Je vous en parlais en janvier, l’équipe Exchange vient de publier le 14^ème Cumulative Update (CU14) pour Exchange Server 2019. C’est l’avant dernier CU pour Exchange Server 2019. Ce CU14 active notamment la protection étendue par défaut .

Il apporte les changements suivants :

• Support de .NET Framework 4.8.1 sur Windows Server 2022
• Correction du CVE-2024-21410
• 5035439 BlockModernAuth ne répond pas dans AuthenticationPolicy 
• 5035442Le service d'atténuation Exchange n'enregistre pas les mises à jour incrémentielles
• 5035443Les confirmations de lecture sont retournées si ActiveSyncSuppressReadReceipt a la valeur « True » dans Exchange Server 2019
• 5035444argumentnullexception lorsque vous essayez d'exécuter une recherche eDiscovery
• 5035446La distribution des ombres du carnet d'adresses en mode hors connexion échoue si l'autorisation héritée est bloquée
• 5035448MCDB échoue et entraîne un décalage de l'activation de copie
• 5035450Le programme d'installation d'Exchange 2019 installe une bibliothèque JQuery obsolète
• 5035452Les noms d'utilisateur ne sont pas affichés dans les ID d'événement 23 et 258 
• 5035453 Problèmes dans Exchange ou Teams lorsque vous essayez de déléguer des informations
• 5035455MSExchangeIS cesse de répondre et renvoie « System.NullReferenceExceptions » plusieurs fois par jour
• 5035456Erreur « Désérialisation bloquée à l'emplacement HaRpcError » et la réplication Exchange cesse de répondre
• 5035493 Les personnalisations du proxy FIP-FS sont désactivées après une mise à jour cumulative ou une mise à jour de sécurité
• 5035494 La pièce jointe moderne ne fonctionne pas lorsque le proxy web est utilisé dans Exchange Server 2019
• 5035495OWA affiche les opérations du courrier indésirable même si les rapports de courrier indésirable sont désactivés
• 5035497Impossible de modifier l'option Modifier les autorisations dans ECP
• 5035542 L'équipement distant et les boîtes aux lettres de salle peuvent désormais être gérés par le biais du CAE 
• 5035616 Échec des événements d'ouverture de session après la mise à jour de Windows Server
• 5035617Les règles de transport ne sont pas appliquées aux messages en plusieurs parties ni aux autres messages
• 5035689« High %Time in GC » et EWS ne répond pas

Microsoft a décidé de déplacement le support de TLS 1.3 au Cumulative Update 15 prévu pour la fin d’année.

Plus d’informations sur :

• Mise à jour cumulative 14 pour Exchange Server 2019 (KB5035606) - Support Microsoft
• Released: 2024 H1 Cumulative Update for Exchange Server - Microsoft Community Hub

Télécharger Cumulative Update 14 for Exchange Server 2019 (KB5035606)

Microsoft travaille actuellement à la simplification des points de terminaison (URLs) utilisés par les machines pour communiquer avec le service Microsoft Defender for Endpoint. Pour celles et ceux qui sont habitués, il existe un fichier Excel qui référence toutes les URLs selon les services et les types de plateformes. Microsoft est en train de réaliser les changements de service et d’agent permettant d’utiliser le domaine simplifié reconnu par Defender for Endpoint : *.endpoint.security.microsoft.com et ainsi remplacer les URLs existantes pour les services de base suivants de Defender for Endpoint :

• Cloud Protection/MAPS
• Stockage des échantillons de logiciels malveillants
• Stockage d'échantillons Auto-IR
• Defender for Endpoint Command & Control
• Cyberdonnées EDR

C’est une bonne nouvelle car la liste des URLs à ouvrir pouvait constituer une petite bataille avec les équipes réseaux/sécurité étant donné la longue liste fournie.

Pour bénéficier de cette nouvelle capacité, vous devez remplir les prérequis suivants :

• Système d’exploitations :
  • Windows 10 1809+
  • Windows 11
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2012 R2 et 2016 R2
  • macOS
  • Linux
• KB minimale pour la version SENSE: 10.8040.*/ March 8, 2022 ou plus
• Sur Windows, Microsoft Defender Antivirus :
  • Antimalware Client: 4.18.2211.5
  • Engine: 1.1.19900.2
  • Antivirus (Security Intelligence): 1.391.345.0
• Sur macOS/Linux : Microsoft Defender Antivirus
  • Version MDE 101.23102.*+

Microsoft a décrit la procédure pour migrer pour chacune des plateformes :

• Windows 10 et 11 : Possible avec le script local, par stratégie de groupes, avec Microsoft Intune, ou Microsoft Configuration Manager
• Windows Server : Possible avec Microsoft Configuration Manager, les stratégies de groupe. Defender for Cloud n’est pas encore supporté.
• macOS : Possible avec le script Local, Microsoft Intune, ou Jamf Pro
• Linux : Possible par le script local ou un outils de déploiement tiers (Puppet, Ansible, Chef)

Plus d’informations sur : Onboarding devices using streamlined connectivity for Microsoft Defender for Endpoint | Microsoft Learn

Android 15 est attendu pour le octobre2024. A partir de cette publication, Android 10 ou ultérieur sera un prérequis pour l’utilisation de Microsoft Intune dans les scénarios suivants :

• Android Enterprise personally owned with a work profile.
• Android Enterprise corporate owned work profile.
• Android Enterprise fully managed.
• Android Open Source Project (AOSP) basé sur l'utilisateur.
• Android Device administrator. Notez que Microsoft Intune met fin à la prise en charge de Device Admin sur les appareils avec GMS en août 2024.
• Stratégies de protection des applications (APP/MAM).
• Stratégies de configuration des applications pour les applications gérées.

Pour les scénarios qui ne seront plus supportés ci-dessus, les appareils Android fonctionnant sous Android 9 ou une version antérieure ne seront plus pris en charge. Pour les appareils fonctionnant avec des versions Android OS non prises en charge :

• L'assistance technique d'Intune ne sera plus assurée.
• Intune n'apportera plus de modifications pour résoudre les bugs ou les problèmes.
• Le fonctionnement des fonctionnalités nouvelles et existantes n'est pas garanti.

Seuls les scénarios suivants ne sont pas impactés :

• Android Enterprise dedicated devices : La prise en charge se poursuivra sur Android 8 ou une version ultérieure.
• AOSP sans utilisateur: Continuera à être pris en charge sur Android 8 ou une version ultérieure.
• Appareils Android certifiés Microsoft Teams : Sera pris en charge sur les versions répertoriées dans la documentation des appareils Android certifiés par Microsoft Teams.

Vérifiez vos rapports Intune pour voir quels périphériques ou utilisateurs peuvent être affectés. Pour les périphériques gérés en MDM, allez dans Devices > All devices et filtrez par OS. Pour les périphériques avec des stratégies de protection des applications, allez dans Apps > Monitor > App protection status > App Protection report: iOS, Android.

Vous pouvez configurer des conditions de lancement sur les stratégies de protection applicatives pour afficher un avertissement à l’utilisateur s’il utilise une version ancienne du système d’exploitation.

Plus d’informations sur : Intune moving to support Android 10 and later for user-based management methods in October 2024 - Microsoft Community Hub

Microsoft et SAP ont annoncé un partenariat notamment en vue de la fin de support de SAP Identity Management (SAP IDM) prévue pour 2027 et fin de support étendue pour 2030. Ainsi SAP et Microsoft propose de migrer vers Microsoft Entra ID. Les solutions Microsoft Entra ID et SAP sont déjà bien intégrées, ce qui en fait un choix logique pour les clients SAP.  Cette collaboration permet d'utiliser des services basés sur le cloud qui aident les organisations à intégrer efficacement des systèmes avec une gouvernance cohérente des identités et des accès, tout en éliminant la dépendance à l'égard des composants de gestion des identités et des accès sur site pour la gestion des identités. Microsoft supporte déjà l’intégration avec SAP SuccessFactors comme source de confiance.

Plus d’informations sur : Preparing for SAP Identity Management’s End-of-Mai... - SAP Community

Source : Microsoft and SAP collaborate to modernize identity for SAP customers - Microsoft Community Hub

Kijo Girardi (Microsoft) a publié un script PowerShell à destination de Microsoft Defender for Endpoint permettant de tester les différentes fonctionnalités que vous auriez pu configurer. L’outil appelé MDE Tester permet de tester notamment :

• Microsoft Defender SmartScreen
• Microsoft Defender Exploit Guard, Network Protection
• Les indicateurs d’URL de Microsoft Defender for Endpoint
• Le filtrage de contenu Web de Microsoft Defender for Endpoint

Accéder à l’outil sur GitHub - LearningKijo/MDEtester: MDE Tester is designed to help testing various features in Microsoft Defender for Endpoint.

Le 29 Janvier 2024, Microsoft annonçait la dépréciation de l’outil en ligne de commande WMI (WMIC). Cela signifie que Windows Management Instrumentation Command line (WMIC) sera désactivée par défaut dans les prochaines versions de Windows 11.

Depuis 2022, WMIC était présent comme fonctionnalité à la demande et activé par défaut.

Si votre application ou vos scripts dépendent de WMIC, vous devez procéder aux changements nécessaires. De nombreux administrateurs utilisaient parfois cette commande dans des scripts de déploiement (Applications, OS, etc.). L'outil WMIC est remplacé par Windows PowerShell pour WMI.

Vous pouvez obtenir plus d’informations sur cet article : WMI command line (WMIC) utility deprecation: Next steps | Windows IT Pro blog (microsoft.com)

Microsoft Intune propose une fonctionnalité permettant d’expédier et forcer l’installation de certaines mises à jour via le mécanisme des profils Quality updates for Windows 10 and later. Cette fonctionnalité requiert certaines prérequis. Jusqu'à présent, vous receviez des résumés de rapports post-déploiement pour les périphériques qui ne pouvaient pas être expédiés. Ceci était donc peu pratique surtout quand on souhaitait déployer une mise à jour de toute urgence pour des raisons de sécurité.

Il est maintenant possible d’obtenir les informations en pré-déploiement via le rapport Windows Update for Business. Vous devez pour cela :

• Créer un déploiement d’évaluation via la GraphAPI
• Assigner les périphériques à l’audience
• Utiliser le rapport Windows Update for Business pour consulter l’état

Plus d’informations sur : Device readiness checks for expedited Windows quality updates | Windows IT Pro blog (microsoft.com)

Microsoft a publié plusieurs ressources pour permettre d’accompagner la mise en service de Microsoft Teams Premium. Pour rappel, Teams Premium est un service additionnel en ajoutant des fonctionnalités supplémentaires pour rendre les réunions Teams encore plus personnalisées, intelligentes et sécurisées. Le service offre un mécanisme de récapitulatif intelligent de la réunion, de protection des réunions (étiquettes et marquage), etc.

Parmi les ressources fournies par Microsoft, on retrouve :

• Un guide de déploiement offrant des éléments pour couvrir :
  • Introduction et avantages
  • Visibilité des fonctionnalités
  • Cas d'utilisation
  • Des rôles supplémentaires sont nécessaires (par exemple, des personnes que vous devez faire venir pour confirmer ou activer).
  • Conditions préalables
  • Dépendances et limitations (par exemple, plateformes prises en charge, taille des images, etc.)
  • Conseils pour l'activation et l'adoption par l'utilisateur final - instructions étape par étape pour une mise en place réussie de la fonctionnalité.

• Un kit d’adoption offrant une cartographie des personnas et des cas d’usages.

Plus d’informations sur : Embarking on the Microsoft Teams Premium adoption journey - Microsoft Community Hub

Les utilisateurs du monde Open Source connaissent bien ce composant essentiel. Microsoft vient d’annoncer l’arrivée de Sudo pour Windows, un nouveau moyen pour les utilisateurs d'exécuter des commandes élevées directement à partir d'une session de console non élevée. Il s'agit d'une solution ergonomique et familière pour les utilisateurs qui souhaitent élever une commande sans avoir à ouvrir une nouvelle console élevée.

Il est disponible avec Windows 11 Insider Preview Build 26052

Cet outil est dirigé à destination des utilisateurs avertis comme des développeurs. Il peut être activé dans : Settings > For Developers puis en validant l’option “Enable Sudo”. Vous pouvez aussi l’activer en ligne de commande : sudo config --enable <configuration_option>.

Il vous suffit ensuite de lancer la commande :

sudo <commande à elever>
Par exemple : sudo netstat -ab.

Lors de l'élévation d'un processus à partir de la ligne de commande avec sudo, une boîte de dialogue UAC apparaît pour demander à l'utilisateur de confirmer l'élévation.

Dans les faits, le système marche comme suit :

Vous pouvez consulter la documentation de Sudo

Plus d’informations sur : Introducing Sudo for Windows! - Windows Command Line (microsoft.com)

Avec la mise à jour Windows du 10 mai 2022 (KB5014754), des changements ont été apportés au comportement du Kerberos Key Distribution (KDC) d'Active Directory dans Windows Server 2008 et les versions ultérieures afin d'atténuer les vulnérabilités d'élévation de privilèges associées à l'usurpation de certificat. Pour répondre aux problèmes de sécurité liés à l'usurpation de certificat, Windows a introduit des modifications au KDC qui exigent que les certificats pour un utilisateur ou un objet informatique soient fortement mappés à Active Directory. Ces modifications garantissent un processus de validation plus robuste lors de l'authentification basée sur un certificat.

L’équipe Intune a publié un article pour expliquer l'impact de ces modifications sur les certificats délivrés par Intune. Ce mois-ci, Microsoft a commencé à déployer une solution permettant de délivrer de manière transparente des certificats SCEP et PKCS dans Intune avec un mappage solide.

Concernant les profils SCEP, et les certificats manuels et hors ligne, qu'Intune utilise pour délivrer des certificats aux appareils, un nouveau mappage a été introduit. Il s'agit d'un URI basé sur une balise Subject Alternative Name (SAN) avec le format suivant.

URL=tag:microsoft.com,2022-09-14:sid:<value>

Lorsqu'un utilisateur ou un appareil présente un certificat pour l'authentification dans Active Directory, le KDC vérifie si les mappings requis sont présents pour vérifier si le certificat est fortement mappé et délivré à l'utilisateur ou à l'appareil spécifique.

La mappage fort est actuellement prise en charge pour :

• Windows 10
• Windows 11
• iOS
• macOS

Microsoft travaille pour rendre ceci supporté pour Android.

Concernant les profils PKCS, Microsoft travaille sur une implémentation et devrait communiquer prochainement à ce sujet.

Plus d’informations sur : Support tip: Implementing strong mapping in Microsoft Intune certificates - Microsoft Community Hub

En novembre dernier, Microsoft annonçait le déploiement automatique de règles d’accès conditonnel sur Microsoft Entra ID.  Cette annonce concerne tous les tenants pour des clients avec des licences Microsoft Entra ID P1/P2 (M365 E3/M365 E5/M365 Business Premium). Depuis plusieurs semaines, vous avez dû voir apparaître une à deux stratégies d’accès conditionnel qui sont configurés en mode Report-Only pour vous permettre d’évaluer l’impact et d’ajuster.  La période 90 jours en mode Report-Only touche à sa fin et les règles vont peu à peu passer en mode Activé entre février et mars selon la date de création des stratégies.

Il est donc primordial de s’y pencher ! Plusieurs options s’offrent à vous :

1. Vous avez déjà des règles d’accès conditionnel qui couvrent le même périmètre. Dans ce cas, vous pouvez les désactiver.
2. Vous souhaitez les utiliser. Dans ce cas, consultez les informations et adaptez les stratégies en ajoutant des exclusions pour par exemple le compte de synchronisation (Azure AD/Entra Connect) ou les comptes BreakTheGlass, etc.

Pour rappel, on retrouve trois stratégies possibles :

Plus d’informations sur : Auto Rollout of Conditional Access Policies in Microsoft Entra ID - Microsoft Community Hub & Deep Dive of Microsoft-managed Conditional Access Policies in Microsoft Entra ID - Microsoft Community Hub

Il y a un mois, je vous communiquais quelques bonnes pratiques pour la création des règles pour les groupes dynamiques. Aujourd’hui, Microsoft vient de publier un article sur les groupes dynamiques de Microsoft Entra ID (AAD) et notamment les propriétés qui ne sont pour l’instant pas indexées et optimisées pour le calcul. Les propriétés deviceOwnership et enrollmentProfileName ont été récemment indexées et des actions sont en cours pour indexer les propriétés suivantes afin d'améliorer l'efficacité du traitement des groupes dynamiques :

• deviceCategory
• deviceManagementAppId
• deviceManufacturer
• deviceModel
• deviceOSType
• deviceOSVersion
• devicePhysicalIds
• deviceTrustType
• isRooted
• managementType
• objectId
• profileType
• systemLabels

Plus d’informations : Support tip: Improving the efficiency of dynamic group processing with Microsoft Entra ID and Intune - Microsoft Community Hub

Les clients doivent migrer de l’agent Microsoft Monitoring Agent (MMA) vers Azure Monitoring Agent (AMA) avant août 2024. Cette annonce a eu lieu en 2021 pour plusieurs services et s’est généralisés au fil des mois. Aujourd’hui et parce que la date approche, je vous propose un article de Microsoft qui revient sur la procédure avec notamment :

• Transition vers l'agent Azure Monitor (AMA) lorsque vous utilisez l'agent Log Analytics (MMA/OMS).
• Qu'est-ce que l'agent MMA (également connu sous le nom d'OMS ou d'agent Log Analytics) ?
• Qu'est-ce que l'agent AMA ?
• Coexistence avec d'autres agents
• Quand devrais-je envisager d'utiliser l'agent MMA ou de migrer vers l'agent AMA ?
• Installation de l'agent
  • Création d'un DCR pour les machines Windows
  • Utilisation d'Azure Policy pour installer l'agent de surveillance Windows Azure (AMA)
  • Vérifier que la politique d'installation de l'agent AMA a été attribuée et créer une tâche de remédiation pour tous les serveurs Windows existants
  • Vérifier que la remédiation de l'installation de l'agent AMA de Windows a fonctionné
  • Utilisation d'Azure Policy pour installer la règle de collecte des données Windows
  • Vérifier que la politique DCR a été téléchargée et créer une tâche de remédiation pour tous les serveurs Windows existants
  • Création d'une DCR pour les machines Linux
  • Utilisation d'Azure Policy pour installer l'Azure Monitoring Agent Linux
  • Utilisation d'Azure Policy pour installer les règles de collecte de données Linux
  • Vérifier que les assignations de politiques ont été effectuées
• Installation de l'agent AMA et ajout de la définition DCR sur les hôtes Azure ARC
  • Utilisation de Azure Policy pour installer l'agent de surveillance Windows Azure pour Azure ARC
  • Utilisation de Azure Policy pour installer la règle de collecte de données Windows pour Azure ARC
  • Utilisation de la stratégie Azure pour installer l'agent de surveillance Linux pour Azure ARC
  • Utilisation de la stratégie Azure pour installer la règle de collecte de données Linux pour Azure ARC
• Vérifier que les agents communiquent avec Azure
  • Interroger la table Heartbeat
• Découvrir quels agents sont chargés et où
• Sources et emplacements des données AMA
• Passerelle OMS
• Suppression de l'agent MMA
• Références

Lire l’article : Migrating from the Azure MMA to AMA Agent - Microsoft Community Hub

Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

• ZoomIt v8.01 : Cette mise à jour de ZoomIt ajoute une nouvelle fonctionnalité appelée DemoType qui automatise la saisie. DemoType est une fonctionnalité ZoomIt qui vous permet de synthétiser les frappes à partir d'un script. Mettez en file d'attente les blocs de code ou les invites Copilot et envoyez-les aux fenêtres cibles lors d'une démo en direct. De plus, ZoomIt neutralise le formatage automatique spécifique à l'éditeur, permettant à un script d'être interchangeable entre les fenêtres cibles. La fonctionnalité propose trois modes :
  • Standard mode : Le comportement par défaut commence immédiatement à injecter des frappes dans la fenêtre cible en appuyant sur la touche de raccourci DemoType (par exemple Ctrl + 7). Aucune intervention de l'utilisateur n'est requise. ZoomIt s'exécutera simplement jusqu'à la fin du segment de texte actuel et quittera, rendant le contrôle à l'utilisateur.
  • User-driven mode : Vous pouvez sélectionner l’option permettant de piloter la saisie avec la saisie. Activez ce comportement dans la boîte de dialogue des options de ZoomIt. Une pression sur une touche utilisateur déclenchera un caractère de sortie dans un rapport d'injection de 1:1.
  • Input Script : Votre script peut provenir d'un fichier ou du presse-papiers. Pour utiliser le presse-papiers, vous devez mettre le mot-clé contrôle [start] au début de votre sélection. Ce préfixe de sécurité délibéré est destiné à vous empêcher de présenter involontairement des données sensibles dans le presse-papiers.

Plus d’informations sur : Make demo typing easy with DemoType in ZoomIt v8.0 - Microsoft Community Hub

• ProcDump 3.2 for Linux : Cette mise à jour suit les appels système mmap et munmap dans le cadre du suivi des fuites de ressources.
• Autoruns v14.11 : Cette mise à jour d'Autoruns corrige un bug lors de l'analyse des paramètres dans les éléments du dossier de démarrage.

Avec la disponibilité générale du nouveau client, Microsoft vient de publier un nouvel installeur en masse pour Microsoft Teams sur la plateforme Windows. Cet installeur propose différents scénarios comme :

• Le déploiement en ligne
• Le déploiement hors ligne via un package client MSIX
• La désinstallation en masse pour tous les niveaux d’installation (machine ou utilisateurs)

Plus d’informations via la documentation : Bulk deploy the new Microsoft Teams desktop client - Microsoft Teams | Microsoft Learn

Source : New Microsoft Teams bulk installer is now available for Windows - Microsoft Community Hub

L’équipe Defender a publié un billet visant à créer une formation complète sur Microsoft Defender Vulnerability Management allant jusqu’à un niveau d’expertise. Pour rappel, MDVM est un service de gestion des vulnérabilités qui vous aide à identifier, évaluer et atténuer les vulnérabilités dans votre environnement informatique. La solution s’intègre à Microsoft Defender for Endpoint et s’appuie sur les données collectées par Microsoft Defender for Endpoint pour vous permettre de prioriser les vulnérabilités en fonction de leur criticité, de leur impact et de leur exploitabilité, et de déployer des correctifs ou des mesures de contournement efficaces.

On retrouve notamment :

Module 1- Getting started

• What is Microsoft Defender Vulnerability Management
• Prerequisites & permissions 
• Supported operating systems, platforms and capabilities
• Compare Defender Vulnerability Management plans and capabilities
• Interactive Guide - Reduce organizational risk with Microsoft Defender Vulnerability Management
• Defender Vulnerability Management trial
• Defender Vulnerability Management add on trial
• Defender Vulnerability Management standalone trial
• Frequently asked questions
• What's new in Public Preview

Module 2 – Portal Orientation

• Onboard to Defender Vulnerability Management
• Dashboard overview
• Device inventory
• Software inventory
• Browser extensions assessment
• Certificate inventory
• Firmware and hardware assessment
• Authenticated scan 

Module 3 -Prioritization

• Vulnerabilities in my organization
• Exposure score 
• Microsoft Secure Score for Devices
• Assign device value
• Security recommendation
• Mitigate zero-day vulnerabilities

Module 4- Remediation

• Remediate vulnerabilities
• Request Remediation
• Create and view exceptions for security recommendations
• View remediation activities
• Block vulnerable applications

Module 5 - Posture and Compliance

• Microsoft Secure Score for Devices
• Security baselines assessment

Module 6 – Data access

• Hunt for exposed devices
• Vulnerable devices report
• Device health reporting in Defender for Endpoint
• Monthly security summary reporting in Defender for Endpoint
• API’s
• Export assessment methods and properties per device
• Export secure configuration assessment per device
• Export software inventory assessment per device
• Build your own custom reports

Vous pouvez ensuite verifier vos connaissances avec un test. 

Accéder à Become a Microsoft Defender Vulnerability Management Ninja - Microsoft Community Hub

Microsoft annonce la dépréciation de 4 Cmdlets qui font parties du module Exchange Online V3 à partir du 30 avril 2024 :

Search-AdminAuditLog doit être remplacée par Search-UnifiedAuditLog dans vos scripts ou commandes. Pour obtenir les mêmes résultats que Search-AdminAuditLog, vous devrez définir le paramètre RecordType à ExchangeAdmin. Ex : Search-UnifiedAuditLog -RecordType ExchangeAdmin -StartDate (Get-Date).AddDays(-30) -EndDate (Get-Date)

Search-MailboxAuditLog vous pouvez également le remplacer par Search-UnifiedAuditLog. Vous pouvez utiliser le module Exchange Online PowerShell V2 pour interroger le journal d'audit unifié sur les événements liés à Exchange. La cmdlet vous permet de filtrer les résultats par type d'enregistrement, plage de dates, utilisateur et opération. Ex : Search-UnifiedAuditLog -RecordType ExchangeItem -StartDate (Get-Date).AddDays(-30) -EndDate (Get-Date)

Pour New-MailboxAuditLogSearch et New-AdminAuditLogSearch, vous devrez utiliser le portail Microsoft Purview pour télécharger votre rapport d'audit. Le portail vous permet de spécifier les critères de recherche de votre journal d'audit, tels que la plage de dates, le type d'enregistrement, l'utilisateur et l'action. Vous pouvez également choisir de recevoir le rapport par courrier électronique ou de le télécharger directement à partir du portail.

Certaines sont parfois très utilisées chez certains clients.

Plus d’informations sur : Important Announcement: Deprecation of Search-AdminAuditLog and New-AdminAuditLogSearch cmdlets - Microsoft Community Hub

Microsoft a publié un problème concernant la mise à jour vers Windows 11 pour des périphériques Windows 10 éligibles. Après l'installation de la mise à jour KB5034203, certains appareils Windows 10 éligibles peuvent rencontrer une erreur 0xd0000034 lorsqu'ils tentent de passer à Windows 11 via Windows Update. Cette erreur n’empêche pas le fait de continuer à utiliser les appareils Windows 10.

Pour contourner ce problème, vous devez installer la mise à jour du 13 février 2024.

Microsoft vient de communiquer concernant un problème touchant les périphériques Windows 10 22H2 ou Windows 11 22H2/23H2 utilisant plus d'un moniteur. Ils peuvent rencontrer des problèmes de déplacement inattendu des icônes du bureau entre les moniteurs ou d'autres problèmes d'alignement des icônes lors de l'utilisation de Copilot dans Windows (Preview).

Pour éviter que les utilisateurs ne rencontrent ce problème, Microsoft a mis en place des mécanismes de prévention.

1. Il se peut que Copilot dans Windows ne soit pas disponible sur les appareils qui ont été utilisés ou qui sont actuellement utilisés dans une configuration à plusieurs moniteurs.
2. Il se peut également que vous ne puissiez pas mettre à jour vers Windows 11, version 23H2, car Microsoft a appliqué un blocage de compatibilité (Safeguard Hold) sur les appareils qui rencontrent ce problème.

Si votre organisation utilise les rapports Windows Update for Business, l'identifiant de compatibilité (Safeguard Hold) est 47615939.

Microsoft travaille sur une résolution de ce problème sur Windows 10, version 22H2 et fournira une mise à jour dans une prochaine version.

Ce problème a été résolu côté service pour Windows 11, version 23H2 sur les appareils avec des mises à jour publiées le 9 janvier 2024 ou plus. La mesure de compatibilité a été supprimée le 7 février 2024. Les appareils Windows 10 et Windows 11 éligibles qui ne font l'objet d'aucune autre mesure de sauvegarde devraient maintenant pouvoir être mis à niveau vers Windows 11, version 23H2. Veuillez noter qu'il peut s'écouler jusqu'à 48 heures avant que la mise à jour vers Windows 11, version 23H2 ne soit proposée. Le redémarrage de votre appareil peut aider à accélérer la mise à jour.

Microsoft a annoncé à l’occasion du Windows Server Summit le nom du nouveau système d’exploitation serveur. Windows Server 2025 apportera notamment les éléments suivants :

Général

• Patching à chaud (Hot Patching)
• On retrouvera une licence perpétuelle et un modèle “Pay-as-you-Go”
• Le Wi-Fi sera activé par défaut, à condition d’avoir du matériel compatible. 
• Introduction de
  • Local KDC : Un service Kerberos Key Distribution construit dans Windows, pas juste dans le contrôleur de domaine.
  • IAKerb : Un mécanisme de négociation Kerberos
• Dépréciation de Mailslots
• Mise à jour de Windows Server 2022 à Windows Server 2025 simplifiée via Windows Update
• Onboarding dans Azure Arc simplifié.
• Support de Microsoft 365 Apps durant la période de support principal.

Stockage

• Optimisation pour le stockage NVMe (70% plus d’IOPS)
• Amélioration des performances
• Utilisation plus faible du CPU
• NVMe-oF TCP initiator
• Amélioration des performances et des journaux pour Storage Replkica
• La compression Storage Replica est disponible dans toutes les éditions Windows Server
• Déduplication et Compression native pour ReFS.
• Désactivation de NTLM pour SMB
• SMB Signing est activé par défaut pour Windows Enterprise, Education et Pro ainsi que toutes les éditions de Windows

Failover Clustering

• Migration en direct des VMs basés sur des certificats
• Clusters Stretch Storage Spaces Direct S2D) entre deux sites
• Amélioration de la fiabilité et des performances de Cluster-Aware Updating (CAU)

Virtualisation

• Windows Server 2025 offre une meilleure prise en charge des GPU au travers d’Hyper-V via support GPU-P permettant la création de partitions GPUs.

Conteneurs

• Vous pouvez exécuter des images de conteneurs WS2022 sans avoir à mettre à jour l’image de base
• Réduction de la taille des images avec des couches incrémentielles plus petites
• Amélioration de la couverture de la compatibilité applicative pour Nano Server

Active Directory

• Un nouveau niveau fonctionnel Active Directory (Windows Server 2025)
• Les communications LDAP supporteront TLS 1.3 pour LDAP over TLS.
• Les protocoles historiques SAM-RPC seront bloqué par défaut.
• Support de NUMA pour Active Directory
• Les nouveaux contrôleurs de domaine sont installés avec une taille de page de 32K et utilisent des ID de valeur longue de 64 bits. (au lieu de 8k précédemment). La compatibilité avec la version précédente est maintenue car la taille de page de 32K est optionnelle. Un changement au niveau de la forêt est nécessaire pour l’utilisation de la taille de page de 32K ; dans ce cas l’ensemble des contrôleurs de domaine doivent être compatibles.
• Des compteurs de performance supplémentaires vont être ajoutés
• L’ensemble de collecteur de données de diagnostic Active Directory va être mis à jour.
• Ajout d'un mode RootDSE pour définir la priorité sur des liens de réplication spécifiques
• Les liens de réplication renforcés sont prioritaires dans la file d'attente de réplication
• Annonce de la dépréciation de NTLM.

Participer à la Private Preview !

Plus d’informations sur les nouveautés : What’s New in Windows Server v.Next (microsoft.com)

Source :  Introducing Windows Server 2025! - Microsoft Community Hub

Microsoft a annoncé l’intégration de Copilot pour Microsoft 365 dans l’expérience Copilot proposée directement dans Windows 11. Cela signifie que vous retrouvez une capacité de passer du mode Copilot pour le Web à Copilot pour Microsoft 365 directement depuis Copilot dans Windows.

Cette fonctionnalité se retrouve dans

• la recherche de Windows
• via le bouton Copilot
• ou avec Microsoft Edge

Source : Copilot for Microsoft 365 capabilities now available in the Windows desktop - Microsoft Community Hub

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Azure Active Directory, Permissions Management, etc.) en janvier 2024.

Microsoft apporte les nouveautés suivantes :

Microsoft Entra ID (Azure Active Directory)

• 24 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Boeing ToolBox, Kloud Connect Practice Management, トーニチ・ネクスタ・メイシ ( Tonichi Nexta Meishi ), Vinkey, Cognito Forms, Ocurus, Magister, eFlok, GoSkills, FortifyData, Toolsfactory platform, Briq, Mailosaur, Astro, JobDiva / Teams VOIP Integration, Colossyan SAML, CallTower Connect, Jellyfish, MetLife Legal Plans Member App, Navigo Cloud SAML, Delivery Scheduling Tool, Highspot for MS Teams, Reach 360, Fareharbor SAML SSO, HPE Aruba Networking EdgeConnect Orchestrator, Terranova Security Awareness Platform.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Personify Inc
  • Screensteps
  • WiggleDesk
• Public Preview des options avancées de l'authentification basée sur des certificats (CBA) dans l'accès conditionnel des options avancées de l'authentification basée sur des certificats (CBA) dans l'accès conditionnel permettant de définir l'accès aux ressources spécifiques sur la base des propriétés OIDs ou de l'émetteur du certificat.

• Public Preview de la prise en charge la synchronisation de l'attribut Manager entre les tenants via la synchronisation entre tenant.
• Public preview de nouvelle recommandation de Microsoft Entra pour migrer hors du MFA Server. MFA Server sera mis hors service le 30 septembre 2024. Tous les clients ayant eu une activité avec le serveur MFA au cours des sept derniers jours peuvent consulter la recommandation qui comprend des détails sur leur utilisation actuelle et les étapes à suivre pour passer à l'authentification multifactorielle Microsoft Entra.

Modifications de service

• Disponibilité Générale de la page d’accueil Microsoft Entra pour :
  • Se familiariser avec la suite de produits
  • Identifier les opportunités de maximiser la valeur des fonctionnalités
  • Restez au courant des annonces récentes, des nouvelles fonctionnalités, et plus encore !

Plus d’informations sur : What’s new Azure AD et What's new for Microsoft Entra Verified ID 

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, etc.).

On retrouve notamment :

Prévention de fuite de données (DLP)

• Le nom du contrôle des paramètres DLP a été changé de " Settings" à " Data loss prevention settings "
• Le contenu a été mis à jour pour couvrir les améliorations significatives qui ont été apportées à la personnalisation avancée et à l'aperçu des fonctions de notification par courriel de l'utilisateur final de DLP pour SharePoint, OneDrive et Exchange. Vous pouvez désormais :
  • Décider si les messages électroniques correspondants doivent être inclus ou exclus des courriels de notification à l'utilisateur final.
  • Utiliser les jetons de la bibliothèque de jetons étendue.
  • Personnaliser le nom d'affichage de l'expéditeur, l'objet et le corps du message.
  • Prévisualiser les notifications avant de les envoyer aux utilisateurs finaux.
• Preview : La prise en charge de deux nouvelles conditions a été ajoutée :
  • Document propery is
  • Document name contains words or phrases.

Gestion des risques internes

• Preview permettant d’utiliser les recommandations de l'analyse en temps réel pour ajuster efficacement la sélection des indicateurs et des seuils d'occurrence d'activité afin de ne pas avoir trop ou trop peu d'alertes de politique.

Communication Compliance

• Preview permettant de tester les conditions lors de la création ou de la modification d'une politique avant de la déployer dans l'ensemble de l'organisation.
• Mises à jour pour indiquer que les mail-enabled security groups sont désormais pris en charge.
• Mises à jour pour clarifier l'implication de choisir Inbound comme direction de communication pour les communications du canal Teams.

Gestion de la conformité

• Mise à jour de la documentation et notamment la notation de Compliance Manager afin de clarifier la manière dont les actions d'amélioration techniques et non techniques sont notées.

Data Map & Data Catalog

• Les types d’informations sensibles (SITs) sont maintenant disponibles en Preview dans Azure et pour les données tierces. Auparavant, les types d’informations sensibles n’étaient disponibles que pour les scénarios relatifs à M365. Grâce à cette nouvelle fonctionnalité, vous pourrez appliquer les SITs aux objets de données Azure et tiers manuellement ou automatiquement, et même pour des SITs personnalisés. Les étiquettes de sensibilité seront automatiquement dérivées des SITs. Microsoft met à disposition ces derniers pour les nouveaux clients Data Map. Les clients Data Map existants se verront proposés cette capacité plus tard.
• Microsoft annonce la prise en charge de plusieurs régions et de plusieurs réseaux virtuels pour les réseaux virtuels gérés. Managed Virtual Network (VNet) dans Microsoft Purview permet, lorsque votre tenant Microsoft Purview et/ou vos systèmes de données restreignent l'accès au réseau, d'exécuter l'analyse sur le Managed VNet Integration Runtime (IR) - un service entièrement géré par Purview - pour se connecter en toute sécurité à ces systèmes par le biais de points de terminaison privés. Cette nouvelle fonctionnalité permet de :
  • Créer (max. 5 réseaux virtuels gérés) dans différentes régions au sein d'un seul compte Purview
  • d'isoler le réseau au sein de leur propre organisation afin de résoudre les problèmes potentiels de résidence des données ou de performance de l'analyse.
• Microsoft Purview Data Map & Data Catalog supportent maintenant les zones de disponibilité (Availability Zones). On retrouve une prise en charge partielle des zones de disponibilité dans certaines régions et certains services. La prise en charge des zones de disponibilité devrait continuer à s'étendre à d'autres régions et services. Plus d’informations sur : Reliability in Microsoft Purview for governance experiences | Microsoft Learn
• L’analyse des tenants Fabric enregistrés avec des sources de données Fabric permet la capture des métadonnées des objets Fabric incluant Power BI depuis le 13 décembre 2023. Aucune étape de configuration supplémentaire n'est nécessaire pour activer l'analyse des éléments Fabric en dehors de Power BI pour les analyses existantes. Pour créer une nouvelle analyse, l'enregistrement d'un tenant Fabric et la configuration de l'analyse sont similaires à ceux du tenant Power BI et partagés par tous les éléments Fabric.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• Une nouvelle vue Identity Threat Detection and Response (ITDR) permet aux analyses de sécurité de focaliser sur les identités, les incidents, la posture de sécurité etc.
• Une nouvelle vue Intel Explorer qui améliore les capacités d'analyse de fichiers et d'URL (détonation) avec l'intégration de Microsoft Defender Threat Intelligence dans l'interface utilisateur de Defender XDR. Si MDTI ne renvoie aucun résultat lorsqu'un client recherche un fichier ou une URL, MDTI le détonera automatiquement pour améliorer la couverture de la recherche et enrichir le corpus de connaissances sur le paysage mondial des menaces. Voici comment cela fonctionne :
  • La demande de détonation pour le fichier ou l'URL recherché est traitée de manière asynchrone en arrière-plan dans la région des États-Unis.
  • Si l'utilisateur final ne bénéficie pas d'une réputation et de résultats de détonation au moment de la demande de recherche, une demande de recherche ultérieure pour la même entité est lancée en arrière-plan. Une demande de recherche ultérieure pour la même entité est lancée en arrière-plan.
  • Bien qu'il n'y ait pas d'accords de niveau de service fixes en ce qui concerne le volume et la disponibilité des résultats de détonation automatique, nous visons à fournir les résultats dans un délai de 2 heures, en fonction de la charge.

• "Defender Boxed" est de retour ! Pendant le mois de janvier, vous pouvez recevoir votre résumé SOC personnalisé via Defender Boxed. Allez sur le portail Defender et ouvrez la page des incidents.

• L'intégration des alertes de Microsoft Defender for Cloud avec Microsoft Defender XDR est maintenant disponible.
• Defender Experts for XDR vous permet désormais de recevoir des notifications de réponse gérée et des mises à jour à l'aide de Teams. Vous pouvez également discuter avec les experts Defender des incidents pour lesquels une réponse gérée a été émise.
• Le journal d'activité est désormais disponible sur la page d'un incident. Le journal d'activité permet de visualiser tous les audits et commentaires, et d'ajouter des commentaires au journal d'un incident.
• Microsoft offre une expérience de gestion des incidents plus personnalisée en ajoutant de nouvelles fonctionnalités à l'action "Gérer les incidents" de la page d'incident afin qu'ils puissent désormais assigner des incidents à des groupes de sécurité et modifier manuellement la gravité de l'incident.

• Microsoft introduit un ensemble de filtres dans la page qui améliorent la façon dont vous personnalisez votre file d'attente d'incidents dans Microsoft Defender XDR. Désormais, vous pouvez facilement rechercher des filtres spécifiques et enregistrer vos jeux de filtres fréquemment utilisés pour personnaliser votre expérience de réponse aux incidents.

• Grâce au nouveau journal d'activité des incidents, les analystes de la sécurité peuvent désormais documenter de manière exhaustive les étapes suivies lors de l'enquête sur un incident. De plus, au lieu de commentaires en texte simple, les analystes disposent désormais de commentaires en texte enrichi pour les incidents. Ils peuvent appliquer diverses options de formatage telles que le gras, l'italique, le soulignement, les puces, etc., ainsi qu'ajouter des liens et des images pour rendre leurs commentaires plus expressifs et informatifs. En outre, la fonction de synchronisation bidirectionnelle avec le journal d'activité de Microsoft Sentinel permet aux équipes SOC de bénéficier d'une intégration transparente des journaux et des commentaires.

• La fonction Go hunt est désormais disponible dans l’attack story de la page de l'incident permettant aux analystes de sécurité d'accéder à la fonction de chasse directement à partir du graphique de l'incident, offrant ainsi une vue d'ensemble bien organisée des données liées à l'incident, le tout dans le même onglet. Avec Go hunt, les analystes peuvent rapidement collecter plus de données sur diverses entités telles que les appareils, les IP, les URL et les fichiers.

• (Preview) L'historique des requêtes dans l’Advanced Hunting est désormais disponible. Vous pouvez désormais réexécuter ou affiner les requêtes que vous avez lancées récemment. Jusqu'à 30 requêtes effectuées au cours des 28 derniers jours peuvent être chargées dans le volet de l'historique des requêtes.

• (Preview) Des fonctions supplémentaires permettant d'approfondir les résultats de vos recherches dans le cadre d’Advanced Hunting sont désormais disponibles.

Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

Il y a tout juste un an, Microsoft annonçait un nouveau bundle de produit appelé Microsoft Intune Suite. Le service propose déjà Remote Help, Microsoft Tunnel for MAM, Endpoint Privilege Management (EPM), le support des périphériques spécialisés (Meta, etc.), la mise à jour Over-The-Air (Zebra).

Le 1^er février dernier, Microsoft ajoutait de nouveaux produits précédemment annoncés. On retrouve notamment :

Microsoft Intune Advanced Analytics

Intune Advanced Analytics offre une visibilité complète de l'expérience de l'utilisateur final dans l’entreprise et l'optimise grâce à des informations basées sur des données. Il comprend :

• Des données en temps quasi réel sur vos périphériques avec Device query,

• Une visibilité accrue avec des périmètres d'appareils personnalisés,

• Un rapport sur l'état de la batterie

• Une chronologie détaillée des appareils pour résoudre les problèmes,

• Une détection des anomalies pour aider à identifier les vulnérabilités ou les risques potentiels dans l'ensemble de votre parc d'appareils.

La solution est accessible via l’add-on individuel Intune Advanced Analytics (5USD/Mois/utilisateur) ou le bundle Intune Suite.

Microsoft Intune Enterprise Application Management

Ce service fournit un catalogue d'applications Win32 facilement accessible dans Intune. Vous pouvez ajouter ces applications à votre tenant en les sélectionnant dans Enterprise App Catalog. Lorsque vous ajoutez une application, les paramètres d'installation, de configuration requise et de détection par défaut sont automatiquement fournis. Vous pouvez également modifier ces paramètres. Intune héberge les applications dans le stockage Microsoft.

La solution est accessible via un add-on individuel Intune Enterprise Application Management (2USD/Mois/utilisateur) ou le bundle Intune Suite.

Microsoft Cloud PKI

La Cloud PKI de Microsoft permet de simplifier le déploiement de certificats sur les périphériques avec une architecture à deux niveaux et différents scénarios dont la capacité de provisionner une PKI complètement Cloud ou d’utiliser une autorité de certification racine pour créer l’autorité intermédiaire dans Microsoft Intune (BYOCA). Il n’est ainsi plus nécessaire de déployer de serveurs, la Cloud PKI est une solution SaaS qui gère pour vous le service de génération et de distribution de clés via le service NDES.

Vous pouvez obtenir plus d’informations sur ce service via la vidéo suivant : Tour d'horizon - Cloud PKI - Découvrez la Cloud PKI intégrée à Microsoft Intune (youtube.com)

La solution sera accessible via un add-on individuel Cloud PKI ou le bundle Intune Suite.

Source : The main components of the Microsoft Intune Suite are now generally available | Microsoft Security Blog