• [Office 365] Disponibilité Générale de la réponse automatisée aux incidents (Automated Incident Response) dans Office 365 ATP

    Microsoft a annoncé la disponibilité générale de la réponse automatisée aux incidents (Automated Incident Response) dans Office 365 ATP. Cette fonctionnalité permet d’initier automatiquement des playbooks ou des actions basées sur la levée d’alertes ou d’incidents. Ceci permet de réduire drastiquement le temps d’investigation et de réagir rapidement à des menaces.

    On retrouve deux types d’investigations :

    • Les investigations automatiques initiées par des alertes surviennent lorsqu’un utilisateur a renvoyée un email de phishing, lorsqu’un utilisateur clic sur un lien malicieux déterminé par détonation, ou lorsqu’un malware est détecté après la délivrance du message ou enfin lorsqu’une attaque de phishing est détectée après coup. La fonctionnalité est disponible avec Office 365 ATP Plan 2, Office 365 E5, Microsoft 365 E5 Security.
    • Les investigations manuelles qui suivent un playbook à partir de l’espace Threat Explorer.

    Plus d’informations sur : Automated incident response in Office 365 ATP now generally available

  • [AutoPilot] Quelques feedbacks et bizarreries de Windows AutoPilot et l’Enrollement Status Page partagés par Michael Niehaus

    Je me permets de repartager les informations de Michael Niehaus sur quelques bizarreries et feedbacks de Windows Autopilot. Pour rappel, Windows AutoPilot est l’équivalent du programme Apple Device Enrollment Program (DEP). Il permet de pré-provisionner des périphériques sans action particulière de la part de l’utilisateur. On peut donc acheter le périphérique et le faire livrer directement à l’utilisateur. Ce dernier le démarre et il se configure tout seul avec les éléments nécessaires pour l’entreprise.

    Voici un résumé des éléments partagés :

    • L’Enrollment Status Page (ESP) ne suit pas réellement les stratégies de configuration des périphériques. L’ESP affiche une sous-catégorie Security Policy qui affiche souvent 0 sur 1/1 sur 1. En réalité, cette étape est utilisée pour un tout autre but.  Si vous installez des applications, il est fort probable que les stratégies de configuration seront traitées et appliquées avant que l'ESP ne soit terminé.
    • Intune Management Extension :
      • L’Enrollment Status Page (ESP) ne traque pas les scripts PowerShell exécutés via l’Intune Management Extensions. Ils seront envoyés à la machine avec toutes les autres stratégies, Il se peut que certains s’exécutent si vous installez beaucoup d’applications mais sans garantie.
      • Les échecs d'installation des applications Win32 provoquent des timeouts sur l’ESP. Si vous installez une application Win32 via Intune Management Extensions et que cette installation échoue, généralement avec un code de retour inattendu, cette erreur n'est pas signalée par l'ESP. L’ESP finit par tomber en timeout
      • Les erreurs de règle de détection d'installation d'application Win32 provoquent des timeouts sur l’ESP. Si vous installez une application Win32 via Intune Management Extensions mais que vous n'avez pas les bonnes règles de détection, Intune Management Extensions supposera que l'application n'a pas réussi à s'installer et essaiera de l'installer à nouveau. 
    • Actuellement, Microsoft Intune cible les paramètres de l’Enrollment Status Page pour les utilisateurs, pas pour les périphériques. Mais il y a certains scénarios (par exemple, white glove, self-deploying mode) où il n'y a pas d'utilisateur.  Dans ces cas, l’Enrollment Status Page utilisera la stratégie par défaut. 
    • Certains scénarios de Windows Autopilot (p. ex. self-deploying mode, user-driven Hybrid Azure AD Join) échoueront avec une erreur d’enregistrement (80180005) si vous attribuez le profil Autopilot via le Microsoft Store for Business plutôt que via Intune.

    Plus d’informations sur : Windows Autopilot oddities

  • [Autopilot] Pourquoi vous devez utiliser la dernière mise à jour de Windows 10 1903 ?

    Michael Niehaus a réalisé un billet qui résume bien pourquoi il est primordial d’éviter d’utiliser la version initiale de Windows 10 1903 pour tester ou utiliser Windows Autopilot. Parmi les bugs résolus dans les derniers correctifs cumulatifs, on retrouve :

    KB4505903 (7D publiée en Juillet):

    • Le scénario Windows Autopilot White Glove ne fonctionne pas sur des machines avec un système d’exploitation non anglais. Dans ce cas, vous voyez un écran rouge final qui dit que l’opération a été réalisée avec succès.
    • Windows Autopilot renvoie des erreurs AUTOPILOTUPDATE lors de la phase post installation (OOBE) après un sysprep, une réinitialisation ou tout autre élément de ce type.
    • Le chiffrement BitLocker n’est pas correctement configuré via Windows Autopilot.
    • Il n’est pas possible d’installer d’applications universelles (UWP) à partir du Microsoft Store (de manière en ligne) engendrant ainsi des échecs lors de Windows Autopilot. C’est notamment le cas si le portail d’entreprise Intune fait partie des applications obligatoires lors de l’exécution de la page d’état d’enregistrement (ESP)
    • L’utilisateur n’obtient pas les droits d’administration lors de l’utilisation du scénario User-Driven Hybrid Azure AD Join. Ceci est encore lié à la langue du système d’exploitation non anglaise.

    KB4512941 (8D publiée fin août):

    • Windows Autopilot for existing devices ne supprime pas correctement la page "Activités" pendant la phase OOBE.
    • L'état d'attestation TPM n'est pas effacé par un sysprep /generalize, provoquant l'échec de l'attestation TPM lors d'une post installation OOBE ultérieure.  (Problème principalement rencontré avec des tests).
    • L'attestation TPM peut échouer si l'appareil possède un certificat AIK valide mais pas de certificat EK. 
    • Si l'attestation TPM échoue pendant le processus WIndows Autopilot White Glove, la page d'atterissage Windows Autopilot semble être suspendue.
    • L'attestation TPM échoue sur les nouvelles TPMs Infineon (version du firmware > 7.69).
    • Les modèles de nommage des périphériques peuvent tronquer le nom de l'ordinateur à 14 caractères au lieu de 15.
    • Les stratégies Assigned Access provoquent un redémarrage qui peut interférer avec la configuration des périphériques en mode kiosk à application unique.

    KB4517211 (9D Mise à jour attendue pour fin septembre) :

    • L'attestation TPM échoue sous Windows 10 1903 en raison d'une extension AKI manquante dans le certificat EK.

    Ainsi, il est recommandé d’utiliser les dernières images à jour à partir du portail MSDN ou d’injecter le dernier correctif cumulatif dans vos images.

    Source : https://oofhours.com/2019/09/15/windows-autopilot-known-issues-in-windows-10-1903/

  • Preview de Windows Admin Center 1909

    Microsoft vient de mettre à disposition la Preview en version 1909 de l’interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center. La disponibilité générale est attendue pour le mois prochain

    Parmi les nouveautés, on retrouve notamment

    • Dans la nouvelle expérience Ajouter une connexion, les machines virtuelles Azure sont maintenant un type de connexion de premier niveau. Cette fonctionnalité était auparavant sous l'onglet "Azure" lors de l'ajout d'un serveur. Lorsqu'un serveur est ajouté de cette façon, il apparaît dans la liste des connexions comme "Serveur (Azure VM)" afin que vous puissiez facilement voir lesquels de vos serveurs sont des VM Azure.
    • Les deux types de connexion distincts pour les hyper-converged clusters et les failover clusters ont été fusionnés en un seul type de connexion unifié. Les clusters peuvent être ajoutés en tant que "cluster de serveurs Windows" et les outils appropriés seront chargés et disponibles, principalement en fonction de l'activation ou non de Storage Spaces Direct. Les connexions cluster hyper-converged clusters et les connexions Failover Clusters ajoutées à partir des versions précédentes de Windows Admin Center seront automatiquement migrées vers le nouveau type de connexion cluster.
    • Plusieurs améliorations à Packetmon :
      • Nouvel assistant de dialogue de capture - les utilisateurs doivent suivre plusieurs étapes pour définir les conditions de capture : sélectionner des composants spécifiques, définir des filtres, choisir les paquets jetés/abandonnés ou tous les paquets.
      • Bouton Conditions de capture - ouvre une boîte de dialogue qui affiche les conditions utilisées pour créer la capture.
      • Bouton de redémarrage - réutilisez les mêmes conditions pour redémarrer la capture.
      • Boîte de dialogue Afficher les filtres - Filtrer davantage les résultats capturés
      • Bouton Enregistrer - pour enregistrer le journal capturé dans différents formats
      • La page de détails des paquets montre maintenant les noms réels des composants de la pile réseau
    • Première preview de l’extension IIS pour Windows Admin Center fournissant les outils de IIS Manager.
    • Disponibilité Générale (v1.2.11) de l’extension Lenovo XClarity Integrator.
    • L'extension BiitOps Changes est maintenant officiellement disponible pour permettre l'identification et le dépannage des incidents de serveur via le centre d'administration Windows afin d’obtenir un puissant aperçu graphique des modifications.

     

    Parmi les problèmes connus, on retrouve :

    • L'extension Dell EMC OpenManage Integration n'est pas compatible avec Windows Admin Center v1909 en raison d'un changement de dernière minute dans cette version et ne pourra être installée. Dell EMC sortira bientôt une nouvelle version.
    • Connexions de cluster - Lors de l'ajout d'une connexion de cluster, il est fait référence à la création d'un nouveau cluster, mais cette fonctionnalité n'est pas encore disponible.
    • Azure Monitor onboarding - Si vous gérez un serveur ou un cluster en utilisant des identifiants "manage as", l'intégration peut échouer.
    • Réseau - Si vous avez configuré un adaptateur réseau Azure, la valeur sous Microsoft Azure Virtual Network Gateway Address sera formatée comme un hyperlien mais conduira à une adresse invalide.
    • Les utilisateurs de Chrome peuvent voir la réponse 403 Forbidden après la mise à niveau. La solution consiste à fermer tous les onglets chrome ouverts (assurez-vous qu'aucun processus chrome.exe n'est en cours d'exécution). Après le redémarrage du chrome, tout fonctionnera normalement. Microsoft a un message d'erreur qui l'indique clairement, mais les utilisateurs de chrome avec plusieurs onglets Windows Admin Center ouverts pendant la mise à niveau ne verront pas le message.

     

     Télécharger Windows Admin Center Preview

  • [SCCM CB] Des rapports pour vous aider dans l’utilisation de Peer Cache

    Je souhaitais vous partager deux très bons rapports réalisés par Seth Price (PFE ConfigMgr) concernant la fonctionnalité P2P Peer Cache de System Center Configuration Manager. Ce sont des rapports que j’utilise parfois dans certains environnements. On retrouve :

    • PE Peer Cache Candidate Dashboard affiche une évaluation de chaque machine pour devenir un hôte Peer Cache. Les candidats sont des machines clientes, connectées en Ethernet avec 20 GB d’espace libre, et des stations de travail.
    • PE Peer Cache Enabled Client liste toutes les machines qui ont Peer Cache d’activé.

    Pour les utiliser, vous devez activer l’inventaire de certaines classes d’inventaire matériel et ajouter l’attribut OperatingSystem à la découverte des systèmes.

    Plus d’informations sur : Configuration Manager Peer Cache: Custom Reporting Examples

    Télécharger les rapports

  • [Azure] Mise à jour (Août 2019) de la liste des plages d’adresses IP des datacenters Microsoft Azure

    Microsoft vient de mettre à jour (août 2019) la liste des plages adresses IP utilisées pour ses différents Datacenters Microsoft Azure. Cette liste peut vous être utile pour configurer des exceptions firewall entre votre organisation et d’éventuelles machines présentes dans le cloud de Microsoft.

    Télécharger :

  • [MD ATP] Disponibilité Générale de l’agent pour Windows Server 2008 R2

    L’équipe Microsoft Defender Advanced Threat Protection (MD ATP) vient d’annoncer la disponibilité générale de l’agent EDR pour Windows Server 2008 R2. Pour rappel, Microsoft Defender Advanced Threat Protection est un service initialement inclus dans Windows 10 proposant une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting. Il offre des actions de réponse et une vision courante des attaques possibles. Il permet de répondre à des attaques comme celles de ransomwares, malwares, etc. Il inclut aussi un module de gestion des menaces et des vulnérabilités.

    L’agent pour Windows Server 2008 R2 s’intègre aussi avec Azure Security Center pour obtenir les informations dans ce produit provenant d’ATP.

    Plus d’informations sur : Microsoft Defender ATP EDR support for Windows Server 2008 R2 now generally available

  • [Windows 10] Le support Microsoft prend en charge les demandes pour les builds Windows 10 Insider

    Microsoft vient d’annoncer que les clients qui utilisent Windows Insiders for Business peuvent maintenant faire des demandes de support sans surcoût via Microsoft Support pour les Builds de Windows 10 dans les canaux lent (Slow Ring) et Release Preview. Ceci concerne notamment la prochaine version Windows 10 1909. C’est une grande nouvelle qui va peut-être convaincre plus d’entreprises de déployer de manière proactive les Builds Windows Insiders.

    Vous pouvez faire la demande via le formulaire suivant GET THE ONLINE SUPPORT REQUEST FORM

    1. Sélectionnez ensuite le produit Windows Client v1909 Release Preview – WIPfB

    1. Dans le détail du problème, entrez le titre suivant : [Nom de l’entreprise] New XXXX feature unusable after XXXX et spécifiez une description.
    2. Renseignez ensuite les pages Severity, Contact Information comme vous le souhaitez
    3. Validez l’ouverture dans la page de résumé.

    Plus d’informations sur : Microsoft Support now available for Windows 10 Insider Preview Builds

  • Mise à jour (1.4.18.0) d’Azure Active Directory Connect (AADC)

    Microsoft vient de publier une mise à jour (1.4.18.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

    La version n’est pour l’instant disponible que via le mécanisme de mise à niveau automatique.

    Notez qu’elle comprend une correction correspondant à un changement important (voir le dernier point de la liste).

    Cette version comprend les améliorations suivantes :

    • De nouveaux outils de dépannage permettent de dépanner les scénarios pour un "utilisateur non synchronisé", "groupe non synchronisé" ou "membre du groupe non synchronisé".
    • Support des Cloud souverains dans le script de dépannage AAD Connect
    • Les paramètres WMI obsolètes pour MIIS_Service ont été supprimés. Toutes les opérations WMI doivent maintenant être effectuées via des cmdlets PS.
    • Amélioration de la sécurité en réinitialisant la délégation restreinte sur l'objet AZUREADSSOACC
    • Lors de l'ajout ou de l'édition d'une règle de synchronisation, s'il y a des attributs utilisés dans la règle qui sont dans le schéma du connecteur mais non ajoutés au connecteur, les attributs sont automatiquement ajoutés au connecteur. Il en va de même pour le type d'objet affecté par la règle. Si quelque chose est ajouté au connecteur, le connecteur sera marqué pour une importation complète lors du prochain cycle de synchronisation.
    • L'utilisation d'un administrateur d'entreprise ou de domaine comme compte connecteur n'est plus supportée.
    • Dans le Gestionnaire de synchronisation, une synchronisation complète est exécutée lors de la création/modification/suppression de règles. Une fenêtre contextuelle apparaîtra lors de tout changement de règle avertissant l'utilisateur si l'importation complète ou la synchronisation complète doit être exécutée.
    • Ajout d'étapes d'atténuation des erreurs de mot de passe sur la page ‘connectors > properties > connectivity'.
    • Ajout d'un avertissement de dépréciation pour le gestionnaire de service de synchronisation sur la page des propriétés du connecteur. Cet avertissement avertit l'utilisateur que les modifications doivent être effectuées par l'intermédiaire de l'assistant AADC.
    • Ajout d'une nouvelle erreur pour les problèmes avec la stratégie de mot de passe d'un utilisateur.
    • Empêche la mauvaise configuration du filtrage de groupe par domaine et des filtres OU. Le filtrage de groupe affichera une erreur lorsque le domaine/OU du groupe saisi est déjà filtré et empêchera l'utilisateur d'avancer jusqu'à ce que le problème soit résolu.
    • Les utilisateurs ne peuvent plus créer de connecteur pour Active Directory Domain Services ou Windows Azure Active Directory dans l'ancienne interface utilisateur.
    • Correction de l'accessibilité des contrôles d'interface utilisateur personnalisés dans Sync Service Manager
    • Activation de six tâches de gestion de fédération pour toutes les méthodes de connexion dans Azure AD Connect. (Auparavant, seule la tâche "Update AD FS SSL certificat" était disponible pour toutes les connexions.)
    • Ajout d'un avertissement lors du changement de la méthode de connexion du mode fédération à PHS ou PTA afin d’avertir que tous les domaines et utilisateurs Azure AD seront convertis en authentification gérée.
    • Suppression des certificats de signature de jeton de la tâche "Reset Azure AD and AD FS trust" et ajout d'une sous-tâche séparée pour mettre à jour ces certificats.
    • Ajout d'une nouvelle tâche de gestion de la fédération appelée "Manage certificates" qui comporte des sous-tâches pour mettre à jour les certificats SSL ou de signature de jetons pour la ferme AD FS.
    • Ajout d'une nouvelle sous-tâche de gestion de fédération appelée "Specify primary server" qui permet aux administrateurs de spécifier un nouveau serveur primaire pour la ferme AD FS.
    • Ajout d'une nouvelle tâche de gestion de fédération appelée "Manage servers" qui a des sous-tâches pour déployer un serveur AD FS, déployer un serveur Web Application Proxy, et spécifier le serveur primaire.
    • Ajout d'une nouvelle tâche de gestion de la fédération appelée "View federation configuration" qui affiche les paramètres AD FS actuels. (En raison de cet ajout, les paramètres AD FS ont été supprimés de la page "Review your solution".).

    Cette version comprend les corrections suivantes :

    • Problème d'erreur de synchronisation résolu pour le scénario où un objet utilisateur prenant en charge son objet de contact correspondant a une auto-référence (par exemple, l'utilisateur est son propre manager).
    • Pour la mise à niveau automatique, si une application en conflit fonctionne depuis 6 heures, il l’arrête et continue la mise à niveau.
    • Limite le nombre d'attributs qu'un client peut sélectionner à 100 par objet lors de la sélection des extensions de répertoire. Ceci empêchera l'erreur de se produire pendant l'exportation car Azure a un maximum de 100 attributs d'extension par objet.
    • Correction d'un bug pour rendre le script AD Connectivity plus robuste
    • Correction d'un bug pour rendre l'installation d'AADConnect sur une machine utilisant un service WCF Named Pipes existant plus robuste.
    • Amélioration du diagnostic et du dépannage des stratégies de groupe qui ne permettent pas au service ADSync de démarrer lors de son installation initiale.
    • Correction d'un bug où le nom d'affichage d'un ordinateur Windows était mal écrit.
    • Correction d'un bug où le type d'OS pour un ordinateur Windows était écrit incorrectement.
    • Ajout de plusieurs nouvelles cmdlets (internes) au module ADSync PowerShell.
    • Correction d'un bug où les machines non-Windows 10 se synchronisaient de façon inattendue. Notez que l'effet de ce changement est que les machines non Windows 10 qui étaient précédemment synchronisés seront maintenant supprimés. Ceci n'affecte pas les fonctionnalités car la synchronisation des ordinateurs Windows n'est utilisée que pour le Hybrid Azure AD domain join, qui ne fonctionne que pour les machines Windows 10. Ce problème survenait par exemple lorsque la valeur de l'attribut userCertificate pour les périphériques non Windows 10 dans AD est renseignée. Ces périphériques dans Azure AD restent dans l'état "en attente" parce que ces versions d'OS n'ont pas été conçues pour être enregistrées avec Azure AD via AAD Sync. Dans cette version d'Azure AD Connect, AAD Sync cessera de synchroniser les ordinateurs Windows de versions antérieures avec Azure AD et supprimera également les périphériques Windows de versions antérieures précédemment mal synchronisés d'Azure AD. Veuillez noter que ce changement ne supprimera pas les périphériques Windows de versions antérieures qui ont été correctement enregistrés avec Azure AD en utilisant le package MSI. Ces périphériques continueront de fonctionner comme prévu aux fins de l'accès conditionnel basé sur les périphériques. Vous pouvez donc peut être constater qu’une partie ou la totalité des périphériques Windows de versions antérieures ont disparu d'Azure AD. Si vous voyez ces suppressions d'objets Ordinateur/Périphérique de versions antérieures dans Azure AD dépasser le Seuil de Suppression d'Exportation, il est conseillé d’autoriser ces suppressions.

    Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#14x0

    Télécharger Microsoft Azure Active Directory Connect

  • Microsoft Authenticator sur Android supporte la sauvegarde/restauration depuis le Cloud

    Voilà une bonne nouvelle qui risque de ravir nombre de personnes, l’application Android Microsoft Authenticator supporte la sauvegarde et la restauration depuis le Cloud. Ceci permet donc la sauvegarde des comptes/identifiants vers le Cloud et de les transférer facilement vers un nouveau périphérique.

    Vous devez pour cela :

    • Utiliser l’application en version 6.6.0 ou +.
    • Activer la sauvegarde dans les paramétrages de l’application
    • Lors de la réinstallation de l’application, sélectionnez l’option commencer la restauration/Begin Recovery.

    Plus d’informations sur Cloud backup and recovery for the Microsoft Authenticator app on Android now available

  • [SCCM CB] L’état du client Windows Defender de Windows Server 2019 n’est pas renvoyé

    Un problème touche Windows Defender Antivirus sur Windows Server 2019. En effet, le client ne renvoie pas les informations d’état à System Center Configuration Manager (Etat de protection, version, dernière mise à jour, etc.).

    Microsoft est au courant et travaille sur une mise à jour du client Windows Defender. Cette dernière devrait descendre automatiquement avec les mises à jour intelligente de sécurité/Mise à jour de définitions

    MISE A JOUR : Le problème sera corrigé dans la mise à jour de plateforme prévue en octobre 2019.

    Source : Twitter

  • [SCCM/WSUS] Les mises à jour de fonctionnalités Windows Insider vont pouvoir être déployées avec WSUS et System Center Configuration Manager

    Après l’annonce du support des Previews de Windows 10 1909 par le support Microsoft, Microsoft vient d’annoncer que les mises à jour de fonctionnalités (Builds) Windows Insider de Windows 10 vont être déployées dans le catalogue WSUS. Ceci permettra aux administrateurs de déployer ces mises à niveau sur des machines via à WSUS mais aussi à System Center Configuration Manager.

    Microsoft va publier des Builds Windows Insider issue du canal lent (Slow Ring) avec une cadence mensuelle.

    Ainsi la catégorie de produits Windows Insider Pre-Release a été ajoutée. Vous pouvez l’activer ainsi que la classification Upgrades pour voir apparaître les mises à niveau Windows Insider.

    Dans Configuration Manager, les mises à jour apparaissent ensuite dans la partie Software Library > Overview > Windows 10 Servicing > All Windows 10 Updates

     

    Source : https://techcommunity.microsoft.com/t5/Windows-IT-Pro-Blog/Publishing-pre-release-Windows-10-feature-updates-to-WSUS/ba-p/845054

  • [Intune] Disponibilité Générale de la gestion d’Android Enterprise Fully Managed (COBO)

    Microsoft vient d’annoncer la disponibilité générale de la gestion des périphériques Android Enterprise dans un mode Fully Managed (COBO) par Microsoft Intune. Les périphériques Android Enterprise entièrement gérés sont des périphériques de l’entreprise associés à un seul utilisateur et utilisées exclusivement à des fins professionnelles (COBO). Les administrateurs peuvent gérer entièrement l’appareil et appliquer des contrôles de stratégie non disponibles dans les profils professionnels.

    Microsoft Intune offre les fonctionnalités suivantes pour les périphériques Android Enterprise Fully Managed :

    • Enregistrement du périphérique via l’une des méthodes suivantes :
      • Enregistrement via KNOX Mobile Enrollment
      • NFC
      • QR Code
      • Renseignement d’un Token
      • Enregistrement Zero Touch
    • Support des stratégies d’authentification à facteurs multiples (MFA) définies par l’entreprise
    • Inventaire des périphériques
    • Actions à distance sur le périphérique (Effacement, etc.)
    • Déploiement d’applications métiers ou issues du Managed Google Play Store
    • Déploiement de liens Web
    • Choix des applications systèmes activées
    • Stratégie de configuration des applications
    • Déploiement et configuration du Launcher Microsoft
    • Configuration du périphérique
    • Support d’OEMConfig pour la configuration avancée spécifique aux fabricants OEM.
    • Déploiement de profil Wi-Fi
    • Déploiement de profil VPN
    • Déploiement de certificats
      • PKCS
      • SCEP
      • Certificats racines
    • Gestion de la conformité dont le support des solutions Mobile Threat Defense (MTD)
    • Stratégies de protection des applications (APP/MAM)

    Les appareils doivent respecter les exigences suivantes pour pouvoir être gérés en tant que périphérique Android Enterprise entièrement gérés :

    • Système d’exploitation : Android version 5.1 et ultérieures.
    • Les appareils doivent exécuter une build d’Android disposant d’une connectivité à GMS (Google Mobile Services). Les appareils doivent avoir accès à GMS et doivent pouvoir s’y connecter. Aucune restriction ne vise le fabricant de l’appareil/OEM si les exigences ci-dessus sont remplies.

    Note : si vous demandez de l'authentification à facteurs multiples (MFA) pour réaliser l'enregistrement d'un périphérique, le mode Fully Managed ne donne pas accès à l'application Microsoft Authenticator ni la capacité de recevoir un appel ou un SMS. L'utilisateur devra donc réaliser cette opération avec une méthode différente (un autre périphérique, etc.)

    Plus d’informations sur : https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Microsoft-Intune-support-for-Android-Enterprise-fully-managed/ba-p/862232

  • [Intune] Importante maintenance planifiée et actions nécessaires pour Microsoft Intune

    L’équipe du support Microsoft Intune a publié un message dans le Centre de Messages Microsoft 365 pour prévenir d’une maintenance planifiée engendrant une période d’indisponibilité. Cette dernière aura lieu d’ici la fin du mois. Durant cette maintenance, Microsoft apportera des améliorations afin d'intégrer la résilience à la reprise après sinistre dans l’infrastructure. Il s'agit d'une première étape vers l'amélioration de la résilience de Microsoft Intune face aux pannes d'un seul datacenter.

    Pendant ce temps d'arrêt, vous pourrez vous connecter au portail Intune mais vous ne pourrez pas faire de changements. Microsoft recommande de ne pas se connecter à Intune pendant les temps d'arrêt, car les données et les rapports peuvent ne pas être affichés correctement. Les utilisateurs finaux ne pourront pas accéder au Portail d'entreprise ou enregistrer leur périphérique pendant cette période.

     Si vous avez configuré des exceptions sur votre pare-feu, elles devront être modifiées pour inclure les nouvelles adresses IP si vous n’utilisez pas les noms de domaine pour vos exceptions.

    Microsoft informera les entreprises via des messages dans le Centre de Messages Microsoft 365, 5 jours avant la maintenance. Cette maintenance sera planifiée en dehors des heures ouvrées, afin de minimiser tout impact sur les entreprises.

  • [Autopilot] Michael Niehaus répond à vos questions [Septembre 2019]

    Michael Niehaus (MSFT) tient maintenant un rendez-vous mensuel pour vous permettre de répondre à vos questions sur Windows Autopilot. Le prochain rendez-vous aura lieu le jeudi 26 septembre à 17h00 (heure française).

    Pour rejoindre la réunion, vous devez utiliser Microsoft Teams

    Source : https://oofhours.com/2019/09/21/time-for-another-qa-session/

  • Disponibilité Générale d’Azure Sentinel : la SIEM en mode SaaS de Microsoft

    Microsoft vient d’annoncer la disponibilité générale de Microsoft Azure Sentinel. Pour rappel Azure Sentinel est une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel, une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.

    Azure Sentinel propose un modèle de coût basé sur ce que vous consommez. Ainsi, vous payez au GB ingéré et analysé par le service. Le prix sur la région West Europe est de 2,20€/GB. Vous pouvez obtenir des prix dégressifs en faisant appel à des réservations. Vous pouvez obtenir plus de détails sur le calculateur de prix.

    Microsoft propose un WebCast sur Azure Sentinel le 26 septembre de 20h à 21h (heure française).

    Plus d’informations sur : https://www.microsoft.com/security/blog/2019/09/24/azure-sentinel-cloud-native-siem-empowers-defenders-generally-available/

    Essayez gratuitement Azure Sentinel

  • [AIP] Nouvelle version (2.2.21.0) du client Unified Labeling d’Azure Information Protection

    Microsoft a publié une nouvelle version (2.2.21.0) du client Unified Labeling d’Azure Information Protection. Cette version apporte les éléments suivants :

    • Lorsque vous utilisez le paramètre avancé OutlookDefaultLabel pour définir un label par défaut différent pour Outlook, et que le label que vous spécifiez n'a pas de sous-label pour la stratégie de labelisation, le label est correctement appliqué.
    • Lorsque le client Azure Information Protection est utilisé dans une application Office, un utilisateur possédant un compte Active Directory qui n'est pas configuré avec du SSO est invité à s'authentifier pour Azure Information Protection. Une fois l'authentification réussie, le statut du client passe correctement en ligne, ce qui permet la fonctionnalité de labelisation.

    Le client Unified Labeling couvre pour l’instant les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

    Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

    Plus d’informations sur la version du client AIP Unified Labeling

    Cette version est disponible aussi dans le catalogue Microsoft Update.

    Télécharger Azure Information Protection unified labeling client

  • [Intune] Les nouveautés de mi-septembre 2019

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Pour l’arrivée d’iPadOS, vous devez revoir vos éventuelles stratégies d’accès conditionnelle.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [Général] Le portail de l'entreprise est en cours de mise à jour. Vous pourrez utiliser plusieurs filtres sur la page Apps du Portail d'entreprise. La page Détails du périphérique est également en cours de mise à jour afin d'améliorer l'expérience de l'utilisateur.
    • [Android] Les nouveaux tenants (les tenants existants ne sont pas impactés) auront Android Enterprise activé par défaut en lieu et place d’Android Device Administrator (Legacy). Cette configuration peut être réactivée en allant dans : Intune > Device enrollment > Android enrollment > Personal and corporate-owned devices with device administration privileges > Use device administrator to manage devices.
    • [Android Enterprise] Mise à jour de l’application Microsoft Intune pour Android Enterprise Fully Managed (COBO) afin d’inclure :
      • Mise à jour et amélioration de la mise en page pour inclure la navigation en bas pour les actions les plus importantes.
      • Ajout d'une page supplémentaire qui affiche le profil de l'utilisateur.
      • Ajout de l'affichage des notifications dans l'application, telles que la nécessité de mettre à jour les paramètres de l'appareil.
      • Ajout de l'affichage des notifications poussées personnalisées, alignant l'application avec le support récemment ajouté dans l'application Portail d'entreprise pour iOS et Android.
    • [iOS/macOS} Vous pouvez maintenant voir une liste des périphériques Apple Automated Device Enrollment Program (DEP) qui sont associés à un profil en naviguant dans Intune > Device enrollment > Apple enrollment > Enrollment program tokens > choisir un token > Profiles > choisir un profil > Assigned devices (sous Monitor).

    • [iOS] Vous pouvez personnaliser l’écran de confidentialité lors du processus d’enregistrement dans le portail d’entreprise. Plus précisément, vous pourrez personnaliser la liste des éléments que votre entreprise ne peut pas voir ou faire sur l'appareil.  

     

    Gestion du périphérique

    • [Général] Vous pouvez maintenant sélectionner un seul périphérique, puis utiliser une action de périphérique distant pour envoyer une notification personnalisée uniquement à ce périphérique.

    • [iOS] Microsoft Intune supporte iOS 13.
    • [macOS] Microsoft Intune supporte macOS 10.15.
    • [Android Enterprise] Disponibilité Générale de la gestion des périphériques Android Enterprise dans un mode Fully Managed (COBO).
    • [Android Enterprise] Comme pour le mode Work Profile, Le déploiement des certificats SCEP est supporté pour les périphériques Android Enterprise Fully Managed (COBO). Ces profils peuvent être utilisés pour l’authentification via des profils Wi-Fi, VPN, Email.

    • [Android Enterprise] Il est maintenant possible de choisir les applications systèmes activées pour les périphériques Android Enterprise Fully Managed (COBO). Ceci peut être réalisé en naviguant dans Client apps > Apps > Add. Dans la liste des types d’application, selectionnez Android Enterprise system app.

    • [Android Enterprise] Vous pouvez créer une stratégie de conformité qui comprend le niveau d’attestation Google SafetyNet pour les Android Enterprise Fully Managed (COBO).
    • [Android Enterprise] Les fournisseurs Mobile Threat Defense (MTD) sont supportés par Android Enterprise Fully Managed (COBO). Ceci vous permet de spécifier le niveau de menaces accepté dans les stratégies de conformité.

    • [Android Enterprise] L'application Microsoft Launcher peut maintenant être configurée via des stratégies de protection d'applications pour permettre une expérience utilisateur standardisée sur des périphériques Fully Managed. L'application Microsoft Launcher peut être utilisée pour personnaliser le périphérique Android.

    • [iOS] Le mode User Enrollment est un nouveau type d'inscription pour les périphériques Apple. Dans ce mode, les actions à distance : Effacement (Wipe) et Réinitialiser du code PIN ne seront pas disponibles pour ces périphériques.

     

    Configuration du périphérique

    • [Général] Mise à jour de l’interface de configuration du connecteur Exchange On-Premises pour mettre tous les contrôles au même endroit.

    • [Android Enterprise] Autoriser ou restreindre l'ajout de widgets applicatifs à l'écran d'accueil sur les périphériques Android Enterprise Work Profile. Ceci peut se faire en naviguant dans Device configuration > Profiles > Create profile > Android Enterprise comme plateforme > Work profile only > Device restrictions pour type de profile.

    • [iOS/macOS] Device features, device restrictions, et extension profiles pour les paramètres iOS et macOS sont affichés par type d’enregistrement. On retrouve la séparation suivante :
      • iOS
        • User enrollment
        • Device enrollment
        • Automated device enrollment (supervised)
        • All enrollment types
      • macOS
        • User approved
        • Device enrollment
        • Automated device enrollment
        • All enrollment types

    • [iOS/macOS] il y a de nouveaux paramètres Single Sign-On pour les périphériques iOS 13+ et macOS 15 (Device configuration > Profiles > Create profile > iOS ou macOS pour plateforme > Device features comme type de profile). Ces paramètres configurent le SSO, en particulier pour les applications et les sites Web qui utilisent l'authentification Kerberos. Vous pouvez choisir entre une extension d'application d'authentification unique générique et l'extension Kerberos intégrée d'Apple.

    • [iOS] Vous pouvez créer des profils VPN pour le client VPN natif iOS en utilisant le protocole IKEv2. Ces profils VPN configurent le client VPN natif, de sorte qu'aucune application client VPN n'est installée ou poussée vers des périphériques gérés. Cette fonction nécessite que les périphériques soient enregistrés dans Intune (inscription MDM). Ceci peut se faire en naviguant dans Device configuration > Profiles > Create profile > iOS comme plateforme > VPN pour type de profile > Connection Type.

    • [iOS] Nouveaux paramètres de commande vocale pour les périphériques iOS 13.x ou ultérieurs supervisés fonctionnant en mode kiosque.

    • [iOS] Intune vous permet déjà de créer des stratégies pour afficher ou masquer les applications sur vos périphériques iOS supervisés dans Device configuration > Profiles > Create profile > iOS pour plateforme > Device restrictions comme type de profile > Show or hide apps. Vous pouviez entrer l'URL de l'App Store d'iTunes. Dans cette mise à jour, les applications et itunes peuvent être utilisées dans l'URL, par exemple :
      • https://itunes.apple.com/us/app/work-folders/id950878067?mt=8
      • https://apps.apple.com/us/app/work-folders/id950878067?mt=8
    • [macOS] Associer des domaines aux applications sur macOS 10.15+ pour contrôler le partage des informations d'identification avec les sites Web liés à votre application et pour être utilisées avec l'extension de SSO, les liens universels et le remplissage automatique de mot de passe d'Apple. L’option est disponible dans Device configuration > Profiles > Create profile > macOS pour plateforme > Device features comme type de profile.

    •  [Windows 10] Les valeurs du type de mot de passe de la stratégie de conformité de Windows 10 sont plus claires et correspondent à celles du CSP. Dans Device compliance > Policies > Create policy > Windows 10 and later pour plateforme > System Security.
      • Les valeurs du type de mot de passe sont plus claires et mises à jour pour correspondre au CSP DeviceLock/AlphanumericDevicePasswordRequired.
      • Le paramètre Expiration du mot de passe (jours) est mis à jour pour permettre des valeurs comprises entre 1 et 730 jours.

     

    Gestion des applications

    • [Android Enterprise] Intune permet maintenant de publier des applications métiers privées Android sur Google Play via un iframe intégré dans la console Microsoft Intune. Auparavant, les administrateurs devaient publier les applications métiers directement sur la console de publication Google Play. Cette nouvelle expérience permet de publier facilement des applications métiers avec un minimum d'étapes, sans avoir besoin de quitter la console Intune. Les administrateurs n’ont plus besoin de s'inscrire manuellement en tant que développeur auprès de Google et n’ont plus à payer les frais d'inscription Google de 25$. Tous les scénarios de gestion Android Enterprise qui utilisent Managed Google Play peuvent bénéficier de cette fonctionnalité (Work Profile, Dedicated Devices, Fully Managed et non enregistrés). Dans Microsoft Intune, naviguez dans Client apps > Apps > Ajouter. Ensuite, sélectionnez Managed Google Play dans la liste Type d'application.

    • [Android Enterprise] Microsoft Intune permet d'ajouter et de gérer des liens Web directement dans la console Intune via l'iframe Managed Google Play. Cela permet aux administrateurs de soumettre une URL et une icône graphique, puis de déployer ces liens vers des périphériques comme les applications Android classiques. Tous les scénarios de gestion Android Enterprise qui utilisent Managed Google Play peuvent bénéficier de cette fonctionnalité (Work Profile, Dedicated Devices, Fully Managed et non enregistrés). Dans Microsoft Intune, naviguez dans Client apps > Apps > Ajouter. Ensuite, sélectionnez Managed Google Play dans la liste Type d'application.

    • [Android Enterprise] Vous pouvez installer des applications métiers Android de manière silencieuse sur les périphériques Zebra, Sélectionnez Client apps > Apps > Ajouter. Dans le volet Ajouter une application, sélectionnez Application métier (Line-of-business app). Actuellement, une fois l'application métiée téléchargée, une notification de succès de téléchargement apparaît sur le périphérique de l'utilisateur. La notification ne peut être annulée qu'en appuyant sur Effacer tout. Ce problème de notification sera corrigé dans une prochaine version, et l'installation sera complètement silencieuse et sans indicateur visuel.
    • [macOS] Support du déploiement de liens vers des applications Web sur macOS. Le lien est installé au Dock en utilisant le portail d’entreprise lorsque l’utilisateur clique sur Install.
    • [macOS] Support des applications VPP pour macOS. Les applications qui ont été achetées avec Apple Business Manager sont affichées dans la console lorsque les tokens VPP sont synchronisés dans Intune. Vous pouvez attribuer, révoquer et réassigner des licences de péripéhriques et d'utilisateurs pour des groupes à l'aide du portail Intune. On retrouve un Reporting des informations de licence à partir de l'app store, et le suivi du nombre de licences que vous avez utilisées.
    • [iOS] Le SDK Intune App pour iOS utilise des clés de chiffrement de 256 bits lorsque le chiffrement est activé par les stratégies de protection d'application. Toutes les applications devront disposer d'un SDK version 8.1.1 pour permettre le partage de données protégées.

    Sécurité du périphérique

    • [Windows 10] Support de la rotation de clé de restauration par le client pour BitLocker. Ce paramètre lance un rafraîchissement du mot de passe de récupération piloté par le client après la récupération d'un lecteur système (soit en utilisant bootmgr ou WinRE) et le déverrouillage du mot de passe de récupération sur un lecteur de données fixe. Ce paramètre rafraîchit le mot de passe de récupération spécifique qui a été utilisé et les autres mots de passe inutilisés sur le volume restent inchangés. Ce paramètre est disponible dans la catégorie Endpoint Protection pour les périphériques qui exécutent Windows 1909+.

    • [Windows 10] Ajout du paramétrage Tamper Protection pour Windows Defender Antivirus. Vous pouvez définir la protection contre l'altération pour activer les restrictions de protection contre l'altération.
    • [Windows 10] Disponibilité Générale des paramétrages de configuration du pare-feu Windows. Vous pouvez utiliser ces règles pour spécifier le comportement entrant et sortant des applications, des adresses réseau et des ports.

    Dépannage

    • [Général] L’interface utilisateur du tableau de bord Etat du tenant (Tenant Status) a été mis à jour afin d’être alignée sur les systèmes d’interface utilisateur d’Azure.

    Autre

    • [Général] Les applications peuvent appeler l'API Intune Graph API avec des opérations de lecture et d'écriture en utilisant l'identité de l'application sans les identifiants utilisateur.
    • [Général] Les stratégies de conditions générales (Chartes/Terms of Use) supportent les balises d’étendue (Scope Tags).

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

  • [Azure AD/Intune] Action Requise : Evaluer vos stratégies d’Accès Conditionnel pour l’arrivée d’iPadOS

    Microsoft a publié un article pour annoncer la nécessité de revoir vos paramètres si vous utilisez des stratégies d’accès conditionnel d’Azure Active Directory. En effet, Apple a annoncé l’arrivée d’iPadOS pour le 30 septembre 2019. Microsoft a découvert un problème pour les clients qui utilisent l’accès conditionnel. Les iPads qui se mettront à jour vers iOS 13+ se verront taggués comme iPadOS. Même si le système fonctionnera de la même manière, certaines applications fonctionneront différemment comme par exemple Safari. Safari se présentera comme étant macOS afin de s’assurer que les sites Internet renvoie une expérience de navigation de type bureau.

    Vous comprenez maintenant que ce changement opéré par Apple, peut avoir un impact sur vos stratégies d’accès conditionnel si vous avez utiliser le système d’exploitation comme condition.

    Ce changement affecte les applications qui utilisent l'accès conditionnel et qui s'identifient comme applications macOS au lieu des applications iOS. Vous devez donc revoir vos stratégies d'accès conditionnel en choisissant si vous souhaitez fournir une expérience d'application différente entre macOS et iOS. De plus, vous devez revoir les stratégies d'accès conditionnel qui utilisent les catégories d'applications affectées.

    Le changement concerne les applications suivantes :

    • L’accès aux applications Web via Safari
    • L’accès aux Email via l’application native Apple Mail
    • L’accès aux applications natives qui utilisent Safari View Controller

    Dans ces cas, l'accès conditionnel Azure AD traite toute demande d'accès comme une demande d'accès macOS.

    Il n’y a néanmoins aucun impact dans les scénarios suivants :

    • Tous les accès aux applications natives Microsoft (telles que Outlook, Word ou Edge)
    • L’accès aux applications Web à l'aide d'un autre navigateur que Safari (comme Chrome)
    • Les applications qui utilisent l'outil d’encapsulation Intune App SDK/App ou les bibliothèques d'authentification iOS/Microsoft identity platform v2.0 ou v1.0.

    Je vous invite donc chaudement à lire en détail l’article suivant et adaptez vos stratégies en conséquence  : Action Required: Evaluate and update Conditional Access policies in preparation for iPadOS launch

  • Chrome Bêta (Build 78 du 19/09/2019) engendre des problèmes avec les services Cloud Microsoft

    Si vous utilisez Chrome Bêta, Google a publié une nouvelle version le 19/09/2019 pour la Build 78. Cette version inclut un problème sur la façon dont les cookies sont traités qui aura un impact sévère sur de nombreuses applications et services, y compris les services Microsoft cloud. Ce changement empêche la connexion aux services par les utilisateurs et les sessions utilisateur sont laissées actives après la déconnexion.

    Microsoft recommande de ne pas utiliser le navigateur Chrome en version Bêta pour l’accès aux services. Microsoft travaille pour adresser la situation avant la disponibilité générale.

    Plus d’informations

  • [MSIX] Microsoft va permettre la signature des packages MSIX depuis votre tenant Azure AD

    Voilà une grande nouvelle annoncée par Microsoft qui va faciliter la vie des entreprises. La création d’un package MSIX comporte de nombreux avantages mais demande l’utilisation d’un certificat de signature de code pour assurer l’intégrité de l’application. Ce prérequis a pu freiner des entreprises (notamment petites structures). Microsoft vient d’annoncer qu’il va bientôt pouvoir être possible d’utiliser un tenant Azure Active Directory pour signer ses packages MSIX.

    La fonctionnalité est proposée par l’outil de signature (Signtool) dans la version 18945 du SDK Windows Insider. Il vous faudra néanmoins deployer un certificat intermédiaire sur les machines ce qui peut être aisément réalisé par Microsoft Intune ou System Center Configuration Manager.

    Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

    Plus d’informations sur : https://docs.microsoft.com/en-us/windows/msix/package/signing-package-device-guard-signing

    Source : https://techcommunity.microsoft.com/t5/MSIX-Blog/Improvements-for-enterprises-signing-MSIX-packages-Insider/ba-p/772386

      

  • [Intune] Problème connu avec les chartes et conditions d’usages d'applications VPP et iOS 12.2+

    Microsoft a signalé un problème qui concerne iOS 12.2 ou ultérieur avec les chartes et conditions sur Microsoft Intune. Le problème fait suite à ces mises à jour d’iOS et concerne tous les fabricants MDM. Les périphériques gérés par MDM utilisant des applications VPP sous licence utilisateur, les utilisateurs ne pourront pas accepter ou annuler les chartes et conditions lors de leur premier accès à une application VPP. Ainsi, les installations d'applications qui nécessitent des chartes et conditions peuvent échouer, car elles n'obtiennent pas une réponse d'acceptation ou d'annulation de la part de l'utilisateur sur l'appareil.

    Comme solution de contournement, Microsoft recommande l’usage de licence de périphérique lors du déploiement d'applications VPP au lieu d'une licence utilisateur. Les licences d'utilisation d'appareils ne sont pas soumises à des conditions générales.

    Il semble qu’Apple ait corrigé le problème à partir d’iOS 13 Beta 5

    Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Known-Issue-iOS-12-2-Terms-and-Conditions/ba-p/668980

  • [SCM] Les baselines pour Windows 10 1903 disponibles en version finale

    J’avais loupé l’annonce, Microsoft a annoncé la version finale des baselines de paramétrages de sécurité pour Windows 10 1903 (19H1) et Windows Server 1903. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

    Voici les différences avec la baseline pour Windows 10 1809 :

    • Activation de la nouvelle stratégie "Enable svchost.exe mitigation options", qui renforce la sécurité des services Windows hébergés dans svchost.exe, y compris que tous les binaires chargés par svchost.exe doivent être signés par Microsoft, et que le code généré de façon dynamique est interdit. Veuillez porter une attention particulière à celui-ci car il pourrait causer des problèmes de compatibilité avec le code tiers qui tente d'utiliser le processus d'hébergement svchost.exe, y compris les plugins tiers pour cartes à puce.
    • Configuration du nouveau paramètre de confidentialité de l'application, "Let Windows apps activate with voice while the system is locked", afin que les utilisateurs ne puissent pas interagir avec les applications utilisant la parole lorsque le système est verrouillé.
    • Désactivation de la résolution des noms multicast (LLMNR) pour atténuer les menaces d'usurpation d'identité des serveurs.
    • Restriction du NetBT NodeType au nœud P, en interdisant l'utilisation de la diffusion pour enregistrer ou résoudre des noms, également pour atténuer les menaces d'usurpation de serveur.
    • Correction d'un oubli dans la baseline du contrôleur de domaine en ajoutant les paramètres d'audit recommandés pour le service d'authentification Kerberos.
    • Abandon des stratégies d'expiration des mots de passe qui nécessitent des changements périodiques de mots de passe. Concernant plus de détails sur les motivations pour cet abandon, je vous invite à lire l’article oirginal.
    • Suppression de la méthode de chiffrement spécifique du lecteur BitLocker et des paramètres de l’algorithme de chiffrement. Pour plusieurs raisons, le chiffrement par défaut est de 128 bits, et les experts en cryptographie de Microsoft disent qu'il n'y a aucun danger connu qu'il soit cassé dans un avenir prévisible. Sur certains matériels, il peut y avoir une dégradation notable des performances allant de 128 à 256 bits. Enfin, de nombreux périphériques tels que ceux des Microsoft Surface activent BitLocker par défaut et utilisent les algorithmes par défaut. La conversion en 256 bits nécessite d'abord de déchiffrer les volumes, puis de les rechiffrer, ce qui crée une exposition temporaire à la sécurité ainsi qu'un impact sur les utilisateurs.
    • Arrêt des paramétrages de l'explorateur de fichiers "Turn off Data Execution Prevention for Explorer" et "Turn off heap termination on corruption", car il s'avère qu'ils ne font que renforcer le comportement par défaut.

    Plus d’informations sur l’article suivant : https://techcommunity.microsoft.com/t5/Microsoft-Security-Baselines/Security-baseline-FINAL-for-Windows-10-v1903-and-Windows-Server/ba-p/701084

      

    Télécharger Microsoft Security Compliance Toolkit 1.0

  • [Windows] Microsoft publie un livre blanc sur la sécurité des périphériques déconnectés

    Microsoft a publié un très bon livre blanc pour apprendre comment protéger des périphériques déconnectés en utilisant Windows et les technologies de sécurité Microsoft. En effet, la stratégie de Microsoft est plutôt de fournir des services intelligents et connectés au Cloud (comme Microsoft Defender ATP, etc.) mais ce livre blanc donne une ligne directrice à suivre.

    On retrouve par exemple les technologies de protection suivantes :

    Technologie

    Nécessite Internet pour être gérée, configurée ou utilisée

    Réduction de la Surface d’attaque

    Hardware based isolation

    Non Requise

    BitLocker

    Non Requise

    Stratégies de contrôle des périphériques amovibles

    Non Requise

    Windows Defender System Guard (Device Guard Kernel Mode Code Integrity)

    Non Requise

    Local Administrator Password Solution (LAPS)

    Non Requise

    Windows Defender Credential Guard

    Non Requise

    Windows Defender Application Control (Configurable Code Integrity)

    Requise pour certaines options de configuration (Validation de l’app sur Intelligent Security Graph)

    Exploit Guard

    Non Requise

    Network Protection

    Requise

    Controlled folder access

    Non Requise

    Attack surface reduction rules

    Non Requise (certaines règles nécessitent Internet)

    Powershell transcription

    Non Requise

    Protection de prochaine génération

    Windows Defender Antivirus (exécution dans une sandbox avec la fonctionnalité VDI Shared file)

    Requise pour certaines options de configuration

    Windows Defender SmartScreen

    Requise

    Règles et configuration IPsec avec Windows Defender Firewall

    Requise pour certaines options de configuration

    Endpoint detection and response (EDR)

    Toutes les fonctionnalités

    Requise

    Autres fonctionnalités

    Windows Defender Application Control

    Requise pour certaines options de configuration

    Applocker

    Non Requise

     

    Lire Windows security on disconnected devices whitepaper