Spécifiez ensuite :

    • Le nom du groupe
    • Le niveau d’automatisation choisie
    • La description

    Sur l’écran suivant, spécifiez la balise que vous avez créé. Vous pouvez aussi ajouter plusieurs balises si vous souhaitez créer un groupe de plusieurs balises et donc répondant à plusieurs statuts :

    Note : Vous pouvez utiliser d’autres propriétés telles que le domaine ou le système d’exploitation.

     

    Sur l’écran suivant, vous pouvez prévisualiser 10 périphériques qui répondraient à ces conditions :

    Enfin, choisissez les groupes d’utilisateurs qui peuvent voir ce groupe et cliquez sur Done :

    Cliquez ensuite sur Apply Modifications pour procéder à la création et au calcul des groupes.

     

    Filtrage de la vue selon la balise/tag ou le groupe

    Proposez ensuite à chaque opérateur de suivre la procédure suivante. Connectez-vous au portail Microsoft 365 Defender et naviguez dans Assets – Devices. Cliquez sur Filter. Vous avez ensuite deux solutions :

    • Filtrer sur la balise
    • Filtrer sur le groupe

    Il vous suffit pour cela de choisir les périphériques non taggués ou taggués avec des tags spécifiques que vous utiliseriez :

    La vue est ensuite filtrée selon vos attentes :

  • [SCOM 2016/2019/2022] Mise à jour (1.8.0.9) du Management Pack pour Microsoft Azure

    Microsoft vient de publier un nouveau pack d’administration ou Management Pack (MP) (1.8.0.9) pour Microsoft Azure. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    La mise à jour est supportée depuis les versions v1.8.0.X.

    Ce management pack fournit les fonctionnalités suivantes :

    • Découverte des services : Application Insights, Automation, Backup, Biztalk, Cloud Service, Data Factory, DocumentDB, Logic App, Media Services, Mobile Services, Networks, Notification Hubs, Operational Insights, Redis Cache, SCheduler, Search, Service Bus, SQL Azure, Storage Accounts, Traffic Manager, Virtual Machines, et Websites
    • Collecte de performance pour : Cloud Services, Data Factory, DocumentDB, Mobile Services, Redis Cache, SQL Azure, Virtual Machines, Websites

    Cette version comprend les corrections de bugs suivantes :

    • Dépréciation ADAL - mise à jour avec les derniers binaires MSAL.
    • La création automatique de SPN ne fonctionne pas.
    • Suppression des changements Silverlight.
    • Ne reçoit pas les alertes pour les tests Azure Web dans SCOM alors que les alertes sont vues dans Azure Portal.
    • Certaines alertes SQR ne passent pas de l'état "sain" à l'état "critique".
    • La console SCOM se bloque lors de la création d'un modèle.

    Notez que ce pack d’administration nécessite System Center 2016 Operations Manager, System Center 2019 Operations Manager, ou System Center 2022 Operations Manager

    Télécharger Microsoft System Center Management Pack for Microsoft Azure

  • [Sécurité] Patch Tuesday Août 2022 : Point d’attention avec les imprimantes et scanners avec authentification par smartcard

    Avec la publication du Patch Tuesday le 9 août 2022, Microsoft a supprimé une atténuation temporaire qui avait été mise en place en juillet 2021. Avec cette mise à jour, les firmwares des imprimantes et scanners qui s’authentifient avec une SmartCard, doivent être compatibles avec la section 3.2.1 de la RFC 4556 pour s’authentifier sur les contrôleurs de domaine Active Directory.

    Pour rappel, les mises à jour de Windows publiées le 13 juillet 2021 ont introduit des protections pour la vulnérabilité CVE-2021-33764 qui exigeaient que tous les périphériques avec un échange de clés pendant l'authentification Kerberos PKINIT, y compris les imprimantes authentifiant les cartes à puce, prennent en charge soit :

    • Diffie-Hellman,
    • Annonce la prise en charge de l'e-type des-ede3-cbc ("triple DES") lors de la requête Kerberos AS.

    Depuis le 9 août, les mises à jour de sécurité pour Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1, et Windows Server 2008 SP2, ont retiré l’atténuation.

    Vos systèmes d’impression utilisant un principe de Smart Card doivent donc être à jour avec la contrainte spécifiée plus haut.

    Plus d’informations sur :

  • Fin de support de Windows Information Protection (WIP)

    Annoncé lors de la sortie de Windows 10, Windows Information Protection (WIP) (anciennement Enterprise Data Protection (EDP) devait permettre de segmenter la vie professionnelle et personnelles et protéger les actifs de l’entreprise. Cette solution a vite monté ses limites sur de nombreux cas d’usages. Microsoft a ensuite planché sur une solution plus adaptée au travers de Microsoft PurView Endpoint Data Loss Prevention afin notamment de s’intégrer dans le framework Microsoft Information Protection. En juillet dernier, Microsoft a annoncé la fin de support de WIP au profit des nouvelles technologies. Cela signifie qu’il n’y aura plus de nouveaux développements et que Microsoft va finir par retirer la technologie des versions futures de Windows. Du côté de Microsoft Endpoint Manager / Intune, Microsoft supprimera le support des stratégies WIP sans enregistrement d’ici la fin de l’année 2022.

    Si vous avez utilisé Windows Information Protection, vous avez pu déployer la technologie via différents biais :

    • Via des stratégies de protection applicatives (APP/MAM) dans Microsoft Endpoint Manager / Intune
    • Via des stratégies dans Microsoft Endpoint Configuration Manager (MECM/SCCM)
    • Via des stratégies de groupes (GPO)

    Les recommandations sont les suivantes :

    • (Recommandé) Suppression de la stratégie WIP (Unassign) - La suppression d'une stratégie d'activation existante supprimera l'intention de déployer WIP sur ces périphériques. Lorsque l’assignation est supprimée, un périphérique supprime la protection des fichiers et la configuration pour WIP.
    • Changez la stratégie actuelle en "Off" - Si vous déployez actuellement une stratégie WIP pour les périphériques enregistrés ou non enregistrés, vous pouvez simplement changer l’assignation de cette politique en "Off". Lorsque les appareils s'enregistrent après avoir reçu cette assignation, ils procéderont à la déprotection des fichiers précédemment protégés par la stratégie WIP.
    • Créer une stratégie de "désactivation" - Vous pouvez créer une stratégie de "désactivation" distincte pour WIP (à la fois enregistré et non enregistré) et la déployer dans l’entreprise. Vous pouvez organiser le déploiement en complétant la stratégie d'activation existante et en déplaçant les entités ciblées par la stratégie d'activation vers la stratégie de désactivation. Remarque : Il est recommandé d’utiliser cette option si vous utilisez Configuration Manager pour désactiver WIP.

    Plus d’informations sur : Support tip: End of support guidance for Windows Information Protection - Microsoft Tech Community

    Source : Announcing the sunset of Windows Information Protection (WIP) - Microsoft Tech Community

  • Microsoft Dev Box : La fin du casse-tête des développeurs pour les administrateurs IT ?

    Je souhaitais mettre en avant une annonce qui n’est pas sans intérêt pour les services informatiques des entreprises. On le sait les développeurs au sein d’une organisation, ont des besoins différents des utilisateurs classiques :

    • Des environnements complexes à mettre en œuvre et à gérer
    • Des machines plus puissantes pour réaliser des traitements
    • Des privilèges et droits plus étendus pour permettre de travailler et développer

    Ces trois points mènent souvent les services informatiques à créer des exceptions tant sur le matériel que sur la sécurité pour leur permettre de travailler comme souhaité. C’est sur ce second point que le sujet est plus délicat en laissant les développeurs réaliser ces actions sur leurs propres machines avec des droits d’administrateurs et des accès à privilèges sur différents environnements et services. Microsoft en tant qu’éditeur et entreprise, fait d’ailleurs face à cette problématique.

    Pour répondre à ce besoin, Microsoft a développé Microsoft Dev Box, actuellement en Preview. Cette technologie est basée sur les investissements déjà réalisés par Microsoft au travers d’Azure Virtual Desktop (AVD) et Windows 365. Ce nouveau service permet aux équipes de développeurs de créer et maintenir des images dev box avec tous les outils et dépendances dont leurs développeurs ont besoin pour construire et exécuter leurs applications. Ceci permet donc de segmenter les environnements, les projets, etc. Les responsables des développeurs peuvent déployer instantanément la bonne taille de dev box pour des rôles spécifiques dans une équipe, partout dans le monde, en choisissant entre 4 vCPU / 16 Go et 32 vCPU / 128 Go pour s'adapter à toute taille d'application.

    Ces environnements peuvent être déployés dans la région Azure la plus proche et en se connectant via le réseau mondial Azure garantissant une expérience fluide et réactive avec des vitesses de connexion gigabit pour les développeurs du monde entier.

    La solution propose des concepts suivants afin de répondre aux différents enjeux des équipes de développement :

    • Centre de développement
    • Projets
    • Connectivités réseaux

    Les environnements Dev Box sont bien entendu gérables via Microsoft Endpoint Manager et propose aussi des notions de segmentations de sécurité via les droits RBAC mais aussi la capacité d’utiliser l’accès conditionnel pour valider les conditions d’accès.

    Plus d’informations sur : Announcing Microsoft Dev Box Preview | Blog Azure et mises à jour | Microsoft Azure

  • Microsoft nommé leader du Magic Quadrant 2022 sur l’Unified Endpoint Management

    Gartner vient de publier le résultat de l’étude 2022 sur l’Unified Endpoint Management (UEM). Microsoft creuse l’écart sur VMware et fait office de leader du marché. La capacité d’exécution est clairement mise en avant par Gartner. De l’autre côté, Ivanti (MobileIron) continue sa descente en oscillant entre visionnaires et Leader. VMware reste leader mais en fort retrait.

    Plusieurs éléments sont évalués : Les capacités sur la partie MDM, MAM, Identité Mobile, Gestion du contenu Mobile, et l’encapsulation. Microsoft a montré en moins d’un an des actions positives autour de l’Enterprise Mobility + Security (EMS), Office 365, les applications Office, Microsoft PurView, Information Protection, Azure Active Directory etc.

     

    Parmi les forces :

    • Natif de Microsoft : L'intégration profonde de la plateforme avec Azure AD, Defender for Endpoint et les suites de produits Microsoft 365 offre une sécurité et une expérience d'administrateur informatique améliorées. Les preuves de l'amélioration de la stabilité et des performances obtenues en remplaçant les plug-ins tiers par des solutions natives ne peuvent être ignorées.
    • Connecté au cloud : Les améliorations apportées à l’Hybrid Azure AD Join et à Tenant Attach ont accéléré l'adoption de la gestion cloud des appareils via la cogestion et la gestion moderne. La possibilité de migrer quand on est prêt est citée lors des évaluations des clients sur la plateforme Peer Insights de Gartner, dans les commentaires recueillis lors des interactions avec les clients et dans les discussions sur les médias sociaux. Cela est particulièrement vrai pour les organisations qui ne peuvent pas ou ne sont pas encore prêtes à adopter exclusivement la gestion moderne.
    • Stratégie produit : Avec la croissance de Microsoft 365, Endpoint Manager continue de dominer la part de marché de l'UEM. Les nouvelles fonctionnalités et les corrections sont classées par ordre de priorité en fonction de la demande des clients. Dans la continuité de la dynamique antérieure, la marque Endpoint Manager est devenue courante chez les clients, et Gartner observe qu'elle est largement et favorablement mentionnée dans les médias sociaux.

    Parmi les faiblesses :

    • Rapports : Les fonctionnalités de tableau de bord et de rapport sont basiques, avec des rapports préétablis limités par rapport aux produits concurrents. De nombreux clients signalent que la création de rapports personnalisés via l'intégration de Microsoft Graph est laborieuse et nécessite des compétences spécialisées pour être efficace.
    • Diversité des périphériques : Endpoint Manager ne dispose pas de capacités comparables pour gérer les périphériques Chrome OS et Linux. Le produit manque également de diversité de périphériques pour prendre en charge les cas d'utilisation spécialisés verticaux impliquant les wearables, les appareils de première ligne robustes et l'IoT.
    • Complexité : Malgré un investissement accru dans les cours Microsoft Learn, les guides de démarrage rapide, les vidéos " comment faire " et des conseils plus prescriptifs, les commentaires recueillis lors des interactions avec les clients révèlent qu'ils ont toujours du mal à suivre le rythme des changements. Les clients sous-estiment également les frais généraux nécessaires pour exploiter Configuration Manager et l'intégrer à Intune, Azure AD et AD On-Prem. Ceux qui ont migré depuis d'autres outils de gestion des clients sont également frustrés par le manque de capacités de correction des applications tierces et l'obligation d'acheter une solution tierce pour cette capacité.

    Vous pouvez accéder au rapport sur : Gartner Reprint

    Source : Microsoft is a Leader in 2022 Gartner Magic Quadrant for UEM - Microsoft Security Blog

  • Les bénéfices d’Unified Update Plaform arrivent enfin sur MECM/SCCM et WSUS

    Annoncé en 2016, l’Unified Update Platform (UUP) est un mécanisme d’évolution du système de mise à jour sousjacent permettant de prendre en compte de nombreux scénarios qui n’étaient pas pris en compte. Parmi les bénéfices, on retrouve : la réduction du poids de mise à jour, les mises à jour de build incluant le dernier niveau de mises à jour de sécurité, l’inclusion des fonctionnalités à la demande (FOD) ou les packs de langues, etc. UUP dans Windows 11 apporte aussi la réparation de corruption automatique, une réduction encore plus importante de la taille de téléchargement des mises à jour, etc.

    En 2019, Microsoft avait tenté une Private Preview avec une intégration dans WSUS et System Center Configuration Manager qui n’avait pas fonctionné de part l’implémentation réalisée et la lourdeur sur le catalogue Microsoft Updates.

    Cette fois, Microsoft revient avec nouvelle Private Preview qui devrait répondre aux problématiques.
    Pour cela, voici les prérequis :

    • Microsoft Endpoint Configuration Manager 2203 ou ultérieure. L’utilisation de la version 2111 est possible mais non recommandée.
    • Toutes les versions supportées de Windows Server Update Services (WSUS)

    Pour y participer, vous devez :

    1. Récupérer votre WSUS Server ID via
      • $server = Get-WsusServer
      • $config = $server.GetConfiguration()
      • $config.ServerId​
    2. Faire la demande sur en partageant le Server ID : https://aka.ms/UUPPrivatePreview
    3. Sur Microsoft Endpoint Configuration Manager, activer le téléchargement des mises à jour Delta via les paramétrages clients en naviguant dans Administration – Client Settings. Dans Software Updates, configurez “Allow clients to download delta content when available" à yes.
    4. Activer la synchronisation des mises à jour UUP en naviguant dans Administration – Site Configuration – Sites. Sélectionnez le site le plus haut dans la hiérarchie puis Configure Site Components – Software Update Point. Dans Products, activez Windows 11 UUP Preview.
      Dans Classifications, activez Security Updates et
    5. Procédez ensuite à la synchronisation des mises à jour sur le Software Update Point.

     

    Plus d’informations sur : Preview Unified Update Platform for on-premises update management - Microsoft Tech Community

  • [WUfB/MEM/Intune] Microsoft précise la roadmap du service de déploiement des mises à jour de drivers

    En novembre 2021, Microsoft annonçait un nouveau service de déploiement des mises à jour de drivers qui vient compléter Windows Updates for Business (WUfB). Après une longue phase de Private Preview, Microsoft précise aujourd’hui la roadmap (Public Previews, etc.) du service. Ce service est très prometteur car il permet de réaliser les mises à jour de firmwares et drivers dynamiquement. L’entreprise pourra valider les drivers que vous souhaitez proposer et déployer sur les machines.

    Cela ouvre de nombreux scénarios :

    • Déploiement de drivers et firmwares sur des postes gérés de manière moderne par Microsoft Endpoint Manager (MEM).
    • Déploiement de drivers et de firmwares sur des postes cogérés à la fois par Microsoft Endpoint Manager (MEM) et Microsoft Endpoint Configuration Manager (MECM) en contrôlant quel produit effectue :
      • Les mises à jour de sécurité
      • Les mises à jour de fonctionnalités
      • Les mises à jour de drivers et de firmwares
      • Les autres mises à jour

    Côté roadmap, on retrouve les échéances estimées suivantes :

    • Décembre 2022 :
      • Public Preview de Windows Update for Business deployment service
      • Public Preview du Reporting d’Update Compliance
    • Mars 2023 :
      • Public Preview de l’intégration avec Microsoft Endpoint Manager (Intune)

    Plus d’informations sur l’article et sur le processus : Deployment service for driver updates public preview coming soon - Microsoft Tech Community

  • [MECM 2203] Problème connu : Failed to check and load service signing certificate. System.ArgumentException: Mismatch certificate subject name

    Certains ont peut-être constaté un problème avec les actions clientes exécutées dans le centre d’administration de Microsoft Endpoint Manager (Intune) pour des machines gérées via la fonctionnalité Tenant-Attach de Microsoft Endpoint Configuration Manager (MECM / SCCM). Le problème concerne la version 2203. Il peut être présent depuis le 27 juillet 2022. Celui-ci n’est pas observable si vous avez mis à jour votre infrastructure Microsoft Endpoint Configuration Manager 2203 avec le Hotfix Rollup. En effet, la fonctionnalité utilisait un certificat public dont le nom de sujet comportait OU=Microsoft Corporation mais celui-ci était toujours spécifié en dur dans la base de données.

    Par conséquent, lorsque vous exécutez une action client à partir du centre d'administration de Microsoft Endpoint Manager, les composants Configuration Manager pour le tenant attach ne parviennent pas à se connecter au service cloud backend avec l'erreur suivante :

    Failed to check and load service signing certificate. System.ArgumentException: Mismatch certificate subject name

    En outre, vous pouvez voir les lignes suivantes dans le fichier CMGatewayNotificationWorker.log :

    Error occured when process notification with notification Id <notification Id>. Ignore the notification. SMS_SERVICE_CONNECTOR_CMGatewayNotificationWorker

    Exception details: SMS_SERVICE_CONNECTOR_CMGatewayNotificationWorker

    [Warning][CMGatewayNotificationWorker][0][System.IO.InvalidDataException][0x80131501]

    Failed to check and load service signing certificate. System.ArgumentException: Mismatch certificate subject name

    at Microsoft.ConfigurationManager.ManagedBase.CertificateUtility.ServiceCertificateUtility.VerifyCertificate(X509Certificate2 certificate, Boolean crlCheck, X509Chain& certificateChain, X509Certificate2Collection extraStore)

    at Microsoft.ConfigurationManager.ManagedBase.CertificateUtility.ServiceCertificateUtility.Reload()

    at Microsoft.ConfigurationManager.ManagedBase.CertificateUtility.ServiceCertificateUtility.Exists(String thumbprint)

    at Microsoft.ConfigurationManager.ServiceConnector.AccountOnboardingWorker.\<RefreshServiceSigningCertificateIfNotExistsAsync>d__19.MoveNext()

     

    Pour résoudre le problème, vous devez installer le hotfix rollup Configuration Manager version 2203 hotfix rollup.

    Si vous rencontrez le problème après l’installation du rollup, vous devez contacter le support Microsoft pour mitiger le problème via des actions manuelles sur la base de données.

     

    Source : Tenant attach components fail to connect to backend cloud service - Configuration Manager | Microsoft Docs

  • [MDO] Les nouveautés de juillet 2022 pour Microsoft Defender for Office 365

    Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

    Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

  • [Microsoft Defender] Problème sur les règles ASR bloquant des plugins Outlook

    Microsoft a communiqué à propos d’un problème qui survient depuis fin juillet pour des clients utilisant les règles de réduction de surface d’attaques (ASR) de Microsoft Defender Exploit Guard. J’ai moi-même quelques clients qui sont impactés. Le problème concerne principalement l’usage de plugins additionnels dans Microsoft Outlook. Ces derniers se retrouvent bloqués lors de leur utilisation.  La règle suivante semble concernée : Block executable content from email client and webmail.

    Vous pouvez identifier le problème dans l’historique de protection du centre de sécurité Defender ou via les requêtes Advanced Hunting de Microsoft Defender for Endpoint.

    Microsoft a corrigé le problème avec la version 1.373.383 ou une version ultérieure. Si vous rencontrez le problème, il est donc recommandé de forcer la mise à jour des définitions de Microsoft Defender.

     

    Source : Intune Support Team sur Twitter : "@MEMManager @msftsecurity @znackattack Thanks for the report! We’ve connected with our friends on the Microsoft Defender for Endpoint team and confirmed that a signature update will be rolled out over the next few hours to resolve this issue. ^MS" / Twitter

  • [Azure AD] Mise à jour (2.1.16.0) d’Azure Active Directory Connect (AADC) pour couvrir tous les scénarios de mise à jour automatique

    Microsoft vient de publier une mise à jour (2.1.16.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

    Pour rappel, Azure AD Connect v2.1.15.0 vient avec un mécanisme de mise à jour automatique de ses composants. Nombre d’entreprises ont constaté que le statut de mise à jour pouvant être suspendu/suspended via la commande Get-ADSyncAutoUpgrade. Jusqu’à la version 2.1.16.0 d’Azure AD Connect, il existait certains scénarios qui ne permettait pas d’être éligible à la mise à jour automatique et notamment lorsque le compte de service d’AADC était dans un format userPrincipalName.

    Dans tous les cas, que vous utilisiez la version 2.1.15.0 ou une version antérieure, il est recommandé de mettre à jour Azure AD Connect vers la version 2.1.16.0 pour que vous puissiez bénéficier des mises à jour automatique.


    Voici les changements qui étaient introduits par la version 2.1.15.0 :

    • Microsoft supprimé la fonctionnalité Public Preview pour l'agent d'administration d'Azure AD Connect. Microsoft ne fournira plus cette fonctionnalité à l'avenir.
    • Microsoft a ajouté la prise en charge de deux nouveaux attributs : employeeOrgDataCostCenter et employeeOrgDataDivision.
    • Microsoft a ajouté l'attribut CerificateUserIds au schéma statique de AAD Connector.
    • L'assistant d'AAD Connect s'interrompt désormais si l'autorisation d'écriture des journaux d'événements est manquante.
    • Microsoft a mis à jour les points de terminaison Health d'AADConnect pour prendre en charge les clouds USGov.
    • Microsoft a ajouté de nouveaux cmdlets "Get-ADSyncToolsDuplicateUsersSourceAnchor et Set-ADSyncToolsDuplicateUsersSourceAnchor" pour corriger les erreurs de masse "l'ancre source a changé". Lorsqu'une nouvelle forêt est ajoutée à AADConnect avec des objets utilisateurs dupliqués, les objets se heurtent à des erreurs de masse "source anchor has changed". Cela se produit en raison de l'incompatibilité entre msDsConsistencyGuid et ImmutableId. Vous trouverez plus d'informations sur ce module et les nouvelles cmdlets dans cet article.
    • Microsoft a corrigé un bug qui empêchait les mises à jour de localDB dans certaines Locales.
    • Microsoft a corrigé un bug qui empêchait la corruption de la base de données lors de l'utilisation de localDB.
    • Microsoft a ajouté les erreurs de dépassement de temps et de taille limite au journal des connexions.
    • Microsoft a corrigé un bug où, si le domaine enfant a un utilisateur avec le même nom que l'utilisateur du domaine parent qui se trouve être un administrateur d'entreprise, l'adhésion au groupe échouait.
    • Microsoft a mis à jour les expressions utilisées dans la règle "In from AAD - Group SOAInAAD" pour limiter l'attribut description à 448 caractères.
    • Microsoft a apporté une modification pour définir des droits étendus pour "Unexpire Password" pour Password Reset.
    • Microsoft a modifié la mise à niveau du connecteur AD pour rafraîchir le schéma - Microsoft ne montre plus les attributs construits et non répliqués dans l'assistant pendant la mise à niveau.
    • Microsoft a corrigé un bug dans les fonctions ADSyncConfig ConvertFQDNtoDN et ConvertDNtoFQDN - Si un utilisateur décide de définir des variables appelées '$dn' ou '$fqdn', ces variables ne seront plus utilisées dans la portée du script.
    • Microsoft a apporté les corrections suivantes en matière d'accessibilité :
      • Microsoft a corrigé un bug qui entraînait la perte de la mise au point pendant la navigation au clavier sur la page Domain and OU Filtering.
      • Microsoft a mis à jour le nom accessible du menu déroulant "Clear Runs".
      • Microsoft a corrigé un bug où l'info-bulle du bouton "Aide" n'est pas accessible par le clavier si on navigue avec les touches fléchées.
      • Microsoft a corrigé un bug où le soulignement des hyperliens était absent sur la page d'accueil de l'assistant.
      • Microsoft a corrigé un bug dans la boîte de dialogue "About" de Sync Service Manager où le lecteur d'écran n'annonce pas les informations sur les données apparaissant sous la boîte de dialogue "About".
      • Microsoft a corrigé un bug où le nom de l'agent de gestion n'était pas mentionné dans les journaux lorsqu'une erreur se produisait lors de la validation du nom de l'agent de gestion.
      • Microsoft a corrigé plusieurs problèmes d'accessibilité avec la navigation au clavier et les corrections du type de contrôle personnalisé. L'infobulle du bouton "help" ne se réduit pas en appuyant sur la touche "Esc". Il y avait un focus clavier illogique sur les boutons radio d'identification de l'utilisateur et un type de contrôle invalide sur les popups d'aide.
      • Microsoft a corrigé un problème où une étiquette vide provoquait une erreur d'accessibilité.

    Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

    Télécharger Microsoft Azure Active Directory Connect

  • [Desktop Analytics] Action Requise : Procédure pour déprovisionner l’environnement en vue de la fin du service

    Lancé il y a deux ans, Microsoft a annoncé il y a quelques mois, la fin du service Desktop Analytics pour le 30 novembre 2022. Desktop Analytics avait pour mission de réaliser l’évaluation de la compatibilité des machines (matériels, logiciels, drivers, etc.) avec les dernières versions de Windows. En outre, il permettait l’inventaire et la rationalisation des applications, en définissant la priorité et la compatibilité associée en fonction de la télémétrie. Il offrait aussi un mécanisme de suivi des mises à niveau de fonctionnalités (Builds Windows 10). Au fil du temps, Microsoft a investi plus massivement dans Endpoint Analytics. L’évaluation de la compatibilité avec Windows 11 est par exemple portée par ce dernier.

    C’est d’ailleurs la recommandation de Microsoft : Utiliser Endpoint Analytics et les rapports Intune (dont certains vont arriver dans les prochains mois) en lieu et place de Desktop Analytics. Ceci permet d’uniformiser la gestion que la machine soit cogérée, gérés uniquement via Intune ou remontée via la fonctionnalité tenant-attach.

    Ce billet s’attache à vous donner une procédure pour déprovisionner et fermer l’environnement en vue de la fin de service.

    Désactiver le service

    Il vous faut pour cela un compte Global Administrator.

    Commencez par ouvrir le portail Desktop Analytics. Naviguez dans Global Settings puis Connected Services. Choisissez ensuite Offboard.

    Notez que pendant les 90 prochains jours, tout administrateur de l’entreprise qui accède au portail Desktop Analytics verra un avis indiquant que vous avez choisi de vous désinscrire. Il peut toujours réactiver le service pendant 90 jours.

    Supprimer la solution

    Connectez-vous au portail Azure avec un compte Global Administrator. Cliquez sur More Services puis All resources

    Recherchez Microsoft365Analytics et identifiez la solution comprenant le nom du workspace. Sélectionnez la ressource et cliquez sur Delete :

    Validez que vous avez sélectionné la bonne ressource, confirmez la suppression en tapant Yes puis Delete.

    Note : si vous utilisez un Workspace Log Analytics uniquement pour Desktop Analytics, vous pouvez supprimer le Workspace Log Analytics dans son ensemble.

    Supprimer les utilisateurs et les accès à l’application

    Connectez-vous au portail Azure avec un compte Global Administrator. Naviguez dans Azure Active Directory puis Rôle and Administrators. Dans la liste des rôles, recherchez Desktop administrator puis videz les membres associés (éligibles ou permanents) :

     

    Naviguez ensuite dans les groupes et supprimez les membres des groupes suivants :

    • M365 Analytics Client Admins (Log Analytics Owners)
    • M365 Analytics Client Admins (Log Analytics Contributors)

     

    Naviguez ensuite dans Enterprise applications et sélectionnez MaLogAnalyticsReader.

    Dirigez-vous dans Properties et procédez à la suppression

     

    Vous pouvez aussi supprimer l’application ConfigMgr s’il n’est pas utilisée par un autre service (Cloud Management, Cloud Attach, Microsoft Store for Business, etc.).
    Vous pouvez l’identifier en naviguant dans la console d’administration et dans Administration – Cloud Services - Azure Services. Identifiez le service avec Desktop Analytics :

    Ouvrez ensuite les propriétés et identifiez le nom de la Web App.

    Connectez-vous au portail Azure avec un compte Global Administrator. Naviguez dans Azure Active Directory puis Enterprise Applications, ouvrez l’application en question. Dirigez-vous dans Properties et procédez à la suppression

     

    Déconnectez ConfigMgr

    Une fois l’application supprimée côté Azure AD, vous déconnectez ConfigMgr du service.
    Dans la console d’administration ConfigMgr, naviguez dans Administration – Cloud Services - Azure Services. Identifiez le service avec Desktop Analytics :

     

    Supprimez ensuite les collections de déploiements créées par le service. Dans la console d’administration ConfigMgr, naviguez dans Assets and Compliance puis Devices Collections. Supprimez les collections dans le dossier Deployment Plans et les dossiers associés.

     

    Reconfigurez les clients

    Vous pouvez:

    • Soit désenrôler les clients du service en supprimant les valeurs CommercialID des clés :
      • HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection
      • HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection
    • Soit réenrôler les clients et les associés à Endpoint Analytics ou Windows Analytics avec un nouveau commercialID

     

    Plus d’informations : How to close your account - Configuration Manager | Microsoft Docs

  • [Sécurité] Effets de bord sur la mise à jour de sécurité optionnelle (KB5012170) du Secure Boot

    Je vous en parlais, il y a quelques jours, Microsoft a publié une mise à jour (KB5012170) classifiée pour l’heure comme optionnelle qui permet de corriger une vulnérabilité touchant le Secure Boot. Les premiers retours montrent plusieurs effets de bord dont :

    • L’affichage au démarrage d’un écran de récupération lors de l’utilisation de BitLocker
    • Une erreur 0x800f0922 lors de l’installation de la mise à jour lors que le bootloader n’estp as valide.
    • Une impossibilité d’initier une rotation des clés de récupération BitLocker via des outils de gestion (tels que Microsoft Endpoint Manager / Intune)
    • Un changement de configuration pour certaines machines en passant du RAID à AHCI dans le firmware (à confirmer)

    Si vous souhaitez installer la mise à jour, on ne peut que vous recommander d’effectuer un déploiement graduel avec une phase de pilote bien établie.

  • Publication et mise à jour (juillet 2022) des outils Sysinternals

    Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

    • ZoomIt v6.01 :
      • Propose un outil d'agrandissement et d'annotation d'écran,
      • Ajoute l'enregistrement d'écran intégré pour faciliter les enregistrements de démonstration,
      • Prend désormais en charge la saisie Unicode
      • Corrige un bug dans la version 32 bit
    • BgInfo v4.31 :
      • Renvoie correctement les versions de Windows 11 et Windows Server 2022
      • Corrige un bug générant un crash dans la version 32 bit
    • ProcMon v3.91 :
      • Améliore les performances du filtrage de la liste des événements
      • Corrige une erreur de chargement de drivers ARM64
    • PsExec v2.40 ajoute une nouvelle option, -g, pour sélectionner le groupe de processeurs.
    • Sigcheck v2.90 prend désormais en charge les contrôles personnalisés des fichiers de la politique d'intégrité du code.
  • [Azure AD] Action Requise : Mettez à jour Azure AD Connect 1.x vers la version 2

    Il existe encore peu d’entreprises ou de clients qui utilisent la version 1.x d’Azure AD Connect mais si c’est votre cas, vous avez jusqu’à fin août 2022 pour le mettre à jour. Passé cette date, certains éléments ne fonctionneront plus :

    Plus d’informations sur : Upgrade to the latest version of Azure AD Connect before 31 August 2022 | Azure updates | Microsoft Azure

  • [MECM 2207] Microsoft Endpoint Configuration Manager 2207 est disponible

    Microsoft vient de mettre à disposition pour tous, la version finale (5.00.9088.1000) de Microsoft EndPoint Configuration Manager 2207. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 2103 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 2103.

     

    On retrouve seulement un seul problème connu sur la sauvegarde de paramétrages dans la console : Release notes - Configuration Manager | Microsoft Docs

    Microsoft Endpoint Configuration Manager 2207 comprend les nouveautés suivantes : 

    Administration

    • Lors de la configuration des services Azure, une nouvelle option appelée Administration Service Management est désormais ajoutée pour une sécurité renforcée. La sélection de cette option permet aux administrateurs de segmenter leurs privilèges d'administration entre la Cloud Management Gateway (CMG) et le service d'administration. En activant cette option, l'accès est limité aux seuls éléments du service d'administration. Les clients Configuration Manager s'authentifieront sur le site en utilisant Azure Active Directory.

    • Vous avez maintenant des options PowerShell qui permettent d’inclure et de préférer les Management Points de vos Cloud Management Gateway (CMG) pour les groupes de limites de site par défaut.

     Gestion attachée au Cloud (Cloud-attached Management)

    • Concernant la CMG, vous pouvez maintenant approuver les workflows de validation d’applications via les emails. Il suffit pour cela d’ajouter l’URL de la CMG dans l’application Azure Active Directory comme une page de redirection URI.

    Gestion des clients

    • Vous pouvez définir Script Exécution Timeout (seconds) lors de la configuration des paramétrages clients pour les paramétrages de conformité. Cette valeur de timeout peut être configurée de 60 à 600 Secondes et permet d’aller au-delà de la limite de 60 secondes par défaut pour les objets de configuration qui exécutent des scripts.

     

    Mises à jour logicielles

    • Vous pouvez maintenant définir un décalage/offset sur les fenêtres de maintenance planifiée afin de s’aligner avec le déploiement des mises à jour de sécurité mensuelle. Cela peut être par exemple le cas si vous souhaitez définir une fenêtre de maintenance deux jours après le Patch Tuesday.
    • Il est maintenant possible d’utiliser des dossiers pour organiser les règles de déploiement automatiques (ADR). Ces dossiers sont aussi supportés lors de l’utilisation de PowerShell.

     

    Protection

    • Il est maintenant possible de déployer de manière unifiée et automatique le nouveau client moderne Microsoft Defender for Endpoint pour Windows Server 2012 R2 et 2016. Vous pouvez donc utiliser les stratégies d’inscription (Onboarding policy) pour ce nouveau client en lieu et place du client Microsoft Monitoring Agent. Le choix se fait via les paramétrages du client :

    • Amélioration des stratégies Microsoft Defender Application Guard pour prendre en compte :
      • Renommage de Windows Defender Application Guard en Microsoft Defender Application Guard dans la console d’administration.
      • Dans la page General, vous pouvez activer l’isolation pour Windows et indépendamment pour Microsoft Edge.

      • Dans la page de paramétrage Application Behavior, vous pouvez activer ou désactiver les caméras et microphones ainsi que les certificats correspondants à une signature dans le conteneur isolé.

      • Microsoft a supprimé la stratégie de critère de confiance de fichiers dans la page File Management ainsi que l’option Enterprise sites can load non entreprise content dans la page Host Interaction.

     

    Console d’administration

    • Quand vous utilisez la barre de recherche, le critère Path est ajouté que des sous dossiers soient inclus ou non dans la recherche

    Plus d’informations sur cette version : What's new in version 2207 - Configuration Manager | Microsoft Docs

    Pour obtenir les éléments relatifs au processus de mise à jour : Updates and servicing - Configuration Manager | Microsoft Docs

  • [Sécurité] Microsoft produit une matrice des attaques touchant Azure et Azure AD

    Microsoft a annoncé la création d’une matrice Azure Threat Research Matrix proposant les techniques, tactiques ou procédures (TTPs) d’attaques relatives aux ressources Azure et Azure AD. Celle-ci reprend le principe de la base de connaissances MITRE ATT&CK et permet de :

    • Donner aux professionnels de la sécurité un cadre facile à consulter pour mieux visualiser les TTP dans Azure et Azure AD.
    • Sensibiliser les professionnels aux risques potentiels de configuration qui accompagnent Azure et Azure AD lorsqu'ils ne suivent pas les meilleures pratiques.

    Cette matrice donne accès à de nombreuses documentations qui peuvent parfois manquer dans MITRE ATT&CK et donne des détails comme :

    • Ressource : La ou les ressources que la technique affecte
    • Actions : Les actions de l'opération du fournisseur de ressources qui sont nécessaires pour utiliser la technique.
    • Exemples de commandes pour utiliser la technique, y compris l'utilisation du portail.
    • Toute détection potentielle
    • Ressources supplémentaires

    Accéder à Azure Threat Research Matrix (ATRM)

    Source : Introducing the Azure Threat Research Matrix - Microsoft Tech Community

  • [SCOM 2019/2022] Mise à jour du Management Pack (10.2.0.0) pour Microsoft 365

    Microsoft a publié un Management Pack (10.2.0.0) pour Microsoft 365 en version finale. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système. Il est à noter que cette version supporte System Center Operations Manager 2019 et 2022.

    Ce Management Pack permet de :

    • Surveiller de manière proactive le niveau de service fourni par les services Microsoft 365, notamment la messagerie, Teams et SharePoint (qui comprend OneDrive), en effectuant des transactions synthétiques sécurisées à l'aide de Graph API.
    • Superviser l'utilisation des licences Microsoft 365 et émettre une alerte lorsque l'utilisation répond à certains critères.
    • Monitorer les transactions de messagerie vers et depuis le serveur Exchange On-Prem.
    • Surveiller la santé des connexions entre divers sites et le service Microsoft 365.
    • Refléter les messages d'incidents, de centre de messages et de maintenance planifiée de Microsoft 365 pour l'abonnement dans les alertes de SCOM.
    • Visualiser l'état de santé des abonnements et les alertes correspondantes via les tableaux de bord et les vues d'alerte, y compris les tableaux de bord HTML5 (nécessite Operations Manager 2019).

    Cette version apporte les changements suivants :

    • Autoriser l'authentification par secret du client, par délégation ou par certificat.
    • Outil d'évaluation du réseau des équipes de support (S4B NAT fonctionne toujours).
    • Les seuils d'avertissement et de criticité des licences SKU sont désormais définis sous forme de nombres spécifiques plutôt que de pourcentages et sont définis sur une base par SKU plutôt qu'une valeur s'appliquant également à toutes les SKU.
    • La règle de collecte des performances du temps de réponse du bureau peut désormais tester les ports TCP (par exemple, HTTPS ou le port 443).
    • Correction de plusieurs bugs avec les alertes de Service Health signalées par les utilisateurs.
    • Correction de quelques problèmes d'accessibilité dans les tableaux de bord HTML5.
    • Ajout de Teams Chat à la transaction synthétique Teams (authentification déléguée uniquement).
    • Autoriser les Management Servers et les Gateways à être utilisés comme nœuds de surveillance (Watcher Nodes).
    • Ajout d'un moniteur pour les certificats utilisés dans les abonnements aux nœuds de surveillance. 

    Plus d’informations sur: SCOM MP for M365 - V3 (now GA) - Microsoft Tech Community

    Télécharger Microsoft System Center Operations Manager Management Pack for Microsoft 365

  • [SCM] Les baselines pour Microsoft Edge v104 disponibles en version finale

    Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v104. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations. Notez que la version 98 continue d’être la version recommandée par Microsoft.

    Cette version comprend 12 nouveaux paramétrages utilisateurs et 12 nouveaux paramétrages ordinateurs. Pour résumé, voici les nouveaux paramétrages :

    • Allow import of data from other browsers on each Microsoft Edge launch
    • Configure browser process code integrity guard setting
    • Define domains allowed to access Google Workspace
    • Double Click feature in Microsoft Edge enabled (only available in China)
    • Enable Drop feature in Microsoft Edge
    • Enables Microsoft Edge mini menu
    • Get user confirmation before closing a browser window with multiple tabs
    • Text prediction enabled by default
    • XFA support in native PDF reader enabled
    • Enables Microsoft Edge mini menu
    • Get user confirmation before closing a browser window with multiple tabs
    • Restrict the length of passwords that can be saved in the Password Manager

    Voici les différences avec la version 104 : https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-for-microsoft-edge-v104/ba-p/3593826?attachment-id=54381&WT.mc_id=EM-MVP-4028970

    Vous pouvez retirer la liste de toutes les stratégies sur : Microsoft Edge Browser Policy Documentation | Microsoft Docs

    Plus d’informations sur l’article suivant : Security baseline for Microsoft Edge v104 - Microsoft Tech Community

    Télécharger Security Compliance Toolkit

  • [MDC] Les nouveautés de juillet 2022 de Microsoft Defender for Cloud

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Disponibilité générale de l'agent de sécurité natif Cloud pour la protection de l'exécution de Kubernetes. L'équipe Defender for Containers a développé un agent de sécurité orienté Kubernetes. Le nouvel agent de sécurité est un Kubernetes DaemonSet, basé sur la technologie eBPF et est entièrement intégré aux clusters AKS dans le cadre du profil de sécurité AKS. L'activation de l'agent de sécurité est disponible via l'auto-provisionnement, le flux de recommandations, AKS RP ou en utilisant Azure Policy.
    • Preview de l’'évaluation de vulnérabilité de Defender for Container ajoutant le support pour la détection de paquets spécifiques à une langue. Cette fonctionnalité en Preview, n'est disponible que pour les images Linux.
    • Si vous avez activé Defender for Servers avec Vulnerability Assessment, vous pouvez utiliser un workbook pour identifier les ressources affectées par la vulnérabilité Operations Management CVE-2022-29149. Operations Management Suite (OMS) est une collection de services basés sur le cloud pour gérer les environnements sur site et dans le cloud à partir d'un seul endroit. Plutôt que de déployer et de gérer des ressources sur site, les composants OMS sont entièrement hébergés dans Azure. Log Analytics intégré à Azure HDInsight exécutant OMS version 13 nécessite un correctif pour remédier à CVE-2022-29149.
    • Defender for Cloud d’intègre à Microsoft Entra Permissions Management, la solution de gestion des droits d'accès à l'infrastructure Cloud (CIEM) qui offre une visibilité et un contrôle complets des autorisations pour toute identité et toute ressource dans Azure, AWS et GCP. Chaque abonnement Azure, compte AWS et projet GCP, montrera désormais une vue de l’indice Permission Creep Index (PCI).

     

    Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

  • [Sécurité] Une mise à jour optionnelle pour corriger une vulnérabilité dans le Secure Boot

    NOTE : Cette mise à jour semble provoquer des effets de bord. Pour plus d'informations, rendez-vous sur MicrosoftTouch

    A l’occasion du Patch Tuesday d’août, Microsoft a publié une mise à jour (KB5012170) classifiée pour l’heure comme optionnelle qui permet de corriger une vulnérabilité touchant le Secure Boot. Cette dernière est disponible via tous les canaux incluant WSUS/SCCM/MECM.

    La mise à jour s’applique à :

    • Windows Server 2012
    • Windows 8.1 and Windows Server 2012 R2
    • Windows 10, version 1507
    • Windows 10, version 1607 and Windows Server 2016
    • Windows 10, version 1809 and Windows Server 2019
    • Windows 10, version 20H2
    • Windows 10, version 21H1
    • Windows 10, version 21H2
    • Windows Server 2022
    • Windows 11, version 21H2 (original release)
    • Azure Stack HCI, version 1809
    • Azure Stack Data Box, version 1809 (ASDB)

    Il existe certaines considerations et problèmes connus décrits dans : KB5012170: Security update for Secure Boot DBX: August 9, 2022 (microsoft.com)

    Pour en apprendre plus, vous pouvez vous référer à :

  • [Microsoft Defender for Endpoint] Les nouveautés de juillet 2022

    Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

    • Amélioration des labs d'évaluation avec la capacité d’ajouter un contrôleur de domaine pour exécuter des scénarios complexes tels que des mouvements latéraux et des attaques en plusieurs étapes sur plusieurs périphériques.
      Note : Un seul contrôleur de domaine peut être actif à la fois. Le contrôleur de domaine restera actif tant qu'un périphérique actif y sera connecté.

    Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs