• [Azure AD] Les nouveautés d’Azure Active Directory en Août 2020

    Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en août 2020.

    Microsoft apporte les nouveautés suivantes :

    • Disponibilité générale d'Azure AD My Sign-Ins. Une nouvelle fonctionnalité permet aux utilisateurs d'entreprises de consulter l'historique de leur connexion pour vérifier toute activité inhabituelle. En outre, cette fonction permet aux utilisateurs finaux de signaler les activités suspectes en indiquant "Ce n'était pas moi" ou "C'était moi".
    • L'approvisionnement des utilisateurs pour SAP SuccessFactors HR est disponible. Vous pouvez désormais intégrer SAP SuccessFactors comme source d'identité faisant autorité avec Azure AD et automatiser le cycle de vie de l'identité de bout en bout en utilisant les événements RH tels que les nouvelles embauches et les licenciements pour piloter le provisionnement et le dé-provisionnement des comptes dans Azure AD.
    • Nouveaux rôles intégrés :
      • Insights Administrator. Les utilisateurs ayant le rôle Insights Administrator peuvent accéder à l'ensemble des fonctionnalités administratives de l'application M365 Insights. Un utilisateur dans ce rôle peut lire les informations de l'annuaire, surveiller la santé du service, les tickets de support des fichiers et accéder aux aspects des paramètres de l'administrateur Insights.
      • Insights Business Leader. Les utilisateurs ayant le rôle Insights Business Leader peuvent accéder à un ensemble de tableaux de bord et d'informations via l'application M365 Insights. Cela comprend l'accès complet à tous les tableaux de bord et aux informations présentées, ainsi que la fonctionnalité d'exploration des données. Toutefois, les utilisateurs de ce rôle n'ont pas accès aux paramètres de configuration des produits, ce qui relève de la responsabilité du rôle Insights Administrator.
    • Disponibilité des Resource Forests pour Azure AD DS. Vous pouvez désormais activer l'autorisation sans synchronisation de hachage de mot de passe pour utiliser les services du Azure AD Domain Services, y compris l'autorisation par carte à puce.
    • Support du replica régional pour les domaines gérés par Azure AD DS. Les jeux de réplicas peuvent être ajoutés à tout réseau virtuel pééré dans toute région d'Azure qui prend en charge Azure AD Domain Services. Des jeux de réplicas supplémentaires dans différentes régions Azure permettent une reprise après sinistre géographique pour les applications héritées si une région Azure est hors ligne.
    • Public Preview : Nouvelles autorisations d'accès restreintes pour les invités Azure AD. Microsoft a mis à jour les permissions au niveau de l'annuaire pour les utilisateurs invités. Ces autorisations permettent aux administrateurs d'exiger des restrictions et des contrôles supplémentaires sur l'accès des utilisateurs invités externes. Les administrateurs peuvent désormais ajouter des restrictions supplémentaires pour l'accès des invités externes aux profils des utilisateurs et des groupes et aux informations sur les membres. Les entreprises peuvent gérer l'accès des utilisateurs externes à l'échelle en masquant les adhésions aux groupes, notamment en empêchant les utilisateurs invités de voir les adhésions au(x) groupe(s) auquel ils appartiennent.

    • Disponibilité générale des requêtes delta pour les service principals et pour oAuth2PermissionGrant. Les entreprises peuvent désormais suivre efficacement les modifications apportées à ces ressources et fournissent la meilleure solution pour synchroniser les modifications de ces ressources avec un magasin de données local.
    • Support de l’API Custom Open ID Connect MS Graph pour Azure AD B2C.

     

    On retrouve les modifications de service suivantes :

    • Application Admin et Cloud Application Admin peuvent gérer les propriétés d'extension des applications. Auparavant, seul l'administrateur global pouvait gérer la propriété de l'extension.
    • À partir du 1er octobre 2020, les prérequis pare-feu d’Azure MFA Server nécessiteront des plages d'IP supplémentaires. Si votre entreprise dispose de règles de pare-feu sortant, mettez-les à jour afin que votre Azure MFA Server puissent communiquer avec toutes les plages d'IP nécessaires.
    • Microsoft met à jour le portail Identity Secure Score pour l'aligner sur les changements introduits dans la nouvelle version de Microsoft Secure Score avec les changements suivants :
      • "Identity Secure Score" renommé en "Secure Score for Identity" pour l'alignement de la marque avec Microsoft Secure Score
      • Points normalisés selon un barème standard et exprimés en pourcentages au lieu de points

     

    Plus d’informations sur : What’s new Azure AD

    • 20/9/2020
  • [Windows 10 1803} Une nouvelle date de fin de support (COVID)

    Microsoft continue d’adapter sa stratégie afin d’offrir de la flexibilité dû à la crise exceptionnelle du COVID-19. Ainsi une série de produits et services qui devaient arriver en fin de support pendant cette période, se voient offrir une extension du support.

    Par conséquent, Windows 10 1803 (Enterprise, Education, IoT Enterprise) : 11 Mai 2021 (en lieu et place du 10 Novembre 2020).

    Source : https://support.microsoft.com/en-us/help/4557164/lifecycle-changes-to-end-of-support-and-servicing-dates

    • 20/9/2020
  • [MCAS] Les nouveautés de Microsoft Cloud App Security en Août 2020

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    La version 181 introduit les changements suivants :

    • Nouveau parseur de journaux de sécurité Discovery Cloud Menlo. Cloud App Security Cloud Discovery analyse un large éventail de journaux de trafic pour classer et noter les applications. Cloud Discovery comprend désormais un analyseur de journaux intégré pour prendre en charge le format Menlo Security CEF.
    • Pour les licences Azure AD P1 et P2, Microsoft a mis à jour le nom du produit dans le portail vers Cloud App Discovery.

     

    Plus d’informations sur : What's new with Microsoft Cloud App Security

    • 19/9/2020
  • [Azure ATP] Les nouveautés d’août 2020

    Azure ATP étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • La version 2.124 intègre de nouvelles alertes de sécurité basées sur de nouvelles détections :
      • Reconnaissance des attributs de l'Active Directory (LDAP) (ID externe 2210). Dans cette détection, une alerte est déclenchée lorsqu'un attaquant est soupçonné d'avoir réussi à obtenir des informations critiques sur le domaine pour les utiliser dans sa chaîne de destruction.
      • Utilisation suspectée de certificats Kerberos (ID externe 2047). Dans cette détection, une alerte est déclenchée lorsqu'un attaquant qui a pris le contrôle de l'organisation en compromettant le serveur de l'autorité de certification est soupçonné de générer des certificats qui peuvent être utilisés comme comptes de backdoor lors de futures attaques, comme le déplacement latéral dans votre réseau.
      • Utilisation suspectée de golden ticket (anomalie de ticket utilisant RBCD) (ID externe 2040). Les attaquants possédant des droits d'administrateur de domaine peuvent compromettre le compte KRBTGT. En utilisant le compte KRBTGT, ils peuvent créer un ticket d'attribution de ticket Kerberos (TGT) qui donne l'autorisation à n'importe quelle ressource. Ce faux TGT est appelé "Golden Ticket" parce qu'il permet aux attaquants d'obtenir une persistance durable du réseau en utilisant la délégation restreinte basée sur les ressources (RBCD). Les faux Golden Tickets de ce type ont des caractéristiques uniques que cette nouvelle détection est destinée à identifier.
    • Les versions 2.120, 2.121, 2.122, 1.123 apportent des améliorations et des corrections de bugs sur les capteurs.

     

    Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

    • 19/9/2020
  • [Intune] Changement sur les profils de certificats pour Android 11 géré en mode Device Administrator (Legacy)

    Avec la sortie d’Android 11, il ne sera plus possible de déployer des certificats racines de confiance ainsi que des profils Simple Certificate Enrollment Protocol (SCEP) avec Microsoft Intune. En, effet, les profils SCEP font référence à un certificat racine. En outre, les profils Wi-Fi et VPN faisant référence à un profil SCEP peuvent aussi être affectés par cette problématique.

    Il est à noter que ce changement n’affecte pas les périphériques Samsung gérés en mode Device Administrator ni les périphériques gérés via Android Enterprise.

    Pour les périphériques Android 11 qui ne sont pas de marque Samsung, l’utilisateur devra installer manuellement le certificat racine de confiance. Pour utiliser SCEP, vous pouvez encore créer et déployer une stratégie pour le certificat racine et la lier au profil de certificat du SCEP. Si le certificat racine se trouve sur le périphérique, alors le profil SCEP s'installera avec succès. Si le certificat racine ne peut être trouvé, le profil SCEP échouera, ce qui peut également entraîner l'échec de l'installation des profils Wi-Fi et VPN liés aux profils SCEP.

    La recommandation de Microsoft est bien entendu d’adopter Android Enterprise en lieu et place.

    Source : https://techcommunity.microsoft.com/t5/intune-customer-success/decreasing-support-for-android-device-administrator/ba-p/1441935

    • 2/9/2020
  • [Intune] Changement sur les profils Wi-Fi pour Android Device Administrator (Legacy)

    A partir d’octobre, Microsoft va adapter son processus pour le déploiement de profil Wi-Fi sur les périphériques Android 10 ou plus gérés par Microsoft Intune en mode Device Administrator.

    Les périphériques nouvellement et déjà enregistrés verront une notification de mandant d’accepter des permissions Wi-Fi supplémentaires ainsi que des connexions Wi-Fi lorsque le profil est déployé. En outre, les réseaux WiFi ne seront pas ajoutés à la liste des réseaux connus. Le périphérique se connectera automatiquement dès lors que le signal du Wi-Fi est détecté.

    Il est à noter que les profils Wi-Fi installés avant cette date, continueront de fonctionner de la même manière.

     

    Source : https://techcommunity.microsoft.com/t5/intune-customer-success/decreasing-support-for-android-device-administrator/ba-p/1441935

    • 2/9/2020