• [MCAS] Les nouveautés de Microsoft Cloud App Security en Avril 2020

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    La version 172 introduit les changements suivants :

    • Amélioration des contrôles d'accès et de session avec n’importe quel fournisseur d’identité (IdP) (Preview). Les contrôles d'accès et de session prennent désormais en charge les applications SAML configurées avec n'importe quel fournisseur d'identité. L'aperçu public de cette nouvelle fonctionnalité est maintenant progressivement mis en place. Pour configurer ces contrôles, voir le guide de déploiement.
    • Nouveau processus désanonymisassions en masse des utilisateurs et des machines afin de simplifier le processus sur un ou plusieurs utilisateurs et machines sous investigation

    Les versions 173 et 174 regroupent les éléments suivants :

    • Nouveau format CEF sur l’agent SEIM pour les alertes. Afin d’enrichir les informations d'alerte fournies dans les fichiers CEF utilisés par les serveurs SIEM génériques, Microsoft a étendu le format pour inclure les champs clients suivants : Adresse IPv4, Adresse IPv6, Localisation de l'adresse IP
    • Logique de détection améliorée : Voyage impossible (Impossible travel) afin d'améliorer la précision et de réduire le volume des alertes.

     

    Plus d’informations sur : What's new with Microsoft Cloud App Security

  • [Azure AD] Les nouveautés d’Azure Active Directory en Avril 2020

    Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Avril 2020.

    Microsoft apporte les nouveautés suivantes :

    • Public Preview des unités administratives (Administrative Units) permettant d'accorder des autorisations administratives qui sont limitées à un département, une région ou un autre segment de l’entreprise que vous définissez. Ceci permet d’utiliser les unités administratives pour déléguer des autorisations aux administrateurs régionaux ou pour définir une stratégie à un niveau granulaire. Par exemple, un administrateur de compte d'utilisateur peut mettre à jour les informations de profil, réinitialiser les mots de passe et attribuer des licences pour les utilisateurs uniquement dans son unité administrative.

    • L'évaluation continue de l'accès (Continuous Access Evaluation) est une nouvelle fonction de sécurité qui permet l'application en temps quasi réel des stratégies aux éléments qui consomment des jetons d'accès Azure AD lorsque des événements se produisent dans Azure AD (comme la suppression d'un compte utilisateur). Microsoft propose d’abord cette fonction pour Teams et les clients Outlook.
    • Les employés sur le terrain peuvent se connecter avec des applications utilisant l’authentification sans moderne, simplement avec leur numéro de téléphone et sans mot de passe. Ce mécanisme dans les applications Office s'adresse aux entreprises qui n'utilisent pas l’email comme principal moyen de communication. Ce projet permettra à des employés de se connecter à des applications professionnelles en entrant un numéro de téléphone et en tapant un code.

    • L’expérience du portail d’administration Azure AD donne accès à des actions en masse et de téléchargement sur les utilisateurs et groupes. Vous pouvez uploader un fichier CSV pour créer, supprimer, inviter des utilisateurs ou supprimer et ajouter des membres à un groupe.

    • On retrouve quatre nouveaux rôles RBAC dans Azure Active Directory :
      • Printer Administrator : Les utilisateurs ayant ce rôle peuvent enregistrer des imprimantes et gérer tous les aspects de toutes les configurations d'imprimantes dans la solution Universal Print, y compris les paramètres du connecteur Universal Print. Ils peuvent consentir à toutes les demandes d'autorisation d'impression déléguées. Les administrateurs d'imprimantes ont également accès aux rapports d'impression.
      • Printer Technician : Les utilisateurs ayant ce rôle peuvent enregistrer des imprimantes et gérer le statut des imprimantes dans la solution Universal Print. Ils peuvent également lire toutes les informations relatives aux connecteurs. Les principales tâches qu'un technicien en impression ne peut pas effectuer sont la définition des autorisations d'utilisateur sur les imprimantes et le partage des imprimantes.
      • Hybrid Identity Admin : Les utilisateurs dans ce rôle peuvent activer, configurer et gérer les services et les paramètres liés à l'activation de l'identité hybride dans Azure AD. Ce rôle donne la possibilité de configurer Azure AD pour l'une des trois méthodes d'authentification prises en charge – Password Hash Synchronization (PHS), Passthrough Authentication (PTA) ou fédération (AD FS ou fournisseur de fédération tiers) - et de déployer l'infrastructure On-Premise correspondante pour les activer.
      • Network Administrator : Les utilisateurs ayant ce rôle peuvent examiner les recommandations de Microsoft en matière d'architecture de périmètre de réseau qui sont basées sur la télémétrie de réseau à partir de leurs emplacements d'utilisateur. Ce rôle permet d'éditer les emplacements des utilisateurs découverts et de configurer les paramètres du réseau pour ces emplacements afin de faciliter l'amélioration des mesures de télémétrie et des recommandations de conception.
    • Nous étendons la capacité d'invitation B2B pour permettre aux comptes internes existants d'être invités à utiliser des identifiants de collaboration B2B à l'avenir. Cela se fait en passant l'objet utilisateur à l'API d'invitation en plus des paramètres typiques comme l'adresse électronique invitée. L'ID de l'objet de l'utilisateur, l'UPN, l'appartenance à un groupe, l'attribution d'une application, etc. restent intacts, mais à l'avenir, l'utilisateur utilisera le B2B pour s'authentifier avec ses références de tenant plutôt qu'avec les références internes qu'il utilisait avant l'invitation.
    • Le mode "Report-only" pour l'accès conditionnel à Azure AD vous permet d'évaluer le résultat d'une stratégie sans avoir à appliquer des contrôles d'accès. Au cours des derniers mois, Microsoft a constaté une forte adoption du mode Report-only, avec plus de 26 millions d'utilisateurs déjà concernés par une stratégie de Report-only. Avec cette annonce, de nouvelles stratégies d'accès conditionnel Azure AD seront créées par défaut en mode Report-only. Il est aussi possible de gérer les stratégies de type " Report-only " par GraphAPI.

    • Disponibilité Générale du workbook Conditional Access insights and reporting qui donne une vue d'ensemble de l'accès conditionnel Azure AD. Il est possible de sélectionner une stratégie individuelle permettant aux administrateurs de mieux comprendre les effets de chaque stratégie et suivre les changements en temps réel. Le workbook transmet en continu les données stockées dans Azure Monitor.

     

    On retrouve les modifications de service suivantes :

    • Public Preview de la validation des règles des groupes dynamiques. Un onglet Validate rules, vous pouvez valider votre règle dynamique par rapport aux membres du groupe d'échantillons pour confirmer que la règle fonctionne comme prévu. Lors de la création ou de la mise à jour de règles de groupe dynamiques, les administrateurs veulent savoir si un utilisateur ou un périphérique sera membre du groupe.

    • Identity Secure Score – Mise à jour des actions d’amélioration pour la sécurité par défaut et le MFA.
    • Microsoft a mis à jour l'expérience des évaluateurs pour Access Reviews à Azure AD dans le portail My Apps. A la fin du mois d'avril, les évaluateurs verront une bannière qui leur permettra d'essayer la nouvelle expérience dans My Access. Cette expérience est la même que l'expérience actuelle, mais avec une interface utilisateur améliorée en plus de nouvelles capacités. En juillet, les évaluateurs seront automatiquement dirigés vers My Access pour effectuer des évaluations d'accès.
    • Les applications de provisionnement et de reprise des utilisateurs de Workday prennent désormais en charge les dernières versions de l'API des services Web Workday.
    • Microsoft a remis à jour l’expérience en matière d'approvisionnement afin de créer une vision plus ciblée de la gestion. Lorsque vous naviguez vers la tuile de provisionnement d'une application d'entreprise déjà configurée, vous pouvez facilement suivre la progression du provisionnement et gérer des actions telles que le démarrage, l'arrêt et le redémarrage du provisionnement.

    Plus d’informations sur : What’s new Azure AD

  • [Microsoft Defender ATP] Les nouveautés d’Avril 2020

    Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender Advanced Threat Protection (ATP) introduit dans le mois.

    Plus d’informations sur : What’s new in Microsoft Defender ATP

  • [MEMCM] La Technical Preview 2004 de Microsoft Endpoint Manager Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 2004 (5.0.8991.1000) de Microsoft Endpoint Manager Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2003 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

    System Center Configuration Manager TP 2004 comprend les nouveautés suivantes :

    Administration

    • Vous pouvez maintenant choisir de recevoir des notifications de Microsoft dans la console d’administration. Ces notifications vous permettent de rester informé des nouvelles fonctionnalités ou des mises à jour, des modifications apportées à ConfigMgr et aux services qui y sont associés, ainsi que des problèmes qui nécessitent une action pour y remédier.

    • Basé sur UserVoice, vous pouvez maintenant copier les données de découverte des périphériques et des utilisateurs dans la console. Ces nouvelles actions vous permettent d'obtenir plus facilement et rapidement ces données depuis la console. Par exemple, vous pouvez copier l'adresse MAC d'un périphérique avant de le redéployer.

    • La bibliothèque de cmdlets PowerShell Configuration Manager offre maintenant un support pour PowerShell 7. Le support de PowerShell 7 est Preview, et n'est pas destiné à être utilisé dans des environnements de production.
    • On retrouve de nouvelles règles Management Insight pour le déploiement de système d’exploitation afin de gérer la taille des séquences de tâches. Lorsque la taille de la stratégie de séquence de tâches dépasse 32 Mo, le client ne parvient pas à exécuter le déploiement de la séquence de tâches. On en retrouve deux :
      • Large task sequences may contribute to exceeding maximum policy size : Si vous déployez ces séquences de tâches, les clients peuvent ne pas être en mesure de traiter les grands objets. Réduisez la taille de la séquence de tâches pour éviter les problèmes potentiels de traitement des stratégies.
      • Total policy size for task sequences exceeds policy limit : Les clients ne peuvent pas traiter la stratégie pour ces séquences de tâches parce qu'elle est trop importante. Réduisez la taille de la stratégie de séquence de tâches pour permettre au déploiement de fonctionner sur les clients.

     

    Cloud and Tenant-Attach

    • Vous pouvez maintenant voir les détails du client, y compris les collections, l'appartenance à un groupe de limites (uniquement si vous utilisez un site primaire autonome) et les informations client en temps réel pour un appareil spécifique dans le centre d'administration de Microsoft Endpoint Manager.

     

    Inventaires et Reporting

    • Microsoft a ajouté la possibilité d'exécuter CMPivot à partir d'un périphérique individuel ou de plusieurs périphériques à partir du nœud de périphériques sans avoir besoin de sélectionner une collection de périphériques. Cette amélioration facilite la création de requêtes CMPivot pour des périphériques spécifiques en dehors d'une collection pré-créée.
    • Microsoft a également fait converger CMPivot autonome et CMPivot lancé depuis la console d'administration. Lorsque vous lancez CMPivot à partir de la console d'administration, il utilise la même technologie sous-jacente que CMPivot autonome pour vous donner la parité des scénarios.

     

    Déploiement de système d’exploitation

    • Basé sur UserVoice, vous pouvez utiliser une variable de séquence de tâches pour spécifier la cible de la tâche Format and Partition Disk. Cette nouvelle option de variable prend en charge des séquences de tâches plus complexes avec des comportements dynamiques. Par exemple, un script personnalisé peut détecter le disque et définir la variable en fonction du type de matériel. Vous pouvez ensuite utiliser plusieurs instances de cette étape pour configurer différents types de matériel et de partitions.
      • Vous pouvez maintenant utiliser PowerShell pour créer et configurer des séquences de tâches comme un type de déploiement de modèle d'application via Add-CMTaskSequenceDeploymentType et Set-CMTaskSequenceDeploymentType

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-2004

  • [Azure] Générer un Document Royal TS selon les machines virtuelles des abonnements Azure

    J’ai plusieurs labs de machines virtuelles hébergés dans Microsoft Azure. Comme je les arrête dès que je ne m’en sers pas, les adresses IP publiques changent systématiquement. Dès que je les allume, je dois systématiquement retélécharger les fichiers RDP à partir du portail Azure. Fatigué de toujours retélécharger ces fichiers, j’ai cherché à savoir si Royal TS s’interconnectait directement à Microsoft Azure pour générer des connexions sur les machines virtuelles. Malheureusement, ce très bon outil de gestion des connexions, ne le fait pas et il n’existe aucun plugin ou extensions le permettant. En cherchant sur Internet, je suis tombé sur le projet Ryan Hoffman permettant via un script PowerShell de générer un document avec toutes les machines virtuelles.

    Aujourd’hui ce script ne fonctionne que pour des machines virtuelles ASM. Vous devez comme moi utiliser Azure Resource Manager (ARM) pour générer les machines virtuelles ce qui rend le script obsolète. J’ai décidé de passer une petite heure pour le revoir et compléter.

    Il génère donc un document Royal TS à partir des abonnements Azure pour des machines virtuelles Windows uniquement (à date).

    Parmi les prérequis nécessaires :

    • PowerShell 5.1
    • Import-Module RoyalDocument.PowerShell
    • Import-Module AzureRM.Compute
    • Import-Module AzureRM.Network
    • Les droits sur les abonnements/subscriptions

    Basiquement, il :

    • Liste tous les abonnements et recherche les VMs et leurs adresses IP publiques
    • Créé un document Royal TS
    • Recrée la hiérarchie de dossiers sur la base des abonnements Azure
    • Crée un identifiant générique
    • Crée une connexion RDP pour chaque VM ayant une adresse IP publique
    • Lie l’identifiant générique à chaque connexion RDP créé

    Ce qu’il ne fait pas :

    • Gérer Azure Bastion
    • Gérer les VMs Linux avec SSH
    • Gérer les VMs sans adresse IP publique
    • Gérer différentss identifiants de connexion selon la machine virtuelle ou des groupes de VMs
    • Gérer la personnalisation du port RDP. J'ai mis le port 3389 par défaut mais il est possible de le changer dans le script. Je n’ai pas poussé le script jusqu’à chercher une règle RDP dans les NSG afin d’en récupérer le port RDP.
    • Gérer toute une série d’exceptions et de scénarios auxquels je n’ai pas pensé
    • Etc

    Bien entendu, il y a la place pour de l’évolution et de l’amélioration pour ceux qui seraient intéressés.

    En pratique, vous pouvez :

    • Récupérer le script
    • Changer les variables essentielles (chemin du fichier, port, nom du document, etc.)
    • Créer un lien Windows que vous mettez sur votre bureau et qui pointe sur le script PowerShell dans un dossier dédié en exécutant la commande : C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -command "& '<chemin vers le script> \AzureToRoyalTS.PS1'

    Lors de l’exécution, ce sont les informations que vous obtenez :

     

    Le script génère un fichier qui, une fois ouvert, comprend toutes les machines virtuelles ayant une adresse IP :

     

    Télécharger AzureToRoyalTS

  • [Intune] Problème connu sur les paramétrages de chiffrement FileVault de macOS

    Microsoft vient de communiquer un problème touchant Microsoft Intune et qu'un paramètre de configuration de MacOS FileVault chiffre les périphériques malgré le fait qu'il soit réglé pour permettre le contournement.

    Ce problème a une incidence que si vous définissez ou prévoyez de définir le chiffrement pour les périphériques MacOS. Vous pouvez voir si vous avez configuré cette politique en allant dans Devices > macOS | Configuration profiles > Endpoint protection > enable Full Disk Encryption using XTS-AES 128 with FileVault 2 > Number of times allowed to bypass > No limit, always prompt.

    Le chiffrement se produit lorsque le périphérique reçoit la stratégie et que l'utilisateur effectue la connexion suivante, malgré l'intention de l'administrateur de demander et de permettre à l'utilisateur final de décider du meilleur moment pour chiffrer un périphérique.

    Si vous voulez toujours inviter l'utilisateur à chiffrer mais sans jamais exiger que le périphérique le fasse, une fois la correction apportée, vous devez revenir à votre stratégie FileVault existante et changer la valeur de "0", qui est une nouvelle valeur, à " No limit, always prompt". Pour les stratégies FileVault nouvelles et existantes, après la version de juin, vous verrez les valeurs correctes et le comportement correspondant.

    Microsoft teste un correctif et devrait le déployer dans la version de juin d'Intune.

  • [SCOM 2016+] Nouvelle version (10.1.0.0) du Management Pack Cluster pour Windows Server 2016 et 1709+

    Microsoft vient de publier une nouvelle version (10.1.0.0) le pack d’administration ou Management Pack (MP) SCOM pour la fonctionnalité de Cluster. Cette version a complétement été réécrite pour l’arrivée de Windows Server 2016 et Windows Server 1709 ou plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Cette version apporte les versions localisées du Management Pack.

    Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

    Télécharger Microsoft System Center Management Pack for Windows Server Cluster 2016 and 1709 Plus

  • [Intune] Changement de l’expérience de réinitialisation du mot de passe pour macOS

    Microsoft prépare un changement dans l’expérience de changements des mots de passe liés à une stratégie de mot de passe appliquée par Microsoft Intune sur les périphériques macOS. Le workflow actuel comprend un bug pour lequel Microsoft va effectuer un changement qui dépend de la version de macOS :

    • Les périphériques macOS qui exécutent la version 10.13x à 10.14x :
      • Le mot de passe devra toujours être modifié si le périphérique détecte un changement de politique de mot de passe :
        • Cela se produit lorsque des utilisateurs sont déplacés d'un groupe avec une stratégie de mot de passe à un autre et même si la stratégie est la même.
        • Cela se produit lorsque la stratégie de mot de passe est mise à jour de quelque manière que ce soit et envoyée au périphérique.
        • Ce comportement se poursuivra à partir de mai 2020, à moins que le périphérique ne soit mis à jour à la version 10.15 ou plus.
      • A partir de mai 2020, tous les périphériques macOS fonctionnant sous 10.15-10.15.x - Après une mise à jour quelconque de la stratégie de mots de passe, l'appareil ne doit pas demander de changement de mot de passe.
        • Toutefois, le péripéhrique peut se révéler non conforme jusqu'à ce que le mot de passe soit mis à jour manuellement par l'utilisateur final.
        • C'est le cas à partir de mai, quelle que soit la version du périphérique Mac (10.12, 10.13, 10.14, etc.)
        • Tous les paramètres du mot de passe s'appliqueront toujours au périphérique. Si l'administrateur fixe une expiration de 30 jours à la stratégie, l'utilisateur final sera toujours invité à changer son mot de passe tous les 30 jours.
      • À partir de macOS 10.16 (pas encore publié à date), tout changement ou mise à jour de la politique de code d'accès obligera une fois de plus l'utilisateur à mettre à jour son mot de passe sur le péripéhrique.

    Vous devez prévenir le support informatique que vous ne pouvez pas forcer les périphériques macOS 10.15 à mettre à jour leurs mots de passe par la seule mise à jour de la stratégie des mots de passe. Sachez que les utilisateurs de macOS peuvent subir des réinitialisations de mot de passe lorsque vous les faites entrer ou sortir de différents groupes.

    Plus d’infos

  • [Azure ATP] Configurer les exclusions pour les réécritures d’Azure AD Connect générant une alerte Suspected DCSync attack

    Si vous utilisez Azure Advanced Threat Protection (AATP) et Azure AD Connect pour synchroniser vos objets et identités dans Azure AD, il existe certaines considérations afin de ne pas générer des alertes non justifiées. C’est notamment le cas lorsque vous utilisez les fonctions de réécriture (writeback) de périphérique, de mot de passe, de groupe, etc. Dans ce scénario, les serveurs Azure AD Connect génèrent une demande de réplication sur les contrôleurs de domaine afin de modifier et répliquer les changements. Les serveurs n’étant pas des contrôleurs de domaine, Azure ATP pense à une attaque et génère une alerte de type Suspected DCSync attack (replication of directory services)

    Dans ce cas de figure, vous devez créer une exclusion en naviguant dans paramètres (la roue crantée) puis Exclusions (sous Détection).

     

    Cherchez ensuite l’alerte Suspected DCSync attack (replication of directory services) puis ajoutez les différents comptes MSOL_<XXXX> utilisés par vos serveurs Azure AD Connect. En outre, ajoutez les serveurs Azure AD Connect dans la liste des ordinateurs :

    Cliquez ensuite sur Enregistrer en bas de la page.

     

    En retournant sur la chronologie, vous pouvez observer que les alertes en question, ont été fermées :

  • [Intune] Non-support de la gestion des mots de passe et désactivation de la caméra sur Android 9+

    Il y a quelques jours, je vous communiquais des informations relatives au support des plateformes par le MDM Office 365. Un complément d’informations a été apporté qui est applicable au MDM Office 365 et à Microsoft Intune. Celui-ci concerne les périphériques équipés d’Android 9 ou d’une version ultérieure :

    • Il ne sera pas possible de gérer les paramètres de mot de passe excepté sur les périphériques Samsung Knox
    • Il ne sera pas possible de désactiver la caméra excepté sur les périphériques Samsung Knox

     

    Ces limitations sont relatives à la plateforme et non à la solution MDM.