• [Azure ATP] Les nouveautés de Mai 2020

    Azure ATP étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • La version 2.114 apporte des améliorations et des corrections de bugs sur les capteurs.
    • La version 2.113 intègre les changements suivants :
      • Amélioration des caractéristiques : Enriched Resource Access Activity with NTLMv1. À partir de cette version, Azure ATP fournit désormais des informations pour les activités d'accès aux ressources indiquant si la ressource utilise l'authentification NTLMv1. Cette configuration de la ressource n'est pas sécurisée et présente un risque que des acteurs malveillants puissent forcer l'application à leur avantage.
      • Amélioration des fonctionnalités : Suspected Brute Force attack (Kerberos, NTLM). Cette mise à jour facilite et accélère l'analyse des risques et les mesures correctives, en limitant et en hiérarchisant le volume des alertes.

    Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

  • [MEM/Intune] Un guide pour vous aider à ouvrir correctement un ticket

    Voici un article qui peut manquer d’intérêt mais il est pourtant primordial pour obtenir une réponse adéquate du support Microsoft Intune. J’ai beaucoup de clients qui se sont plaints de ne pas obtenir d’aide assez rapidement ou pas assez efficace. C’est tout le but de l’article : Expliquer comment correctement ouvrir un ticket au support Microsoft Endpoint Manager.

    Si vous devez vous retrouver dans cette situation, je ne peux que vous recommander de le lire avant 

  • [Remote Desktop] Nouvelle version 1.2.1026 du client Remote Desktop pour Windows

    Microsoft vient de mettre à disposition une nouvelle version (1.2.1026) du client Windows pour Remote Desktop.

    Cette version apporte les éléments suivants :

    • Lors de l'inscription, vous pouvez désormais choisir votre compte au lieu de saisir votre adresse électronique.
    • Microsoft a ajouté une nouvelle option Subscribe with URL qui vous permet de spécifier l'URL de l'Espace de travail auquel vous vous abonnez ou de tirer parti de la découverte des emails lorsqu'elle est disponible dans les cas où nous ne pouvons pas trouver automatiquement vos ressources. Cette procédure est similaire à celle utilisée pour les autres clients Remote Desktop.
    • Ajout d'un support pour s'abonner à un espace de travail en utilisant un nouveau schéma URI qui peut être envoyé dans un e-mail aux utilisateurs ou ajouté à un site web de support.
    • Ajout d'une nouvelle fenêtre d'information sur la connexion qui fournit des détails sur le client, le réseau et le serveur pour les sessions de bureau et d'application. Vous pouvez accéder à cette fenêtre à partir de la barre de connexion en mode plein écran ou à partir du menu Système lorsqu'il est affiché.
    • Les sessions de bureau lancées en mode fenêtré sont désormais toujours maximisées au lieu de passer en plein écran lorsque la fenêtre est maximisée. Utilisez l'option Plein écran dans le menu système pour passer en plein écran.
    • La fenêtre de désabonnement affiche désormais une icône d'avertissement et présente les noms des espaces de travail sous forme de liste à puces.
    • Ajout de la section Détails à la fenêtre d'erreur supplémentaires pour aider à diagnostiquer les problèmes.
    • Ajout d'un horodatage dans la section détails des dialogues d'erreur.
    • Correction d'un problème où le fichier RDP définissant l'identifiant de la taille du bureau ne fonctionnait pas correctement.
    • Correction d'un problème où la mise à jour du paramètre de résolution sur le redimensionnement de l'affichage ne s'appliquait pas après le lancement de la session.
    • Correction de problèmes de localisation dans le panneau de configuration du bureau.
    • Correction de la taille de la boîte de mise au point lors de l'utilisation des commandes du panneau de configuration du bureau.
    • Correction d'un problème qui rendait les noms des ressources difficiles à lire en mode de contraste élevé.
    • Correction d'un problème entraînant l'affichage de la notification de mise à jour dans le centre d'action plus d'une fois par jour.
    • Diverses corrections de bugs

    Télécharger pour :

  • [Intune] Vous utilisez le connecteur Exchange On-Prem ? Vous souhaitez activer TLS 1.2 ?

    Le support Microsoft Intune a publié un billet décrivant comment activer TLS 1.2+ pour le connecteur Exchange utilisé pour l’accès conditionnel On-Premises de Microsoft Intune. Microsoft prépare une mise à jour du connecteur pour dans quelques mois mais en attendant, vous pouvez créer les clés de registre adéquates pour assurer ce support.

    Lire Support Tip: How to update your Intune Exchange Connector to use TLS 1.2

  • [MECM 2002] Microsoft Endpoint Configuration Manager 2002 est disponible

    Microsoft a mis à disposition en Disponibilité Générale, la version finale (5.00.8968.1000) de Microsoft EndPoint Configuration Manager 2002. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1806 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 1806.

     Les utilisateurs qui ont pris la version Early Wave, ont maintenant une mise à jour permettant de se mettre à niveau.

    Microsoft Endpoint Manager Configuration Manager 2002 comprend les nouveautés suivantes : 

    Administration

    • Si vous disposez d’une hiérarchie avec un CAS, vous pouvez maintenant supprimer ce CAS afin de simplifier la hiérarchie et la complexité liée à la réplication intersites. Ce mécanisme doit pour l’instant être réalisé avec l’aide du support Microsoft.
    • De nouvelles règles Management Insights sont disponible sous le groupe Configuration Manager Assessment avec notamment :
      • Réduire le nombre d’applications et de packages sur les points de distribution. Le nombre supporté peut aller jusqu’à 10 000 packages et applications.
      • Mettre à jour tous les sites d’une hiérarchie avec la même version. Ceci permet d’identifier les hiérarchies dans un mode d’interopérabilité.
      • La découverte par pulsation d’inventaire (Heartbeat) est désactivée.
      • Des requêtes de collection à temps d’exécution long sont activées avec la mise à jour incrémentielle. Cette règle révèle les collections qui ont un temps de mise à jour incrémentiel supérieur à 30 secondes.
      • Problèmes d’installation des sites secondaires révèlent les sites secondaires avec un état de mise à niveau bloqué à Pending ou Failed.
      • La découverte de système Active Directory est configurée pour s’exécuter trop fréquemment (toutes les 3 heures).
      • La découverte de groupe de sécurité Active Directory est configurée pour s’exécuter trop fréquemment (toutes les 3 heures).
      • La découverte d’utilisateur Active Directory est configurée pour s’exécuter trop fréquemment (toutes les 3 heures).
      • Les collections limitées à All Systems et All Users. Configuration Manager met à jour l'appartenance de ces collections avec les données des méthodes de découverte Active Directory. Ces données peuvent ne pas être valides pour les clients Configuration Manager
    • De nouvelles règles Management Insights sont disponible sous le groupe Cloud Services avec notamment :
      • Les sites n’ont pas la configuration HTTPS adéquates
      • Les périphériques ne sont pas uploadés sur Azure AD
    • Amélioration de l’Administration Service afin de ne plus demander d’activer la fonctionnalité Enhanced HTTP ou d’utiliser un certificat au niveau du rôle IIS du SMS Provider. A partir de maintenant, le service d’administration utilise automatiquement le certificat autosigné du site.
    • Support du proxy pour la synchronisation des groupes et la découverte Azure AD
    • Vous pouvez initier la collection des journaux (logs) d’un client vers le serveur de site depuis les actions de notification dans la console d’administration. Les journaux sont ensuite consultables depuis l’explorateur de ressources (Resource Explorer) via le nœud Diagnostic Files.
    • Il est possible d’exécuter une action de notification cliente à distance depuis le CAS afin de réveiller des périphériques. Cette action n’était disponible qu’à partir du site primaire.
    • Ajout de la plateforme All Windows 10 (ARM64) à la liste des conditions et prérequis (pour les applications, les baselines, les objets de configuration, etc.). L’option est sous le groupe de plateformes Windows 10. L’option n’est pas présélectionnée pour les objets existants.
    • OneTrace supporte maintenant des groupes de journalisation personnalisables comme dans Support Center. Ceci permet d’ouvrir tous les fichiers de journalisation dans un seul scénario (Application Management, Compliance Settings, Software Updates). Pour rappel, OneTrace est une nouvelle visionneuse de journaux. L’outil fonctionne de manière similaire à CMTrace en supportant les logs ConfigMgr, les messages d’état, et les logs Windows Update.
    • L'outil d'extension et de migration des sites On-Premises vers Microsoft Azure prend désormais en charge le provisionnement de plusieurs rôles de système de site sur une seule machine virtuelle Azure. Vous pouvez ajouter des rôles de système de site après le déploiement initial de la machine virtuelle Azure.

     

     

    Gestion attachée au Cloud (Cloud-attached Management)

    • La gestion attachée au Cloud est une nouvelle fonctionnalité qui permet de connecter l’infrastructure Microsoft Endpoint Manager à Microsoft Intune afin de pouvoir remonter des informations et de lancer des actions à partir d’un portail unique celui de Microsoft Endpoint Manager/Microsoft Intune.
    • Le serveur de site lève des messages d’état critique (ID 11488) si le serveur de site n’arrive pas à se connecter aux points de terminaison requis pour les services Cloud.
    • La Cloud Management Gateway (CMG) supporte maintenant l’authentification basée sur des tokens (jetons). Ce nouveau mode d’authentification vient compléter celui proposé au travers des certificats, de l’authentification via la jointure à Azure AD. Il permet de couvrir des machines qui sont sur Internet et ne se connectent pas fréquemment au réseau Internet.
    • La charge de travail Client Apps (précédemment Mobile Apps) du Co-Management sort de sa phase de Preview

     

    Desktop Analytics

    • Le tableau d’état de santé des connexions de Desktop Analytics affiche maintenant les problèmes de connexion client avec notamment deux aspects :
      • La vérification de la connectivité des points de terminaison : Si un client ne peut atteindre ces points de terminaison, vous voyez un alerte dans le tableau de bord ; ce qui peut vous permettre d’identifier les problèmes de configuration de proxy
      • L’état de connectivité : Si vous utilisez un proxy, Configuration Manager affiche les problèmes d’authentification proxy des clients.

    Inventaire et Reporting

    • Vous pouvez maintenant intégrer Power BI Report Server avec le composant de reporting. Ceci permet d’avoir accès à des visualisations modernes et de meilleures performances.
    • Microsoft facilite la navigation entre les entités CMPivot en permettant la recherche de propriétés.

     

    Gestion du contenu

    • Dans le cadre de l’utilisation de PeerCache, il devient possible de spécifier des sous-réseaux à exclure de la liste des sources fournie aux clients qui souhaitent récupérer du contenu.
    • Support du Proxy pour Microsoft Connected Cache, le serveur relais de Delivery Optimization.

     

    Gestion des Applications

    • Le tableau de bord de gestion de Microsoft Edge (présent dans l’espace Software Library) fournit des éléments sur l’usage de Microsoft Edge et des autres navigateurs en permettant de :
      • Voir combien de périphériques ont Microsoft Edge installé.
      • Voir combien de clients ont des versions différentes de Microsoft Edge installées
      • Avoir une vue des navigateurs installés sur les périphériques
      • Avoir une vue des navigateurs préférés par périphérique
    • Il est maintenant possible de créer une application Microsoft Edge qui se voit automatiquement mise à jour avec les nouvelles versions. Ceci permet de s’assurer que vous déployez toujours la dernière version sans avoir à passer par le système de gestion des mises à jour logicielles.
    • Vous pouvez maintenant installer des applications complexes en utilisant les séquences de tâches via le modèle d’application. Ceci signifie que vous pouvez ajouter un type de déploiement de type séquence de tâches sur une application pour l’installation ou la désinstallation. Ceci permet de pouvoir faire afficher une icône et de mettre des métadonnées additionnelles sur une séquence de tâches qui ne le permettait pas en temps normal

     

     

    Mises à jour logicielles

    • Microsoft a complétement revu la fonction Server Group qui permettait d’orchestrer l’installation des mises à jour logicielles. Cette dernière est renommée Orchestration Groups et permet d’offrir un meilleur contrôle sur le déploiement des mises à jour logicielles. Vous pouvez donc créer des collections qui définissent la façon dont les mises à jour logicielles doivent s’installer en fonction d’un pourcentage de disponibilité, d’un nombre de machines ou d’un ordre spécifique. La fonction vous permet d’exécuter des scripts de pré déploiement et de post installation. La création du groupe d’orchestration se fait depuis Assets and Compliance – Orchestration Group.
    • Configuration Manager détecte maintenant si une mise à jour de la pile de maintenance (Servicing Stack Update) fait partie d'une installation de plusieurs mises à jour. Lorsqu'un SSU est détecté, il est d'abord installé. Après l'installation du SSU, un cycle d'évaluation des mises à jour logicielles s'exécute pour installer les mises à jour restantes. Ce changement permet d'installer une mise à jour cumulative dépendante après la mise à jour de la pile de maintenance. L'appareil n'a pas besoin de redémarrer entre l’installation, et vous n'avez pas besoin de créer une fenêtre de maintenance supplémentaire. Les SSU ne sont installés en premier que pour les installations initiées par des non-utilisateurs. Par exemple, si un utilisateur lance une installation pour plusieurs mises à jour à partir du Software Center, le SSU pourrait ne pas être installé en premier.
    • Vous pouvez utiliser un nouvel outil pour importer les mises à jour d'Office 365 à partir d'un serveur WSUS connecté à Internet dans un environnement Configuration Manager déconnecté. Auparavant, lorsque vous exportiez et importiez des métadonnées pour des logiciels mis à jour dans des environnements déconnectés, vous ne pouviez pas déployer les mises à jour d'Office 365. Les mises à jour d'Office 365 nécessitent des métadonnées supplémentaires téléchargées à partir d'une API Office et du CDN Office, ce qui n'est pas possible pour les environnements déconnectés.

     

    Déploiement de systèmes d’exploitation

    • Vous pouvez lancer une séquence de tâches immédiatement après l’enregistrement du client en ajoutant le paramètre de ligne de commande /PROVISIONTS <ID de la Séquence de tâches>. Cette fonctionnalité permet notamment d’améliorer les scénarios de personnalisation réalisés avec Windows Autopilot après l’installation du client SCCM par Microsoft Intune.
    • Amélioration de l’étape de vérification des prérequis (Check Readiness) avec l’ajout des propriétés suivantes :
      • Architecture de l'OS actuel
      • Version minimale du système d'exploitation
      • Version maximale du système d'exploitation
      • Version minimale du client
      • Langue du système d'exploitation actuel
      • Alimentation électrique branchée
      • L'adaptateur réseau est connecté et non pas le WiFi
    • Amélioration de fenêtre de progression de la séquence de tâches pour :
      • Permettre l’affichage du nombre total d’étape, le numéro de l’étape courante et le pourcentage de progression
      • Augmenter la taille de la fenêtre pour donner plus d’espace et mieux voir le nom de l’entreprise sur une seule ligne.
    • Les améliorations générales suivantes sur le déploiement de système d’exploitation :
      • L'environnement de la séquence de tâches comprend une nouvelle variable en lecture seule, _TSSecureBoot. Cette variable permet déterminer l'état de démarrage sécurisé (SecureBoot) sur un périphérique compatible UEFI.
      • Définissez les variables de séquence de tâches SMSTSRunCommandLineAsUser et SMSTSRunPowerShellAsUser pour configurer le contexte utilisateur pour les tâches Run Command Line et Run PowerShell Script.
      • Sur la tâche Run PowerShell Script, vous pouvez maintenant définir la propriété Paramètres sur une variable.
      • Le PXE responder envoie désormais des messages d'état au serveur du site. Ce changement permet de faciliter le dépannage des déploiements de systèmes d'exploitation qui utilisent ce service.

     

    Protection

    • Extension de l’onboarding des machines dans Microsoft Defender Advanced Threat Protection pour supporter les nouveaux systèmes suivants : Windows 7 SP1, Windows 8.1, Windows Server 2008 R2 SP1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2016, version 1803, et Windows Server 2019.
    • Amélioration de la gestion de BitLocker :
      • La stratégie de gestion de BitLocker comprend désormais des paramètres supplémentaires, notamment des stratégies pour les lecteurs fixes et amovibles.
      • Avec Configuration Manager 1910, vous deviez activer le protocole HTTPS sur un Management Point. La connexion HTTPS est nécessaire pour chiffrer les clés de restauration en transit sur le réseau. À partir de cette version, l'exigence HTTPS concerne le site web d'IIS qui héberge le service de récupération, et non l'ensemble des rôles Management Point. Ce changement assouplit les exigences en matière de certificat, tout en continuant à chiffrer les clés de récupération en transit.

     

     

    Gestion des paramétrages et de la conformité

    • Une option "Track remediation history when supported" permet de générer des messages d’état pour toutes les remédiations initiées sur les clients.E

     

    Console Configuration Manager

    • Afin de vous aider à dépanner les problèmes liés à des groupes de limites, Microsoft vous permet d’ajouter une colonne Boundary Group(s) à la vue des périphériques et des collections dans la console d’administration. Si une machine est dans plus d’un groupe de limites, ils sont tous affichés séparés par des points virgules. L’information est mise à jour à chaque demande de contenu ou au maximum toutes les 24 heures. Si un périphérique n’est dans aucun Boundary Group, alors la colonne n’a pas de valeur.

    • Comme dans les versions précédentes, vous pouvez maintenant utiliser l'option de recherche Tous les sous-dossiers (All Subfolders) à partir des nœuds Configuration Items et Configuration Baselines.
    • Vous pouvez désormais choisir de joindre des fichiers de journalisation et de diagnostic lorsque vous utilisez la fonction Send a Frown dans la console. Ces informations supplémentaires peuvent aider Microsoft à déterminer plus rapidement la cause du problème. Les fichiers inclus avec les commentaires sont transmis et stockés à l'aide de Microsoft Error Reporting (également connu sous le nom de Windows Error Reporting).
    • Lorsque vous envoyez retour, un message d’état est créé lorsque le retour d'information est soumis. Cette amélioration permet d'enregistrer les informations sur quand, qui, le statut et l’identifiant de la soumission. Un message d’état avec un identifiant 53900 est une soumission réussie et 53901 est une soumission échouée.

     

    Plus d’informations sur cette version : What’s new in version 2002

    Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

  • [M365] Un webinar sur Records Management

    Microsoft organise un webinar sur sa solution Records Management de Microsoft 365 ce 26 mai à 18h (heure française). La solution répond aux besoins d'une solution de gestion des documents pour gérer les documents réglementaires, juridiques et commerciaux critiques dans l'ensemble de leurs données d'entreprise.

    Participer au Webinar

  • [Intune] Comment gérer les périphériques Teams Meeting Rooms ?

    L’équipe du support Microsoft Intune a publié un billet très complet sur la gestion des périphériques Teams Meeting Rooms avec Microsoft Intune. En effet, ces périphériques sont équipés de Windows 10 et peuvent donc être gérés avec Microsoft. Bien souvent, ils arrivent préconfigurés avec des comptes utilisateurs et des profils. Vous pouvez ensuite vous connecter et joindre le périphérique à Azure AD pour qu’ils soient ensuite géré par Microsoft Intune.

    Il existe certaines considérations lors de l’utilisation de ces périphériques :

    • Le compte de ressource Meeting Room peut être utilisé pour l’enregistrement à Intune, mais ne doit pas être utilisé pour la connexion à Windows 10 sur le périphérique en raison des problèmes qui peuvent survenir lors de l’autologon du compte de l'application Microsoft Teams Room.
    • Microsoft recommande aussi d’utiliser un préfix dans le nom afin de les identifier et les regrouper pour mieux les gérer.
    • Certains éléments de configuration ne sont pas supportés :
      • Edition Upgrade
      • eSim
      • Identity Protection
      • Kiosk
      • Shared multi-user device
      • Les applications Web App
      • Les applications du Store
    • D’autres éléments de configuration ne sont pas recommandés :
      • Email
      • VPN
      • Wi-Fi
      • Windows Information Protection

    Plus d’informations sur : Managing Teams Meeting Rooms with Intune

  • [Sentinel] Une formation complète et gratuite pour devenir expert(e) sur Azure Sentinel

    L’équipe Azure Sentinel a publié un billet visant à créer une formation complète sur Azure Sentinel allant jusqu’à un niveau d’expertise. On retrouve notamment :

    • Un Aperçu
      • Module 1 : Un aperçu technique
      • Module 2 : Le rôle d’Azure Sentinel
    • Concevoir votre déploiement
      • Module 3 : Architecture Cloud et support de multiples tenants/espaces de travail
      • Module 4 : Collecte des événements
      • Module 5 : Gestion des journaux
      • Module 6 : Intégrer le renseignement sur les menaces (Threat Intelligence)
    • Contenu
      • Module 7 : Le langage de requête Kusto (KQL) - le point de départ
      • Module 8 : Rédaction de règles pour la mise en œuvre de la détection
      • Module 9 : Création de playbooks pour la mise en œuvre de SOAR
      • Module 10 : Création de cahiers d'exercices pour la mise en œuvre de tableaux de bord et d'applications
      • Module 11 : Mise en œuvre des cas d'utilisation
    • Opérations de sécurité
      • Module 12 : Une journée dans la vie d'un analyste du SOC, la gestion des incidents et les investigations
      • Module 13 : Investigation/Hunting
    • Sujets avancés
      • Module 14 : Automatisation et intégration
      • Module 15 : Roadmap
      • Module 16 : Où aller ensuite ?

    Accéder à Become an Azure Sentinel Ninja: The complete level 400 training

     

  • [Sentinel] Une série d’articles sur les différentes capacités d’ingestion, de connexion d’Azure Sentinel

    L’équipe Azure Sentinel a publié 4 billets pour expliquer quelles sont les différentes capacités d’ingestion et de connexion de sources de données à Azure Sentinel. On retrouve des éléments sur les services Cloud : Office 365, Azure, Intune, Desktop Analytics, Windows Virtual Desktop, Power Apps, Teams, etc. On retrouve aussi comment collecter des événements sur des serveurs On-Premises ou sur des sources externes (Syslog, CEF, Varonis, CheckPoint, Carbon Black, etc.)

    Plus d’informations :

  • [MECM/SCCM] Un assistant pour simplifier le déploiement de Windows 10 avec ConfigMgr

    L’équipe Microsoft FastTrack a créé un assistant vous permettant aisément de créer une stratégie de déploiement de Windows 10 à utiliser avec Microsoft Endpoint Configuration Manager. Vous n’avez quasiment pas d’actions techniques à réaliser puisque l’assistant vous génère un script à exécuter sur l’infrastructure afin de créer les séquences de tâches et les éléments nécessaires.

    C’est donc une bonne solution pour les clients qui voudraient démarrer à utiliser le produit sans énormément de connaissances.

    Accéder à l’assistant

  • [Intune] Les stratégies restent avec un statut Pending sur les périphériques Windows

    Vous enregistrez un périphérique Windows 10 manuellement dans Microsoft Intune via l’application Paramètres. Vous ne constatez aucune application de stratégies, d’applications, etc. Sur le portail Microsoft Endpoint Manager, le périphérique affiche un statut en attente (Pending).

    Le problème survient car vous êtes toujours connecté avec un compte administrateur local. En effet, une machine doit pouvoir récupérer un token Azure AD afin de s’authentifier sur le service et récupérer les stratégies Microsoft Intune. Afin de récupérer un token Azure AD, un utilisateur synchronisé dans Azure AD doit être connecté. Cet utilisateur doit avoir un UPN routable.

    Dans le cas contraire, la commande dsregcmd /status renvoie le statut suivant :

    AzureAdPrt : No

     

    Plus d’informations : Support Tip: Configuration Policy Shows as Pending on Windows Devices

  • [Azure AD/Office 365] Comment reprendre la main sur un tenant provisionné par un de ses utilisateurs ?

    Si vous n’utilisez pas encore les services de Microsoft (Office 365, Azure AD, etc.), il se peut qu’un utilisateur ait provoqué la création d’un tenant en mode libre-service par l’activation d’un service tel que Power BI. Ce tenant devient donc non géré et sans administrateur général (Global Admin).

    Microsoft a fourni une procédure qui peut permettre de récupérer la main sur ce tenant sans avoir à les contacter. Notez que cette opération n’est pas possible si un utilisateur a déjà été défini comme administrateur du tenant.

    Lire Perform an internal admin takeover

  • [Intune] Authentification à facteurs multiples (MFA) et enregistrement d’un périphérique (Android, Apple DEP, etc.)

    Beaucoup de clients se posent la question d’activer l’authentification à facteurs multiples (MFA) et la question se pose avec Microsoft Intune. L’accès conditionnel offre l’accès à deux applications Cloud :

    • Microsoft Intune est utilisée pour toutes les connexions (portail d’entreprise, portail web d’entreprise, etc.) exception faite du workflow lié à l’enregistrement d’un périphérique
    • Microsoft Intune Enrollment est l’application Cloud qui identifie uniquement l’action d’enregistrement d’un périphérique.

    Quand il s’agit de penser à la sécurité, il est surement plus important de vérifier que l’utilisateur qui se présente pour enregistrer un périphérique est bien l’utilisateur que l’on attend plutôt que simplement de vérifier ceci quand il ouvre le portail d’entreprise. En effet, l’enregistrement du téléphone une fois effectuée par un attaquant ayant volé les identifiants, peut donner accès aux applications métiers, à des profils de connexion VPN, des profils de connexion WiFi et donc potentiellement ouvre les portes du système d’information.

    Mais quels sont les scénarios où des considérations doivent être pris en compte lors de l’activation du MFA pour l’enregistrement d’un périphérique ?

    La première correspond à l’enregistrement d’un périphérique via Samsung KME ou quand le périphérique est enregistré dans le mode Android Enterprise Fully Managed. Lors de l’enregistrement, l'utilisateur n'aura pas accès à l'application Microsoft Authenticator ni la possibilité de recevoir un appel ou un SMS sur l'appareil. Deux solutions :

    • L'utilisateur doit donc être en mesure de procéder à l'authentification à facteurs multiples par une méthode différente (via un autre périphérique, etc.).
    • Vous désactivez l’authentification à facteurs multiples (MFA) pour l’enregistrement dans Microsoft Intune

    Le second est lors de l’utilisation d’Apple Device Enrollment Program (ou Apple Business Manager) avec un profil forçant l’utilisant du Single App Mode. Tant que l’authentification sur le portail d’entreprise n’a pas été réalisé, le périphérique est bloqué sur ce dernier. Dans le même temps, l’utilisateur ne peut pas basculer sur les SMS ou les appels. Dans ce cas, vous avez deux solutions :

    • Permettre à l’utilisateur de procéder à l'authentification à facteurs multiples par une méthode différente (via un autre périphérique, etc.).
    • Désactiver le mode Single App Mode sur le profile DEP tout en sachant que l’utilisateur peut donc choisir d’outre passer la procédure d’enregistrement.
    • Désactiver le MFA pour l’enregistrement Microsoft Intune

     

  • [Intune] Comment mettre en place les stratégies de protection applicatives (APP)

    Dans les projets de gestion de périphériques mobiles (MDM) ou de protection de la donnée, vous pouvez être amené à utiliser les stratégies de protection applicatives (APP) de Microsoft Intune. Souvent, les entreprises se posent la question sur comment les implémenter ?

    On rencontre beaucoup d’entreprises qui ont raté leur projet car elles ont été trop contraignante d’un coup. Microsoft a donc créé un framework comprenant 3 niveaux que vous pouvez mettre en œuvre étape par étape pour rehausser la sécurité :

    • Niveau 1 : La protection basique des données de l’entreprise
    • Niveau 2 : La protection avancée des données de l’entreprise
    • Niveau 3 : La protection élevée des données de l’entreprise

    Pour en apprendre plus, vous pouvez lire la documentation : Data protection framework using app protection policies

     

    Source

  • [Sentinel] Suivre l’usage et le coût des données ingérées

    Azure Sentinel et Azure Log Analytics intègrent par défaut des moyens de suivre l’usage et le coût des données. Néanmoins, il n’est pas si facile de savoir quelle table du workspace sont les plus volumineuses.
    Clive Watson (MSFT) a publié un workbook permettant de suivre les tables, les types d’événements et le coût. Vous pouvez voir aussi la lentence, le nombre d'événements par seconde, le coût, 

    Pour l’installer :

    1. Copier le workbook au format RAW
    2. Se connecter dans Azure Sentinel
    3. Ouvrir le Workspace
    4. Ouvrez Workbooks
    5. Cliquez sur Add workbook
    6. Cliquez sur Edit
    7. Cliquez sur l’icone </>
    8. Validez que vous utilisez le mode Gallery Template
    9. Coller le code
    10. Cliquez sur Done Editing
    11. Cliquez sur Save

    Plus d’informations sur : Usage reporting for Azure Sentinel

    Télécharger le Workbook sur GitHub

  • [Autopilot] Un script pour vous aider à déterminer les problèmes avec les enregistrements Intune, AAD, Autopilot

    Michael Niehaus (MSFT) a publié un très bon script qui vise à identifier les problèmes liés aux différents enregistrements d’une machine impliquée dans une processus Windows Autopilot. En effet, une machine peut avoir plusieurs enregistrements dans :

    • Le Service Autopilot
    • Azure Active Directory (plusieurs en fonction des scénarios)
    • Microsoft Intune

    Le but est de mettre en lumière les problèmes où des liens manqueraient entre certains enregistrements éventuellement manquants. Ce script est donc une bonne assistance dans vos problèmes de dépannage.

    Plus d’informations sur : An experimental script to check out your Windows Autopilot devices

  • [Azure AD] Comment bloquer l’authentification héritée ?

    L’équipe Identity Protection a publié un bon billet résumant les grandes étapes permettant de bloquer l’authentification héritée sur votre tenant Azure Active Directory.

     On retrouve notamment :

    1. L’identification des authentifications héritées
    2. La compréhension de ces authentifications.
    3. La création d’une stratégie d’accès conditionnel en mode report-only
    4. Le blocage effectif de l’authentification héritée via
      • L’accès conditionnel
      • Un blocage côté service

    Lire : New tools to block legacy authentication in your organization

  • [Windows 10] Un guide complet sur l’optimisation des mises à niveau de Windows 10

    Microsoft a publié un guide complet sur la base de retours d’expériences pour optimiser les mises à niveau de Windows 10. Le but de ce guide est d’optimiser la cadence, l’usage, et l’adoption de Windows 10. Il revient sur de nombreux concepts essentiels :

    • Les dates butoirs (deadlines)
    • Désactiver les stratégies en conflit
    • Les périphériques à faibles activités (souvent éteints)
    • Les périphériques non sains
    • L’optimisation de la bande passante et le partage P2P
    • La supervision des stratégies

    Il vous donnera des éléments pour :

    • Adapter les stratégies de mise à jour pour une vitesse accrue
    • La personnalisation des périphériques pour une vitesse accrue.
    • La surveillance et l’application
    • Les stratégies de déploiement

    Bref ceci est un guide à lire avec détails :  Optimizing Windows 10 update adoption

  • [Microsoft Defender] Une série d’articles sur Exploit Guard et ses règles de réduction de surface d’attaque

    António Vasconcelos et Rob Mallicoat (Program Managers dans le groupe produit Microsoft Defender ATP) ont publié une série d’articles sur Microsoft Defender Exploit Guard et les règles de réduction de surface d’attaque proposées (ASR).

    Microsoft Defender Exploit Guard est un ensemble de fonctionnalités de prévention des intrusions qui est livré avec Windows 10. Les quatre composants de Microsoft Defender Exploit Guard sont conçus pour verrouiller l'appareil contre une grande variété de vecteurs d'attaque et bloquer les comportements couramment utilisés dans les attaques de logiciels malveillants, tout en permettant aux entreprises d'équilibrer leurs risques de sécurité et leurs exigences de productivité.

    Les quatre composants de Microsoft Defender Exploit Guard sont :

    • Protection du réseau (Network Protection) : Protège le périphérique contre les menaces Web en bloquant tout processus sortant sur le périphérique vers des hôtes/IP non fiables via Microsoft Defender SmartScreen.
    • Accès contrôlé aux dossiers (Controlled Folder Access) : Protège les données sensibles contre les ransomewares en empêchant les processus non fiables d'accéder aux dossiers protégés de l’utilisateur.
    • Protection contre l'exploitation (Exploit Protection) : Un ensemble de mesures d'atténuation des exploits (remplaçant Enhanced Mitigation Experience Toolkit (EMET)) qui peuvent être facilement configurées pour protéger le système et les applications.
    • Les règles de réduction de la surface d'attaque (Attack Surface Reduction (ASR)) : comprend un ensemble de contrôles (15 règles) pour empêcher les logiciels malveillants d'entrer sur la machine en bloquant les menaces communes basées sur les logiciels Office, Adobe, les scripts et les e-mails. Office et les emails sont des moyens simples et faciles de distribuer des mécanismes permettant aux mauvais hackers de lancer des attaques malveillantes et des attaques sans fichiers.

    C’est ce dernier mécanisme sur lequel les deux PMs focalise les articles. Il est parfois difficile de mettre en œuvre ces règles mais les différents articles reviennent sur des fondamentaux importants et des pièges à éviter.

    Lire :

  • [Sentinel] Déployer et gérer Azure Sentinel as a Code

    Je vous propose un article assez ancien mais qui mérite d’être lu si vous souhaitez mettre en œuvre Azure Sentinel. L’article se focalise sur le déploiement et la gestion de la solution en mode « as Code ». Pour rappel Azure Sentinel est une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel, une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.

    L’article explique comment automatiser les différents composants :

    • L’onboarding
    • Les règles d’alerte
    • Les requêtes d’investigation (Hunting)
    • Les playbooks
    • Les workbooks
    • Les connecteurs

    Je vous invite à lire Deploying and Managing Azure Sentinel as Code

  • [MD ATP] Quelles données sont collectées par Microsoft Defender ATP ? Donnez des réponses à votre DPO

    Les solutions de type Endpoint Detection and Response (EDR) comme Microsoft Defender Advanced Threat Protection (ATP), sont devenus des outils indispensables pour se protéger des tentatives d’attaques. Ces outils sont devenus une des pierres angulaires du Security Operation Center (SOC). Néanmoins, le Data Protection Officier (DPO) peut poser des questions quant aux données utilisées et envoyées au service. Il est donc primordial de savoir apporter les réponses.

    Concernant les données exactes, on retrouve :

    • Événements du registre
    • Événements de création de fichiers
    • Événements du réseau
    • Événements de connexion
    • Informations sur les applications installées
    • Informations sur les machines
    • Événements du noyau/kernel
    • Événements de la mémoire
    • Modifications du matériel
    • Appels API du système

    Parmi les actions qu’un opérateur peut éventuellement prendre, on retrouve :

    • Isoler la machine (l'utilisateur est averti - pas de connexion possible à l'Internet et au réseau local)
    • Limiter l'exécution des applications (seules les applications certifiées peuvent être exécutées par la suite)
    • Déclencher une analyse antivirus
    • Collecter un des éléments d’investigation
    • Lancer une session de réponse en direct (shell de commande à distance)

    Les données de Microsoft Defender ATP sont conservées pendant 180 jours maximum et peuvent être stockées aux États-Unis, au Royaume-Uni ou en Europe. L’entreprise définit la durée de stockage des données et l'emplacement des données lors de la configuration initiale.

     

    Plus d’informations sur : Put regulation fears to rest when deploying Microsoft Defender ATP

  • Un article sur l’implémentation de Microsoft Exact Data Match (EDM)

    En août dernier, Microsoft a lancé Exact Data Match (EDM), une nouvelle capacité permettant aux entreprises d’identifier et cible des données spécifiques. Dans cette situation, on pense surtout à l’identification des données personnelles en réduisant les faux positifs via la construction et l’utilisation d’un dictionnaire ou référentiel des données personnelles de l’entreprise.

    Imaginez donc un scénario où vous traitez des données de santé avec des numéros de sécurité social, vous connaissez tous les numéros de vos clients. Vous construisez donc un dictionnaire qui sera ensuite utilisé par les services de prévention de la perte de données (DLP) de Microsoft pour empêcher certaines actions de partage.

    Microsoft propose un article très intéressant vis à expliquer comment construire ce référentiel :

  • [Intune] Un script pour générer les informations de journalisation et de diagnostic de Windows 10

    Microsoft a publié un script qui peut être utilisé pour générer les informations de diagnostic et de journalisation de Windows 10 lié à la gestion de périphériques mobiles (MDM).

    Lire Generate & gather Windows 10 MDM client logs and diagnostics

  • [Azure AD] Les questions fréquentes et bonnes pratiques pour l’accès conditionnel

    L’équipe Azure AD a rédigé un très bon article sur les questions fréquentes et les bonnes pratiques concernant l’accès conditionnel d’Azure Active Directory. Ce billet revient sur :

    • Comment mettre en œuvre correctement l’authentification à facteurs multiples ?
    • Comment contrôler l’accès aux applications et services ?
    • Comment mettre en œuvre rapidement et efficacement les stratégies ?
    • Comment gérer le cas des utilisateurs connectés en VPN ?
    • Comment donner et sécuriser l’accès à des applications internes sans accès en VPN ?

    Lire Frequent questions about using Conditional Access to secure remote access

    Notez aussi ce très bon billet résumant les nouveautés récentes apportées au mode Report-Only pour vous aider dans cette démarche.

  • [Microsoft 365] Un guide pratique pour utiliser Microsoft 365 Business Premium

    Il y a quelques semaines, Microsoft annonçait un rebranding de certains de ses produits à destination du marché Small Business (jusqu’à 300 utilisateurs). Un des abonnements appelé Microsoft 365 Business Premium offre de nombreux services. Microsoft revient au travers de deux billets sur la sécurisation des environnements et du travail à distance via la solution. Ceci inclut :

    • La protection de l’identité
    • La protection de l’image
    • La gouvernance de l’information
    • La sécurité de Teams
    • La gestion des périphériques
    • La sécurisation de l’accès à distance

    Ceci inclut différentes technologies parmi : L’authentification à facteurs multiples (MFA), l’accès conditionnel, Azure AD Application Proxy, Windows Virtual Desktop, La gestion via Microsoft Intune, Office 365 Advanced Threat Protection, La prévention de la perte de donnée (DLP), l’archivage Exchange Online, etc.

    Lire les deux articles :