Danny Guillory Jr (Senior PM dans l’équipe ConfigMgr) a publié un script qui permet de pré-créer des groupes Azure AD qui peuvent être utilisé pour synchroniser les membres de vos collections de Microsoft Endpoint Configuration Manager.

Le processus est le suivant :

1. Créer les groupes et configurer du propriétaire. C’est là où le script de Danny est intéressant
2. Activer la synchronisation de collection
3. Activer la synchronisation de(s) collections choisies

Obtenir le script de création automatique : Cloud Attach Your Future - Part I - ConfigMgr to AzureAD Groups - Microsoft Tech Community

Plus d’informations sur la procédure : Create collections - Configuration Manager | Microsoft Docs

Microsoft vient de mettre à disposition la Technical Preview 2010 (5.0.9032.1000) de Microsoft Endpoint Manager Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2010 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 2010 comprend les nouveautés suivantes :

Administration

• ConfigMgr est compliqué à dépanner. Il est particulièrement complexe de comprendre la latence du système et le retard entre les composants. Les fonctions de service Cloud augmentent cette complexité. Vous pouvez désormais utiliser ConfigMgr pour surveiller l’état des scénarios de bout en bout. Il simule les activités pour exposer les mesures de performance et les points de défaillance. Ces activités synthétiques sont similaires aux méthodes que Microsoft utilise pour surveiller certains composants de ses services dans le Cloud. Cette version comprend les deux scénarios suivants :
  • SQL Server Service Broker : Le Service Broker est une configuration requise pour la base de données du site. De nombreux sous-systèmes de base de ConfigMgr utilisent le Service Broker.
  • Client action health : Surveiller la santé du Fast Channel utilisé pour les actions des clients. Si votre environnement est attaché au tenant avec l’upload des périphériques, cette fonction vous aide à détecter les problèmes potentiels liés aux actions des clients à partir du centre d'administration de Microsoft Endpoint Manager. Vous pouvez également utiliser cette fonction pour les actions des clients sur site. Par exemple, CMPivot, l'exécution de scripts et le réveil de périphérique

• Pour vous aider à créer des scripts et des requêtes dans la console, vous verrez désormais la coloration syntaxique et le code folding, si disponible.

Tenant-Attach

• Desktop Analytics supporte maintenant Windows 10 Enterprise LTSC 2019 pour permettre aux entreprises d’évaluer la transition vers la version Semi-Annual.

Protection

• Vous pouvez appliquer des stratégies Microsoft Defender Application Control sur des périphériques exécutant Windows Server 2019.

Gestion des mises à jour logicielles

• À partir de la mise à jour cumulative de septembre 2020, les serveurs WSUS en mode HTTP seront sécurisés par défaut. Par défaut, un client qui recherche des mises à jour par rapport à un serveur WSUS HTTP ne peut pas utiliser un proxy utilisateur. Si vous avez toujours besoin d'un proxy utilisateur malgré les compromis en matière de sécurité, un nouveau paramètre client de mise à jour logicielle est disponible pour permettre ces connexions. Pour plus d'informations sur les changements : Changes to improve security for Windows devices scanning WSUS - Microsoft Tech Community

Déploiement de système d’exploitation

• Microsoft avait ajouté un type de déploiement pour associer une séquence de tâches à une application. Avec cette version, il est possible de déployer cette application sur une collection utilisateur. Dans ce cas le déploiement ciblé sur l’utilisateur s’exécute dans le contexte System.
• Depuis ConfigMgr 1910, pour améliorer la vitesse globale de la séquence des tâches, vous pouvez activer le plan d'alimentation High Performance de Windows. À partir de cette version, vous pouvez désormais utiliser cette option sur les périphériques dotés d'un mode de veille moderne et sur d'autres appareils qui n'ont pas ce plan d'alimentation par défaut.

Console ConfigMgr

• La console ConfigMgr dispose d'un nouvel assistant pour l'envoi de commentaires. L'assistant remanié améliore le flux de travail en donnant de meilleures indications sur la manière de soumettre les bonnes de retour d’information. Il y a également une nouvelle requête de message d’état, Feedback sent to Microsoft afin de trouver facilement les messages d’état de retour.

Plus d’informations sur : Technical preview 2010 - Configuration Manager | Microsoft Docs

Microsoft a publié le correctif KB4580678 de Microsoft Endpoint Configuration Manager 2006 (MECM/SCCM). Ce correctif permet d’activer la fonctionnalité d’exécution de scripts (Run Scripts) depuis le centre d’administration Microsoft Endpoint Manager. Cette mise à jour n’est proposée que si vous avez attaché votre infrastructure au tenant (Tenant Attach).

Parmi les problèmes corrigés, on retrouve :

• Les fonctionnalités, telles que les scripts, dans le centre d'administration n'apparaissent pas pour les utilisateurs qui sont affectés à toutes les étendues de sécurité mais qui ne sont pas Full Administrator.
• Les liens Internet permettant d'approuver ou de refuser les demandes d'application des utilisateurs par courrier électronique échouent dans Microsoft Endpoint Configuration Manager 2006. Cela se produit pour les clients basés sur Internet gérés avec une Cloud Management Gateway (CMG). L'administrateur recevra un message d'erreur HTTP 400 lorsqu'il cliquera sur le lien du courriel.
• L'état en ligne indiqué pour les périphériques sur Internet se connectant via une Cloud Management Gateway (CMG) dans la console ConfigMgr peut être incorrect. Cela se produit lorsque le rôle CMG connection point est colocalisé avec le service connection point, et que le Management Point est colocalisé avec le SMS Provider.

Plus d’informations sur : Tenant attach rollup for Configuration Manager current branch, version 2006

Suite à l’événement Microsoft Ignite 2020, Microsoft organise deux sessions Ask The Experts autour de Microsoft Endpoint Manager (MEM). Les équipes de développement seront présentes pour répondre à toutes vos questions à l’occasion de ces événements spéciaux :

• Microsoft Endpoint Configuration Manager: Mercredi 30 Septembre 2020 de 18h à 19h (heure française)
• Microsoft Endpoint Configuration Manager:Jeudi 1^er Octobre 2020 de 2h à 3h (heure française)
• Windows Autopilot 6 octobre 17h à 18h (heure française)
• Managing iOS & Apple devices with Microsoft Endpoint Manager – 13 octobre 15h à 16h (heure française)
• Managing Windows Virtual Desktop – 20 octobre 18h à 19h (heure française)
• Securing Windows Devices with Microsoft Endpoint Manager – 27 octobre 17h à 18h (heure française)

On retrouve aussi des Ask Me Anythings sur les thèmes suivants :

• Tenant attach, co-management, and analytics – 8 octobre 17h à 18h (heure française)
• Managing Android devices with Microsoft Endpoint Manager – 13 octobre 17h à 18h (heure française)
• Microsoft Tunnel Gateway – 22 octobre 17h à 18h (heure française)
• Endpoint analytics – 29 octobre 16h à 17h (heure française)
• Microsoft Endpoint Manager for education – 9 Novembre 17h à 18h (heure française)

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office 365 (anciennement Office 365 Advanced Threat Protection (ATP)).

• Vérifiez vos stratégies à l'aide de l'analyseur de configuration
• Modifiez manuellement les verdicts de filtrage en utilisant la liste des tenant autorisés ou bloqués
• Capacités étendues dans Threat Explorer, pour inclure les utilisateurs les plus ciblés, les règles de transport et les connecteurs (Office 365 ATP Plan 2)
• Modifiez l'affichage en surface des informations dans l'explorateur de menaces/Threat Explorer (le courrier électronique était autorisé/bloqué par la stratégie du tenant/utilisateur)
• Affichage des menaces d'URL dans l'explorateur de menaces/Threat Explorer (logiciels malveillants, phish, spam ou aucun).

Plus d’informations sur : What's new in Office 365 ATP

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

• Microsoft Defender for Endpoint ajoute maintenant le support d'Android.
• Public Preview de la gestion des menaces et des vulnérabilités (TVM) pour macOS, afin de détecter en permanence les vulnérabilités des appareils macOS pour aider à donner la priorité aux mesures correctives en vous concentrant sur le risque.

Plus d’informations sur : What’s new in Microsoft Defender for Endpoint

Microsoft Defender for Identity (anciennement Azure ATP) étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.128 supprime le bouton notification par courrier pour activer les notifications par email. Il suffit maintenant d'ajouter des adresses email pour recevoir les notifications.
• La version 2.127 intègre une nouvelle alerte de sécurité basées sur de nouvelles détections :
  • L'alerte de sécurité "Azure ATP's Suspected Netlogon privilege elevation attempt (CVE-2020-1472 exploitation)" (ID externe 2411) est déclenchée lorsqu'un attaquant établit une connexion de canal sécurisé Netlogon vulnérable à un contrôleur de domaine, en utilisant le protocole à distance Netlogon (MS-NRPC), également connu sous le nom de Netlogon Elevation of Privilege Vulnerability.

• Les versions 2.125, 2.126, 2.127, et 2.128 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

Microsoft vient de mettre à disposition une nouvelle version (1.2.1364) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction d'un problème où le Single Sign-On (SSO) ne fonctionnait pas sous Windows 7.
• Correction de l'échec de la connexion qui se produisait lors d'un appel ou d'une jointure à un appel Teams alors qu'une autre application a un flux audio ouvert en mode exclusif et lorsque l'optimisation des médias pour Teams est activée.
• Correction d'un défaut d'énumération des appareils audio ou vidéo dans Teams lorsque l'optimisation des médias pour Teams est activée.
• Ajout d'un lien "Need help with settings?" sur la page des paramètres du bureau.
• Correction d'un problème avec le bouton "Subscribe" qui survenait lors de l'utilisation de thèmes sombres à fort contraste.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

L’équipe Exchange vient de publier le 7ème Cumulative Update (CU7) pour Exchange Server 2019. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

Il apporte les changements suivants :

• 4570248 Get-CASMailbox uses wrong LDAP filter for ECPEnabled in Exchange Server 2019
• 4576652 Updates for Exchange Server 2019 Sizing Calculator version 10.5
• 4570252 Intermittent poison messages due to NotInBagPropertyErrorException in Exchange Server 2019
• 4576649 InvalidCastException when you change passwords in Outlook on the web in Exchange Server 2019
• 4570251 Inbox rule applying a personal tag doesn't stamp RetentionDate in Exchange Server 2019
• 4570245 ESEUtil /p fails if any long value (LV) is corrupted in Exchange Server 2019
• 4570255 NullReferenceException occurs when running TestFederationTrust in Exchange Server 2019
• 4576650 Can't add remote mailbox when setting email forwarding in Exchange Server 2019 Hybrid environment
• 4570253 CompletedWithErrors without details for mailbox migration batches in Exchange Server 2019
• 4570247 CSV log of Discovery export fails to properly escape target path field in Exchange Server 2019
• 4570246 EdgeTransport crashes with Event ID 1000 (exception code 0xc00000fd) in Exchange Server 2019
• 4570254MSExchangeMapiMailboxAppPool causes prolonged 100% CPU in Exchange Server 2019
• 4563416 Can't view Online user free/busy status in Exchange Server 2019
• 4576651 Can't join Teams meetings from Surface Hub devices after installing Exchange Server 2019 CU5
• 4577352 Description of the security update for Microsoft Exchange Server 2019 and 2016: September 8, 2020

Plus d’informations sur : Cumulative Update 7 for Exchange Server 2019 (microsoft.com)

Pour télécharger le Correctif Cumulatif, vous devez passer par le portail Microsoft Volume Licensing Center.

L’équipe Exchange vient de publier le 7ème Cumulative Update (CU7) pour Exchange Server 2019. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

Il apporte les changements suivants :

• 4570248 Get-CASMailbox uses wrong LDAP filter for ECPEnabled in Exchange Server 2019
• 4576652 Updates for Exchange Server 2019 Sizing Calculator version 10.5
• 4570252 Intermittent poison messages due to NotInBagPropertyErrorException in Exchange Server 2019
• 4576649 InvalidCastException when you change passwords in Outlook on the web in Exchange Server 2019
• 4570251 Inbox rule applying a personal tag doesn't stamp RetentionDate in Exchange Server 2019
• 4570245 ESEUtil /p fails if any long value (LV) is corrupted in Exchange Server 2019
• 4570255 NullReferenceException occurs when running TestFederationTrust in Exchange Server 2019
• 4576650 Can't add remote mailbox when setting email forwarding in Exchange Server 2019 Hybrid environment
• 4570253 CompletedWithErrors without details for mailbox migration batches in Exchange Server 2019
• 4570247 CSV log of Discovery export fails to properly escape target path field in Exchange Server 2019
• 4570246 EdgeTransport crashes with Event ID 1000 (exception code 0xc00000fd) in Exchange Server 2019
• 4570254 MSExchangeMapiMailboxAppPool causes prolonged 100% CPU in Exchange Server 2019
• 4563416 Can't view Online user free/busy status in Exchange Server 2019
• 4576651 Can't join Teams meetings from Surface Hub devices after installing Exchange Server 2019 CU5
• 4577352 Description of the security update for Microsoft Exchange Server 2019 and 2016: September 8, 2020

Plus d’informations sur : Cumulative Update 7 for Exchange Server 2019 (microsoft.com)

Pour télécharger le Correctif Cumulatif, vous devez passer par le portail Microsoft Volume Licensing Center.

L’équipe Exchange vient de publier le 18ème Cumulative Update (CU18) (15.01.2106.002) pour Exchange Server 2016. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

Il apporte les changements suivants :

• 4570248 Get-CASMailbox uses wrong LDAP filter for ECPEnabled in Exchange Server 2016
• 4570252 Intermittent poison messages due to NotInBagPropertyErrorException in Exchange Server 2016
• 4576649 InvalidCastException when you change passwords in Outlook on the web in Exchange Server 2016
• 4570251 Inbox rule applying a personal tag doesn't stamp RetentionDate in Exchange Server 2016
• 4570245 ESEUtil /p fails if any long value (LV) is corrupted in Exchange Server 2016
• 4570255 NullReferenceException occurs when you run TestFederationTrust in Exchange Server 2016
• 4576650 Can't add remote mailbox when setting email forwarding in Exchange Server 2016 Hybrid environment
• 4570253 CompletedWithErrors without details for mailbox migration batches in Exchange Server 2016
• 4570247 CSV log of Discovery export fails to properly escape target path field in Exchange Server 2016
• 4570246 EdgeTransport crashes with Event ID 1000 (exception code 0xc00000fd) in Exchange Server 2016
• 4570254MSExchangeMapiMailboxAppPool causes prolonged 100% CPU in Exchange Server 2016
• 4563416 Can't view Online user free/busy status in Exchange Server 2016
• 4576651 Can't join Teams meetings from Surface Hub devices after installing Exchange Server 2016 CU16
• 4577352 Description of the security update for Microsoft Exchange Server 2019 and 2016: September 8, 2020

Plus d’informations sur : Cumulative Update 18 for Exchange Server 2016 (microsoft.com)

Télécharger :

• Cumulative Update 18 for Exchange Server 2016 (KB4571788)
• Exchange Server 2016 CU18 UM Language Packs

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v85. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

Cette version comprend de nouveaux paramètres de configuration machine et utilisateur. :

• Allow certificates signed using SHA-1 when issued by local trust anchors. Microsoft intègre un paramétrage qui est déprécié. Microsoft Edge interdit par défaut les certificats signés à l'aide de SHA-1, applique cette interdiction pour s'assurer que les entreprises reconnaissent que l'autorisation SHA-1 n'est pas une configuration sécurisée. Si vous devez utiliser SHA-1 pour assurer la compatibilité avec les applications existantes qui en dépendent, il est essentiel pour la sécurité de l’entreprise de s'éloigner de cette configuration dès que possible. Dans la version 92 de Microsoft Edge (mi-2021), ce paramètre sera supprimé, et il n'y aura plus de mécanisme pris en charge pour autoriser le SHA-1, même pour les certificats émis par vos autorités de certification non publiques, après cela.
• Define a list of protocols that can launch an external application from listed origins without prompting the user. L'utilisation de ce paramètre permettra de supprimer ce prompt et de réduire le bruit pour l'utilisateur final en approuvant le contenu au niveau de l'entreprise. La réduction des invites de l'utilisateur final améliore la productivité de l'utilisateur et l'aide à prendre de meilleures décisions lorsqu'une demande inattendue apparaît, en réduisant la fatigue de l'utilisateur.

Plus d’informations sur l’article suivant :  Security baseline for Microsoft Edge version 85 - Microsoft Tech Community

Télécharger Security Compliance Toolkit

Microsoft a mis à jour un kit gratuit d’évaluation/laboratoire pour Microsoft Endpoint Manager. Ce Laboratoire vous permet de participer à la stratégie Zero Trust et à la sécurisation du travail à distance. Il fournit un kit d’auto-déploiement de Configuration Manager, des instructions autoguidées, permettant de mettre en place les éléments Cloud et On-Premises de Microsoft Intune et Microsoft Endpoint Configuration Manager. Il réutilise le même environnement que le kit Windows and Office Deployment Lab et inclut :

• Un contrôleur de domaine,
• Une passerelle Internet
• Une instance ConfigMgr complètement configuré.

Les scenarios du guide de laboratoire sont les suivants :

• Directory and Network Readiness
  • Optimiser Windows 10
  • Cloud Management Gateway (CMG)
  • CMPivot pour les données en temps réel
  • Windows Autopilot
  • Tenant Attach, co-management et transfert de charge de travail
  • Configuration et protection de l'application mobile Outlook
• Shaping devices to corporate standards
  • Migration de fichiers utilisateur et des paramètres
  • Sécurité et conformité
  • Sécuriser et déployer des applications commerciales
  • Office et Windows as a service

Télécharger Windows and Office Deployment Lab Ki

L’équipe Azure Security Center a publié un billet visant à créer une formation complète sur Azure Defender (anciennement Azure Security Center) allant jusqu’à un niveau d’expertise. On retrouve notamment :

 Module 1 - Introducing Azure Security Center

• What is Azure Security Center
• Securing the hybrid cloud with Azure Security Center
• Hybrid security management across your data center
• Understanding ASC Pricing
• Azure Security Center Data Flow

Module 2 – Planning Azure Security Center

• Supported Platforms
• Features for IaaS workloads
• Features for PaaS workloads
• Built-in RBAC Roles in ASC
• Design Considerations for Log Analytics Workspace
•  Azure Security Center Monitoring Agent Deployment Options
• Onboarding on-premises machines using Windows Admin Center
• Understanding Security Policies in ASC
• Built-in Policies in ASC
• Creating Custom Policies
• Configuring Security Center Resource Type Pricing with Azure Policy
•  Managing Security Center at scale using ARM templates and Azure Policy
• Centralized Policy Management in Azure Security Center using Management Groups
• Planning Data Collection for IaaS VMs
• Considerations for Multi-Tenant Scenario
• Best Practices for Log Analytics Workspace when using ASC and Azure Sentinel
• How to Effectively Perform an Azure Security Center PoC

Module 3 – Enhance your Cloud Security Posture using Secure Score

• Overview of Secure Score in ASC
• Secure Score Capabilities
• How Secure Score affects your governance
• Enhance your Secure Score in ASC
•  Security recommendations
• Survival Guide to Drive your Secure Score Up
• Deliver a Security Score weekly briefing
• Send ASC Recommendations to Azure Resource Stakeholders
• Secure Score Over Time Reports
• Secure Score Reduction Alert
• Automation Artifacts for Secure Score Recommendations
• Remediation Scripts
• Security Controls in Azure Security Center

Module 4 – Cloud Security Posture Management Capabilities in ASC

• Overview of the Asset Inventory feature in ASC
• Managing Asset Inventory in ASC
• Overview of Vulnerability Assessment in ASC
• Vulnerability Assessment Deployment Options
• Vulnerability Assessment Workbook Template
• Vulnerability Assessment for Containers
• Exporting Azure Container Registry Vulnerability Assessment in Azure Security Center
• Implementing Workflow Automation
• Workflow Automation Artifacts
• Creating Custom Dashboard for ASC
• Using Azure Security Center API for Workflow Automation
• Understanding Network Map
• Using Adaptive Network Hardening
• Identify security vulnerabilities workloads managed by ASC

Module 5 – Regulatory Compliance Capabilities in ASC

• Regulatory compliance dashboard
• Understanding Regulatory Compliance Capabilities in ASC
• Regulatory Compliance dashboard and security benchmark
•  Adding new regulatory compliance standards
• Blueprint samples for regulatory compliance standards

Module 6 – Cloud Workload Protection Platform Capabilities in ASC

• Understanding Just-in-Time VM Access
• Reducing the Attack Surface with Just-In-Time VM Access
• Implementing JIT VM Access
• Automate JIT VM Access Deployment with PowerShell
• File Integrity Monitoring in ASC
• Define known-safe applications using Adaptive Application Control
•  Understanding Threat Protection in ASC
• Threat Protection Categories
• Threat Protection for AKS
• Understanding Security Incident
• Overview of Security Alerts in ASC
• Alert Reference Guide
• Alert Suppression
• Simulating Alerts in ASC
• Integration with Microsoft Defender ATP
• Resolve security threats with ASC
• Protect your servers and VMs from brute-force and malware attacks with ASC

Module 7 – Streaming Alerts and Recommendations to a SIEM Solution

• Continuous Export capability in ASC
• Deploying Continuous Export using Azure Policy
• How Azure Sentinel and Azure Security Center Work Together
• Connecting Azure Sentinel with ASC
• Closing an Incident in Azure Sentinel and Dismissing an Alert in Azure Security Center
• Accessing Azure Security Center Alerts in Splunk using Graph Security API Integration

Module 8 – Integrations and APIs

• Integration with Tenable
• Integrate security solutions in ASC
• REST APIs for ASC
• Obtaining Secure Score via REST API
• Using Graph Security API to Query Alerts in ASC

Other Resources

• Become an Azure Sentinel Ninja
• Become an MDATP Ninja
• Cross-product lab (Defend the Flag)

Accéder à Azure Security Center Ninja

L’équipe Microsoft Defender ATP a publié un billet visant à créer une formation complète sur Microsoft Defender Advanced Threat Protection allant jusqu’à un niveau d’expertise. On retrouve notamment :

Security Operations Fundamentals

• Module 1. Technical overview
• Module 2. Getting started
• Module 3. Threat and vulnerability management
• Module 4. Attack surface reduction
• Module 5. Next generation protection
• Module 6. Investigation – Incident
• Module 7. Alert handling
• Module 8. Automated investigation and remediation
• Module 9. Microsoft Threat Experts
• Module 10. Reporting
• Module 11. Evaluation Lab

Security Operations Intermediate

• Module 1. Architecture
• Module 2. Threat and vulnerability management
• Module 3. Next generation protection.
• Module 4. Advanced hunting
• Module 5. Automated investigation and remediation
• Module 6. Threat analytics
• Module 7. Unified indicators of compromise (IOCs)
• Module 8. Evaluation lab
• Module 9. Community (blogs, webinars, GitHub)

Security Operations Expert

• Module 1. Responding to threats
• Module 2. Alert handling
• Module 3. Deep file analysis
• Module 4. Advanced hunting
• Module 5. Unified indicators of compromise IOCs
• Module 6. Custom reporting
• Module 7. Community (blogs, webinars, GitHub)

Security Administrator Fundamentals

• Module 1. Architecture
• Module 2. Onboarding
• Module 3. Grant and control access
• Module 4. Security configuration
• Module 5. Reporting
• Module 6. SIEM Integration

Security Administrator Intermediate

• Module 1. Threat and vulnerability management (TVM)
• Module 2. Attack surface reduction
• Module 3. Next generation protection
• Module 4. Advanced hunting
• Module 5. Conditional access
• Module 6. Microsoft Cloud App Security (MCAS)
• Module 7. Community (blogs, webinars, GitHub)

Security Administrator Expert

• Module 1. Custom reporting (PowerBI)
• Module 2.  Advanced hunting
• Module 3. Custom Integrations, APIs

Accéder à Microsoft Defender ATP Ninja training 

Microsoft vient de mettre à jour (7.0.24.0) le pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server quelle que soit la version. Il fonctionne avec SCOM 2012 R2 ou plus. Cette nouvelle version apporte les éléments suivants :

• Ajout d'un nouveau moniteur "Securables Configuration Status" destiné aux bases de données SQL Server
• Mise à jour du moniteur " Product Version Compliance" avec les versions les plus récentes des mises à jour pour SQL Server
• Mise à jour du moniteur "Securables Configuration Status" destiné au moteur de base de données lorsqu'une instance SQL participe aux groupes de disponibilité
• Suppression du moniteur "Securables Configuration Status" ciblé sur l’Availability Replica puisqu’il est non utile
• Mise à jour de la découverte "SQL Server Database Engines" ; la propriété "Netbios Computer Name" est maintenant en majuscule.
• Mise à jour des chaînes d'affichage
• Correction de la source de données des règles d'alerte pour éviter une tempête d'alerte après la sortie du mode de maintenance
• Correction de la source de données SQL Log Reader pour permettre de modifier la méthode d'authentification SQL
• Correction de la source de données de Performance Reader pour prendre en charge la modification de la méthode d'authentification SQL.

Télécharger Microsoft System Center Management Pack for SQL Server

Microsoft a annoncé le support des périphériques équipés d’iOS 14, iPadOS 14, watchOS 7 par Microsoft Endpoint Manager / Microsoft Intune. Ce support est effectif dès la mise à disposition de cette nouvelle version. Toutes les fonctionnalités existantes qui ciblaient iOS 9 et inférieures sont supportées.

Plusieurs nouveaux paramétrages sont à disposition pour ces versions :

• Désactiver les App Clips iOS/iPadOS
• Clé de certificat SCEP 4096 bits
• Valeurs maximales personnalisées des unités de transmission (MTU) pour les connexions VPN IKEv2
• Routage VPN par compte pour l'application Mail native
• Empêcher les utilisateurs de désactiver le VPN automatique
• Choix des domaines associés pour les connexions VPN par application
• Choix des domaines exclus pour les connexions VPN par application

En outre, Apple Business Manager et Apple School Manager ont été mis à jour avec une nouvelle vue pour tous les appareils et la fonctionnalité Custom Apps pour la distribution d'applications internes à votre organisation. L'intégration de l'année dernière avec Microsoft Azure Active Directory pour permettre l'authentification fédérée pour les Apple ID gérés fonctionne maintenant avec SCIM (System for Cross-domain Identity Management) pour aider à garder les données de compte synchronisées.

Des améliorations ont été apportées au service Apple Push Notification (APN) pour améliorer la communication, qui sont prises en charge par Intune.

Microsoft planifie d'ajouter des fonctionnalités, notamment en sautant les écrans Restore Completed et Update Completed lors de l'inscription automatique des appareils sur iOS et iPadOS 14.0+.

Outre ces éléments, on retrouve les changements suivants :

• Avec iOS et iPadOS 14, les périphériques présenteront automatiquement une adresse MAC randomisée pour une meilleure confidentialité lors de la connexion aux réseaux plutôt que de se contenter par défaut d'adresses MAC physiques. Si vous utilisez des adresses MAC statiques dans votre environnement, qui peuvent être utilisées pour le contrôle d'accès au réseau (NAC), vous pouvez désactiver la randomisation des adresses MAC dans la configuration de votre profil Wi-Fi pour iOS et iPadOS 14.
• Lorsque vous utilisez le type d'affectation "Required" pour les applications sur les appareils iOS et iPadOS 14, les applications sont marquées comme non supprimables. Cela garantit que ces applications critiques ne peuvent pas être désinstallées par l'utilisateur. Pour les applications existantes affectées du type "Required", lorsque les appareils inscrits se mettent à jour sur iOS et iPadOS 14, ils commencent à recevoir le nouveau paramètre non supprimable pour les applications.
• Dans iOS 14, les utilisateurs peuvent définir leurs applications de messagerie et de navigation par défaut. La dernière version d'Outlook (4.55.1) prend en charge cette fonctionnalité et Edge dispose de la fonctionnalité permettant de définir leurs applications de messagerie et de navigation par défaut à partir de la version 45.8.9.
• iOS et iPadOS 14 offrent la possibilité aux développeurs d'applications de fournir des widgets qui présentent les informations clés des applications sur l'écran d'accueil des utilisateurs. Si une application crée un widget, ce widget apparaîtra sur l'appareil de l'utilisateur. Microsoft Endpoint Manager ne masquera pas les informations affichées dans les widgets. Si un widget d'une application protégée contient des liens, les stratégies de protection applicatives (APP) feront une demande pour protéger ce lien car les liens à l'intérieur de l'application sont protégés.
• Il y a aussi des changements sur la façon dont le copier/coller fonctionne et ceci engendre les changements suivants pour les applications protégées :
  • Pour les applications qui n'ont pas été mises à jour avec la version la plus récente du SDK Intune (12.9.0), les comptes gérés déclenchent fréquemment des notifications par le biais du Pasteboard. En effet, Intune vérifie la table des matières lorsque l'application est active afin de s'assurer que les données qui s'y trouvent sont correctement protégées. Pour iOS et iPadOS 14, Intune a apporté des modifications pour restreindre le collage/la copie plutôt que le lancement et la reprise de l'application.
  • Comme Intune ne peut plus lire le contenu sans déclencher une notification de collage, il n'est pas possible de cacher le bouton de collage (là où nous aurions bloqué l'action de collage) pour les comptes avec un collage non nul dans la politique d'exception. Ce bouton de collage n'apparaîtra que jusqu'à ce qu'une action de collage ait été effectuée et collera "Vos données personnelles ne peuvent pas être collées ici. Seuls les caractères <nombre défini par l'administrateur sont autorisés" lorsqu'il est sélectionné. Après le premier collage dans l'application gérée, Microsoft connaîtra le contenu et pourra masquer correctement le bouton.

Certains scénarios existants peuvent être impactés par cette nouvelle version :

• Microsoft étudie un problème avec iOS et iPadOS 14 et OneDrive où les utilisateurs ne peuvent pas accéder aux fichiers OneDrive via l'application Files ou l'API FileProvider lorsque l'appareil est enregistré avec les restrictions suivantes :
  • “Viewing corporate documents in unmanaged apps” est bloqué.
  • “Viewing non-corporate documents in corporate apps” n'est pas configurée.
• Comme vu précédemment, La randomisation de l'adresse MAC est activée par défaut pour iOS 14 et iPadOS 14, ce qui brise le contrôle d'accès au réseau (NAC) pour le Wi-Fi où l'adresse MAC est utilisée comme clé de recherche. La possibilité de désactiver cette fonctionnalité est disponible dans la version 2009 d’Intune pour vous permettre de la désactiver.

Source : Microsoft Endpoint Manager support for iOS 14, iPadOS 14 and watchOS 7

A l’occasion de Microsoft Ignite 2020, Microsoft lance le Microsoft Ignite Cloud Skills Challenge 2020 permettant d’obtenir un voucher de passage à des certifications. Le voucher peut être obtenu après la réalisation d’une collection/d’un parcours. Les vouchers seront valables du 12 octobre 2020 au 31 mars 2021.

Les parcours suivants donnent accès aux certifications suivantes :

Plus d’informations sur : Microsoft Ignite Cloud Skills Challenge 2020: Free Certification Exam | Microsoft Docs

L’événement Microsoft Ignite 2020 s’apprête à démarrer dans un format complètement digital et de nombreuses annonces vont avoir lieu. Pour ceux qui veulent suivre l’événement en ligne, voici quelques sessions intéressantes :

En Direct

• Playing chess on a trampoline: How to innovate in an era of uncertainty(Brad Anderson)
• Building a resilient organization on Microsoft 365(Catherine Boeger)
• Windows 10 innovations for enhanced productivity and resiliency(Joe Lurie and Karen Simpson)
• Introducing modern admin capabilities to better service Microsoft 365 Apps for enterprise(Aleš Holeček)

A la demande

• What’s new in Microsoft Endpoint Manager. Part 1(Steve Dispensa & Ramya Chitrakar)
• Transform your organization with Microsoft Productivity Score (A.J. Smith & Shilpi Sinha)

Ask the Experts

• Ask the Expert: Playing chess on a trampoline: How to innovate in an era of uncertainty
• Ask the Expert: Windows 10 innovations for enhanced productivity and resiliency
• Ask the Expert: Introducing modern admin capabilities to better service Microsoft 365 Apps for enter...

Video Hub

• Get started with Microsoft Endpoint Manager (Joe Lurie & Mayunk Jain)
• Managing Windows devices with Microsoft Endpoint Manager and Windows Autopilot (Michael Niehaus & Miz Rahman)
• Managing Apple devices with Microsoft Endpoint Manager (Tiffany Silverstein & Arnab Biswas)
• Managing Android devices with Microsoft Endpoint Manager (Esther Salter & Courtenay Bernier)
• Configuring zero trust with Microsoft Endpoint Manager (Matt Shadbolt & Clay Taylor)
• What’s new in Microsoft Endpoint Manager. Part 2 (Steve Dispensa & Ramya Chitrakar)
• Flexible paths to cloud management with Microsoft Endpoint Manager (Rob York)
• Endpoint analytics deep dive: putting the end-user experience front and center (Zach Dvorak)
• Microsoft Endpoint Manager Configuration Manager Deep Dive (Rob York, Jason Githens, David James)
• Secure and deploy Microsoft 365 mobile apps for productivity, collaboration, email, and browsing (Ross Smith & Shiv Patel)
• Unify endpoint security management with Microsoft Endpoint Manager and Microsoft Defender ATP (Matt Shadbolt & Dilip Radhakrishnan)
• Introducing Microsoft management tools to secure and manage work from home (Matt Shadbolt & Scott Duffey)
• Setting up Windows Update for Business via Microsoft Intune (Aria Carley & Dune Desormeaux)
• Enabling remote management with Cloud Management Gateway & Cloud Attach (Danny Guillory)
• Securing Teams with Microsoft Endpoint Manager (Mayunk Jain & John Gruszczyk)
• What’s new in Microsoft Intune for Education (Liz Cox)
• Eliminate on-premises print servers with Universal Print (Saurabh Bansal & Jimmy Wu)
• Intune App Protection Policies with policy assurance (Ross Smith)
• Microsoft Endpoint Manager Reporting Graph APIs and Log Analytics (Spencer Shumway & Durga Kumar Varanasi)
• Modern policy management for security and productivity (Aasawari Navathe & Laura Arrizza)
• Enable security and productivity quickly using Microsoft Endpoint Manager (Lance Crandall & Tyler Castaldo)
• Deep dive into Role Based Access Control (RBAC) in Intune (Pallavi Joshi)
• Accelerating the journey to modern management (Chris Sweeney)

S’inscrire gratuitement

Avec l’évolution des attaques et la nécessité de toujours se tenir à jour et protégé, on retrouve de nouvelles contraintes sur les environnements. Active Directory reste dans le monde de l’entreprise, la cible principale. Aujourd’hui, Microsoft fournit un rappel sur les différents types de chiffrement Kerberos et notamment la désactivation de RC4. L’article est intéressant car il replante le décor et donne des Do/Don’t Do dans cette situation.

Lire Decrypting the Selection of Supported Kerberos Encryption Types

Microsoft a annoncé l’arrivée des éditions Pro et Enterprise sur les périphériques Surface Hub 2. Initialement équipé d’une édition Team spécifiquement construite pour les usages de réunion, les éditions Pro et Enterprise offrent des cas d’usages différents tournées vers des aspects personnels :

Pour installer ces éditions, vous devez :

• Vous assurer que le matériel possède une version UEFI 694.2938.768.0 ou plus. Si ce n’est pas le cas, vous devez mettre à jour le périphérique via l’application Paramètres de Windows 10.
• Disposer d’une licence adéquate
• Adapter la configuration UEFI
• Utiliser votre outil de déploiement pour déployer l’image
• Télécharger les drivers Surface 2 et les installer.

Plus d’informations sur : Announcing the availability of Windows 10 Pro and Enterprise on Surface Hub 2

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en août 2020.

Microsoft apporte les nouveautés suivantes :

• 25 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Backup365, Soapbox, Alma SIS, Enlyft Dynamics 365 Connector, Serraview Space Utilization Software Solutions, Uniq, Visibly, Zylo, Edmentum - Courseware Assessments Exact Path, CyberLAB, Altamira HRM, WireWheel, Zix Compliance and Capture, Greenlight Enterprise Business Controls Platform, Genetec Clearance, iSAMS, VeraSMART, Amiko, Twingate, Funnel Leasing, Scalefusion, Bpanda, Vivun Calendar Connect, FortiGate SSL VPN, Wandera End User
• Vous pouvez désormais attribuer des rôles intégrés à Azure AD à des groupes Cloud. Par exemple, vous pouvez attribuer le rôle d'administrateur SharePoint à un groupe Cloud Contoso_SharePoint_Admins. Vous pouvez également utiliser le PIM pour faire du groupe un membre éligible du rôle, au lieu de lui accorder un accès permanent.

• Disponibilité générale d'Azure AD My Sign-Ins. Une nouvelle fonctionnalité permet aux utilisateurs d'entreprises de consulter l'historique de leur connexion pour vérifier toute activité inhabituelle. En outre, cette fonction permet aux utilisateurs finaux de signaler les activités suspectes en indiquant "Ce n'était pas moi" ou "C'était moi".
• L'approvisionnement des utilisateurs pour SAP SuccessFactors HR est disponible. Vous pouvez désormais intégrer SAP SuccessFactors comme source d'identité faisant autorité avec Azure AD et automatiser le cycle de vie de l'identité de bout en bout en utilisant les événements RH tels que les nouvelles embauches et les licenciements pour piloter le provisionnement et le dé-provisionnement des comptes dans Azure AD.
• Nouveaux rôles intégrés :
  • Insights Administrator. Les utilisateurs ayant le rôle Insights Administrator peuvent accéder à l'ensemble des fonctionnalités administratives de l'application M365 Insights. Un utilisateur dans ce rôle peut lire les informations de l'annuaire, surveiller la santé du service, les tickets de support des fichiers et accéder aux aspects des paramètres de l'administrateur Insights.
  • Insights Business Leader. Les utilisateurs ayant le rôle Insights Business Leader peuvent accéder à un ensemble de tableaux de bord et d'informations via l'application M365 Insights. Cela comprend l'accès complet à tous les tableaux de bord et aux informations présentées, ainsi que la fonctionnalité d'exploration des données. Toutefois, les utilisateurs de ce rôle n'ont pas accès aux paramètres de configuration des produits, ce qui relève de la responsabilité du rôle Insights Administrator.
• Disponibilité des Resource Forests pour Azure AD DS. Vous pouvez désormais activer l'autorisation sans synchronisation de hachage de mot de passe pour utiliser les services du Azure AD Domain Services, y compris l'autorisation par carte à puce.
• Support du replica régional pour les domaines gérés par Azure AD DS. Les jeux de réplicas peuvent être ajoutés à tout réseau virtuel pééré dans toute région d'Azure qui prend en charge Azure AD Domain Services. Des jeux de réplicas supplémentaires dans différentes régions Azure permettent une reprise après sinistre géographique pour les applications héritées si une région Azure est hors ligne.

• Public Preview : Nouvelles autorisations d'accès restreintes pour les invités Azure AD. Microsoft a mis à jour les permissions au niveau de l'annuaire pour les utilisateurs invités. Ces autorisations permettent aux administrateurs d'exiger des restrictions et des contrôles supplémentaires sur l'accès des utilisateurs invités externes. Les administrateurs peuvent désormais ajouter des restrictions supplémentaires pour l'accès des invités externes aux profils des utilisateurs et des groupes et aux informations sur les membres. Les entreprises peuvent gérer l'accès des utilisateurs externes à l'échelle en masquant les adhésions aux groupes, notamment en empêchant les utilisateurs invités de voir les adhésions au(x) groupe(s) auquel ils appartiennent.

• Disponibilité générale des requêtes delta pour les service principals et pour oAuth2PermissionGrant. Les entreprises peuvent désormais suivre efficacement les modifications apportées à ces ressources et fournissent la meilleure solution pour synchroniser les modifications de ces ressources avec un magasin de données local.
• Support de l’API Custom Open ID Connect MS Graph pour Azure AD B2C.

On retrouve les modifications de service suivantes :

• Application Admin et Cloud Application Admin peuvent gérer les propriétés d'extension des applications. Auparavant, seul l'administrateur global pouvait gérer la propriété de l'extension.
• À partir du 1er octobre 2020, les prérequis pare-feu d’Azure MFA Server nécessiteront des plages d'IP supplémentaires. Si votre entreprise dispose de règles de pare-feu sortant, mettez-les à jour afin que votre Azure MFA Server puissent communiquer avec toutes les plages d'IP nécessaires.
• Microsoft met à jour le portail Identity Secure Score pour l'aligner sur les changements introduits dans la nouvelle version de Microsoft Secure Score avec les changements suivants :
  • "Identity Secure Score" renommé en "Secure Score for Identity" pour l'alignement de la marque avec Microsoft Secure Score
  • Points normalisés selon un barème standard et exprimés en pourcentages au lieu de points

Plus d’informations sur : What’s new Azure AD

Microsoft continue d’adapter sa stratégie afin d’offrir de la flexibilité dû à la crise exceptionnelle du COVID-19. Ainsi une série de produits et services qui devaient arriver en fin de support pendant cette période, se voient offrir une extension du support.

Par conséquent, Windows 10 1803 (Enterprise, Education, IoT Enterprise) : 11 Mai 2021 (en lieu et place du 10 Novembre 2020).

Source : https://support.microsoft.com/en-us/help/4557164/lifecycle-changes-to-end-of-support-and-servicing-dates

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

La version 181 introduit les changements suivants :

• Nouveau parseur de journaux de sécurité Discovery Cloud Menlo. Cloud App Security Cloud Discovery analyse un large éventail de journaux de trafic pour classer et noter les applications. Cloud Discovery comprend désormais un analyseur de journaux intégré pour prendre en charge le format Menlo Security CEF.
• Pour les licences Azure AD P1 et P2, Microsoft a mis à jour le nom du produit dans le portail vers Cloud App Discovery.

Plus d’informations sur : What's new with Microsoft Cloud App Security

Azure ATP étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.124 intègre de nouvelles alertes de sécurité basées sur de nouvelles détections :
  • Reconnaissance des attributs de l'Active Directory (LDAP) (ID externe 2210). Dans cette détection, une alerte est déclenchée lorsqu'un attaquant est soupçonné d'avoir réussi à obtenir des informations critiques sur le domaine pour les utiliser dans sa chaîne de destruction.
  • Utilisation suspectée de certificats Kerberos (ID externe 2047). Dans cette détection, une alerte est déclenchée lorsqu'un attaquant qui a pris le contrôle de l'organisation en compromettant le serveur de l'autorité de certification est soupçonné de générer des certificats qui peuvent être utilisés comme comptes de backdoor lors de futures attaques, comme le déplacement latéral dans votre réseau.
  • Utilisation suspectée de golden ticket (anomalie de ticket utilisant RBCD) (ID externe 2040). Les attaquants possédant des droits d'administrateur de domaine peuvent compromettre le compte KRBTGT. En utilisant le compte KRBTGT, ils peuvent créer un ticket d'attribution de ticket Kerberos (TGT) qui donne l'autorisation à n'importe quelle ressource. Ce faux TGT est appelé "Golden Ticket" parce qu'il permet aux attaquants d'obtenir une persistance durable du réseau en utilisant la délégation restreinte basée sur les ressources (RBCD). Les faux Golden Tickets de ce type ont des caractéristiques uniques que cette nouvelle détection est destinée à identifier.

• Les versions 2.120, 2.121, 2.122, 1.123 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

Avec la sortie d’Android 11, il ne sera plus possible de déployer des certificats racines de confiance ainsi que des profils Simple Certificate Enrollment Protocol (SCEP) avec Microsoft Intune. En, effet, les profils SCEP font référence à un certificat racine. En outre, les profils Wi-Fi et VPN faisant référence à un profil SCEP peuvent aussi être affectés par cette problématique.

Il est à noter que ce changement n’affecte pas les périphériques Samsung gérés en mode Device Administrator ni les périphériques gérés via Android Enterprise.

Pour les périphériques Android 11 qui ne sont pas de marque Samsung, l’utilisateur devra installer manuellement le certificat racine de confiance. Pour utiliser SCEP, vous pouvez encore créer et déployer une stratégie pour le certificat racine et la lier au profil de certificat du SCEP. Si le certificat racine se trouve sur le périphérique, alors le profil SCEP s'installera avec succès. Si le certificat racine ne peut être trouvé, le profil SCEP échouera, ce qui peut également entraîner l'échec de l'installation des profils Wi-Fi et VPN liés aux profils SCEP.

La recommandation de Microsoft est bien entendu d’adopter Android Enterprise en lieu et place.

Source : https://techcommunity.microsoft.com/t5/intune-customer-success/decreasing-support-for-android-device-administrator/ba-p/1441935