Microsoft a publié un guide de déploiement pour la fonctionnalité de VPN : Microsoft Tunnel de Microsoft Endpoint Manager (Intune). Le guide revient sur les grandes étapes du déploiement :

• Un déploiement basic (minimal)
• Un guide avancé pour ajouter une seconde carte réseau, le service Azure Network Load Balancing, de l’Express Route ou l’accès conditionnel.

Télécharger Microsoft Tunnel Deployment Guide

L’équipe Cloud App Security a publié un billet visant à créer une formation complète sur Microsoft Cloud App Security allant jusqu’à un niveau d’expertise. On retrouve notamment :

Level: Beginner  (Fundamentals) (Video Introduction)

1. Community Information
   1. MCAS Tech Community
2. Understanding CASBs
   1. Top 20 Use Cases for CASBs (D)
   2. What is a CASB and Why Do I need one? (B)
3. MCAS Best Practices (D)
4. MCAS Introduction
   1. MCAS Licensing (V)*subject to change*

• MCAS License Datasheet(D)
• Differences between MCAS and OCAS(D)
• Differences between MCAS and CAD(D)

1. 1. Microsoft Cloud App Security Introduction (V)

1. Initial Settings
   1. Configure IP Addresses (V)
   2. Import User Groups (V)
   3. Configure Admin Roles (V)
   4. Configure MSSP Access (V)
2. Cloud Discovery
   1. Dashboard Basics (D)
   2. Discovered Apps (D)
   3. App Risk Scoring (V)
   4. MCAS App Connectors (V)
   5. Using the Cloud App Discovery Feature (V)
3. Information Protection and Real-time Controls
   1. Connect Office 365 (V)
   2. Configure AAD with MCAS Conditional Access App Control (V)
   3. What is Conditional Access App Control? (V)
   4. Block Sensitive Information Downloads (D)
4. Threat Detection
   1. Threat Detection Overview (V)
   2. User and Entity Behavior Analytics (V)
   3. Discover and Mange risky OAuth applications (V)

Level: Beginner (Fundamentals) Knowledge Check

Level: Intermediate (Associate) (Video Introduction) 

1. Overview
   1. Microsoft Cloud App Security: Overview (V)
2. Cloud Discovery
   1. Cloud Discovery Interactive Guide (V)
   2. Cloud Discovery Policies (D)
   3. MCAS and MDATP Integration (V)
   4. Log Collector Configuration (V)
   5. Integrate with Zscaler (D)
   6. Integrate with iboss (D)
   7. Integrate with Corrata (D)
3. Information Protection and Real-Time Controls
   1. Connect Box, Salesforce, and GitHub to MCAS (B)
   2. Secure and Connect Github (B)
   3. Protecting Storage Apps and Malware Detection (V)
   4. Configuring a read-only mode for external users (V)
   5. Block unauthorized browsers form accessing corporate web apps (V)
   6. Using Admin Quarantine to investigate files (D)
   7. Automatically apply labels to your sensitive files (D)
   8. Information Protection Policies (D)
4. Threat Detection
   1. Threat Policies (D)
   2. Azure Advanced Threat Protection Integration
      1. How Azure ATP integrates with MCAS (D)
   3. Detect Threats and Manage Alerts (V)
   4. Malware Hunting and Automatic Remediation (V)

Level: Intermediate (Associate) Knowledge Check

Level: Advanced (Expert) (Video Introduction)

1. Power Automate Blog Series (B)
   1. Triage Infrequent Country Alerts using Power Automate and MCAS  (V)
   2. Request user validation to reduce your SOC workload  (V)
   3. Request for Manager Action (V)
   4. Auto-disable malicious inbox rules using MCAS & Power Automate (V)
2. 3^rd Party IdP Configuration 
   1. PingOne (D)
   2. ADFS (Coming soon!)
   3. Okta (Coming soon!)
3. Conditional Access App Control steps for non-Microsoft SAAS applications
   1. Workplace for Facebook (V)
   2. Box (V)
   3. Slack (V)
4. SIEM Integrations
   1. Connect Azure Sentinel (V)
   2. Azure Sentinel Entities Enrichment (Users) (V)
   3. Microsoft CAS Infrequent Country triage with Azure Sentinel and Logic Apps (V)
   4. Connect a 3^rd Party SIEM (V)
5. Advanced Scenarios and Guidance
   1. Indicators of Compromise  (V)
   2. MCAS and Microsoft Threat Protection  (V)
   3. Block Apps/Sites on iOS (Defender for Endpoint + MCAS) (V)
   4. MCAS API Documentation (D)
   5. Configuring a Log Collector behind a Proxy (D)
6. Additional Blogs and Series
   1. Ninja Training Blog Series (B)
   2. MCAS Data Protection Blog Series (B)
   3. Securing Administrative Access to Microsoft Cloud App Security and Defender for Identities (B)
   4. Limiting Inherited Roles from Azure Active Directory in MCAS (B)
7. Important Announcements
   1. Unified Data Loss Prevention Post Announcement (B)
   2. MCAS is removing non-secure cipher suites (B)
   3. Unified Labeling is now generally available in GCC and GCC-H environments (B)

Level: Advanced (Expert) Knowledge Check

Plus d’informations sur : The Microsoft Cloud App Security (MCAS) Ninja Training is Here! - Microsoft Tech Community

Microsoft vient de publier une nouvelle version (7.0.26.0) du Management Pack (MP) pour Azure SQL Database. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack fournit les fonctionnalités suivantes :

• Un assistant pour découvrir les serveurs Microsoft Azure SQL Database.
• Plusieurs abonnements et plusieurs serveurs Microsoft Azure SQL Database sont pris en charge.
• Deux options pour obtenir des informations sur la santé de la base de données Azure SQL : Azure Resource Manager (Azure REST API) et les requêtes T-SQL vers les vues système du serveur SQL.
• L'authentification Azure AD est prise en charge.
• Collecte et contrôle la santé des bases de données Microsoft Azure SQL Database :
• Collecte et contrôle de l'état de santé des serveurs Microsoft Azure SQL Database.
• Surveillance de l'état de santé des Elastic Pools.
• Surveillance de l'état de santé des bases de données géorépliquées.
• Possibilité de définir des seuils personnalisés pour chaque moniteur afin de configurer les alertes d'avertissement et les alertes critiques.
• Support des Run-as profile pour se connecter en toute sécurité à la base de données Microsoft Azure SQL.
• Tâches personnalisées pour rediriger l'utilisateur vers le portail en ligne de Microsoft Azure SQL Database.
• Support de requêtes personnalisées pour permettre la surveillance de la disponibilité et des performances de l'application.
• Des tableaux de bord.

Cette version corrige :

• Ajout d'une liste de filtrage pour les serveurs et bases de données SQL Server au modèle "Add Monitoring Wizard
• Suppression des workflows obsolètes
• Correction d'un problème avec les données de performance d'Elastic Pool sur les niveaux de prix basés sur vCore
• Ajout de la prise en charge de la tarification basée sur vCore
• Mise à jour de l'algorithme de renouvellement des jetons pour se débarrasser des réponses 401
• Mise à jour du Management Pack Core Library et du tableau de bord "Summary »
• Mise à jour des chaînes d'affichage
• Correction d'un problème avec un symbole d’antislash inutile dans certaines demandes adressées à Azure REST API
• Correction des problèmes de monitoring pour les bases de données qui sont reproduites par des groupes de basculement et des pools élastiques

Télécharger Microsoft System Center Management Pack for Microsoft Azure SQL Database

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

• Microsoft Defender for Endpoint ajoute maintenant le support des serveurs Linux avec les fonctionnalités Endpoint Detection and Response (EDR) en Public Preview. Les distributions suivantes sont supportées : RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS ou plus, SLES 12+, Debian 9+, et Oracle Linux 7.2.

Plus d’informations sur : What’s new in Microsoft Defender for Endpoint

L’équipe Microsoft Information Protection a publié un guide très complet regroupant les bonnes pratiques pour le déploiement et l’utilisation du scanner Unified Labeling d’Azure Information Protection.

On retrouve les parties suivantes :

• Terminology
• Architecture
• Implementation strategy
• Deploying and running the AIP scanner
  • Capacity planning
  • Accounts and permissions
  • Installing an AIP scanner node
  • Network scan job
  • Content scan job
  • Keeping scanners up to date
• Reporting
• Frequently asked questions

Télécharger IP_UL_scanner_calculator.zip

Lire Best practices for deploying and using the AIP UL scanner

Je suis passé à côté de l’annonce mais Splunkbase a annoncé un add-on gratuit créé par Microsoft et permettant l’interconnexion d’Azure Sentinel à Splunk. Le connecteur permet d’ingérer les données de Splunk dans Azure Sentinel et notamment de réaliser des requêtes sur les données avec le langage KQL.

Plus d’informations et télécharger l’Add-on sur : Azure Sentinel Add-On for Splunk | Splunkbase

Cela fait plusieurs mois que le problème est connu, si vous utilisez SQL Server 2019 pour la base de données de site de Microsoft Endpoint Configuration Manager, vous pouvez avoir des problèmes pour vous connecter à la console d’administration. A l’époque, la solution était de désactiver la fonctionnalité Scalar UDF inlining pour contourner le problème

ALTER DATABASE SCOPED CONFIGURATION SET TSQL_SCALAR_UDF_INLINING = OFF

En mission, chez un client, il s’apprêtait à désactiver la fonctionnalité ; néanmoins cette solution de contournement n’est plus nécessaire si vous installez le Cumulative Update 5 de SQL Server 2019 (ou une version ultérieure)

Dans tous les projets qui gravitent autour du provisionnement de Windows Autopilot, il y a certaines questions relatives à la personnalisation qui reviennent. Michael Niehaus a fait une longue série de billet sur des demandes très fréquentes :

• Installing Windows updates during a Windows Autopilot deployment
• Run a ConfigMgr task sequence via Windows Autopilot and Intune
• Configuring Windows 10 defaults via Windows Autopilot using an MSI
• Configuring more Windows 10 stuff via Windows Autopilot using an MSI
• Configuring time zones, part 1
• Configuring time zones, part 2
• Deploying Edge without a desktop shortcut, the easier (but not easiest) way
• Outlook and Azure AD Join: Automatically configuring the user’s mailbox
• Configure language settings for any scenario – Out of Office Hours (oofhours.com)

Globalement, le blog de Michael Niehaus est une mine d’or sur Windows Autopilot.

Microsoft a introduit un ensemble de nouveautés dans Azure Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Public Preview du connecteur Microsoft 365 Defender pour Azure Sentinel. Ceci permet l’ingestion des données brutes d’événements provenant de Microsoft 365 Defender et tous les services sous-jacents : Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Office, etc.
• Il est désormais possible de sélectionner plusieurs playbooks pour une règle d’analyse. Ceci permet donc de lancer plusieurs actions d’automatisation selon vos besoins (par exemple avec la création d’un ticket dans l’outil d’helpdesk, l’ajout d’un IoC à un outil, le blocage d’un compte, etc.)
• On retrouve un nouveau Workbook de sécurité autour d’Azure Kubernetes Services (AKS) donnant la visibilité sur la création des conteurs, les opérations sur les secrets dans les clusters, les bindings des cluster-admin, et les images avec plusieurs alertes de sécurité.
• Mise à jour du connecteur Logic Apps d’Azure Sentinel avec les éléments suivants :
  • Une seule action Update Incident remplace les actions: Change Incident Severity, Change Incident Status, Change Incident Title, Change Incident Description, Add/Remove Labels. Ces actions fonctionnent toujours dans les anciens playbooks mais Microsoft pourra un jour les supprimer de la galerie.
  • L’action Update Incident permet maintenant d’assigner un propriétaire à un incident. Vous pouvez alors renseigner un Object ID ou un UPN.
  • L’action Add Comment to Incident a été mis à jour pour inclure l’éditeur HTML.
  • Précédemment, il y avait 4 champs permettant d’identifier un incident à mettre à jour. Il existe maintenant un seul champ Incident ARM ID qui peut être utilisé.
  • Get-Incident utilise maintenant la mise à jour de l’API Sentinel. Les actions en entrée n’ont pas changée mais les réponses fournies pour chaque contenu sont plus riches.
  • Les actions Alert – Get IPs/Accounts/URLs/Hosts/Filehashes ont été changes en Entities - Get IPs/Accounts/URLs/Hosts/Filehashes.

Notez que les playbooks existants ne sont pas affectés par ces changements.

• Mise à jour du connecteur CEF d’Azure Sentinel et notamment la ligne de commande d’installation qui devient : sudo wget -O cef_installer.py. Par conséquent, cette version supporte CentOS 8, RedHat 8, SUSE Linux 15. Le support de Python version 3 a aussi été ajouté.
• Un Workbook Playbooks health monitoring permet d’obtenir l’état de santé des playbooks.

On retrouve aussi un très bon article sur l’utilisation d’Azure Data Explorer pour garder plusieurs années de rétention : Using Azure Data Explorer for long term retention of Azure Sentinel logs - Microsoft Tech Community

Enfin, Forrester a publié une étude mandatée par Microsoft pour évaluer le ROI de la solution : Forrester TEI study: Azure Sentinel delivers 201 percent ROI over 3 years and a payback of less than 6 months - Microsoft Security

Microsoft vient de mettre à disposition la Technical Preview 2012 (5.0.9043.1000) de Microsoft Endpoint Manager Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2010 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 2012 comprend les nouveautés suivantes :

Administration

• A partir de cette version, il est possible de désactiver le(s) déploiement(s) d’une application. Pour les déploiements ciblant des périphériques, lorsque vous désactivez le déploiement ou l'objet, vous devez utiliser l'action de notification client pour télécharger la stratégie. Cette action indique immédiatement au client de mettre à jour sa stratégie depuis le site. Si le déploiement n'a pas encore commencé, le client reçoit la stratégie mise à jour indiquant que l'objet est maintenant désactivé.
• Le hub communautaire supporte le partage des extensions de la console ConfigMgr. Lorsque vous obtenez une extension du hub, elle est disponible dans un nouveau Console extensions de la console. L'obtention d'une extension à partir du hub ne la rend pas immédiatement disponible. Tout d'abord, un administrateur doit approuver l'extension pour le site. Ensuite, les utilisateurs de la console peuvent installer l'extension sur leur console locale. Après avoir approuvé une extension, lorsque vous ouvrez la console, vous verrez une notification de la console. À partir de cette notification, vous pouvez lancer l'installateur de l'extension. Une fois l'installateur terminé, la console redémarre automatiquement, et vous pouvez alors utiliser l'extension.
• Avec cette version, le hub communautaire comprend une extension pour vous aider à tester la fonctionnalité précédente : Show all status messages for a task sequence deployment. Cette extension est basée sur UserVoice. Lorsque vous installez cette extension, elle ajoute une action de clic droit aux déploiements de séquences de tâches pour afficher tous les messages d'état.
• Cette version continue d'itérer sur le scénario de partage des applications via le hub communautaire. Auparavant, il était possible de partager uniquement la définition de l'application. Un autre utilisateur du hub pouvait télécharger les métadonnées XML de l'application et les créer sur son site. Mais pour déployer réellement l'application, il lui faudrait ensuite localiser son contenu. Vous pouvez maintenant télécharger le contenu lié aux applications Windows Installer dans le hub. Cette amélioration vous permet d'obtenir facilement une application pleinement fonctionnelle de la part de la communauté Configuration Manager. Le hub fournit un lien intégré vers le contenu de l'application accessible au public. Lorsque vous téléchargez une application avec du contenu à partir du hub, celui-ci télécharge à la fois les métadonnées de l'application à partir du hub et le MSI à partir de son emplacement partagé à l'extérieur du hub communautaire. Une fois que la console a téléchargé le fichier, elle valide le hash. Cette vérification permet de s'assurer que le contenu n'a pas changé pendant le téléchargement. Elle valide ensuite la signature numérique du fichier MSI. Si elle ne peut pas vérifier la signature, elle vous demande si vous voulez toujours importer le fichier. Pour vous aider à tester cette nouvelle fonctionnalité, System Center Updates Publisher est disponible sous la forme d'une application dont le contenu se trouve dans le hub communautaire. Lorsque vous téléchargez SCUP à partir du hub communautaire, la console télécharge le contenu du programme d'installation à partir du centre de téléchargement de Microsoft.
• Vous pouvez désormais accéder aux principales requêtes CMPivot partagées dans le hub communautaire à partir de CMPivot On-Premises.
• Depuis ConfigMgr 1906, vous pouvez ajouter jusqu'à cinq onglets personnalisés au Software Center. Auparavant, pour afficher les sites web, le Software Center utilisait le contrôle intégré du navigateur Internet Explorer de Windows. À partir de cette version, le Software Center peut désormais utiliser le contrôle du navigateur Microsoft Edge WebView2. Le contrôle du navigateur WebView2 offre une sécurité et une expérience utilisateur améliorée. Par exemple, davantage de sites web devraient fonctionner avec ces onglets personnalisés sans afficher d'erreurs de script ou d'avertissements de sécurité.
• Le Support Center OneTrace supporte maintenant les jump lists pour les fichiers récemment ouverts et accéder rapidement aux fichiers précédemment ouverts.

Tenant-Attach

• Le volet des applications dans le centre d'administration de Microsoft Endpoint Manager affichera une description de l'erreur si le statut de l'application est Échec.

Windows 10 Servicing

• Microsoft a revu le tableau de bord Windows 10 Servicing avec un nouveau tableau Quality Update Versions pour afficher le TOP 5 des révisions de Windows 10 à travers les périphériques. Le tableau Latest Feature Update indique le nombre de périphériques qui ont installé la dernière mise à jour des fonctionnalités. Le tableau Windows 10 Usage, qui montre la distribution des principales versions de Windows 10, a été renommé Feature Update Versions. Le informations Servicing plan and Windows 10 ring ont été supprimés du tableau de bord.

Déploiement de système d’exploitation

• Sur la base de UserVoice, la progression de la séquence des tâches peut maintenant afficher plus d'informations sur les contrôles de validation. Si une séquence de tâches échoue parce que le client ne satisfait pas aux exigences configurées dans l'étape Check Readiness, l'utilisateur peut maintenant voir plus de détails sur les conditions préalables qui ont échoué. Il voit toujours le message commun "erreur de séquence de tâches", mais il peut maintenant sélectionner une option Inspect. Cette action montre les contrôles qui ont échoué sur le périphérique.

 PowerShell

• Si la console Configuration Manager n'est pas encore connectée à un site, si vous importez manuellement le module ConfigurationManager, il crée un lecteur PowerShell pour le site basé sur le SMSProvider par défaut.
• De nouvelles Cmdlets sont disponibles
  • Get-CMDuplicateHardwareIdGuid
  • Get-CMDuplicateHardwareIdMacAddress
  • Sync-CMCloudManagementGateway
• Les cmdlets suivantes ont été modifiées :
  • New-CMApplication
  • New-CMCertificateProfileScep
  • New-CMOperatingSystemImage
  • New-CMOperatingSystemInstaller
  • New-CMTSRule
  • New-CMTSStepConditionVariable
  • Set-CMTSStepConditionVariable
  • Set-CMTSStep*
  • New-CMSoftwareUpdateAutoDeploymentRule
  • Set-CMCertificateProfileScep
  • Set-MSoftwareUpdateAutoDeploymentRule

Plus d’informations sur : Technical preview 2012 - Configuration Manager | Microsoft Docs

Avec la dépréciation prochaine du mode de gestion Device Administrator à partir d’Android 10+, Microsoft a communiqué sur la gestion des périphériques où Android Enterprise et Google Mobile Services (GMS) ne sont pas disponibles (en Chine par exemple).

Dans ces environnements, Microsoft recommande pourtant l’usage du mode Device Administrator. Ainsi, il y a plusieurs changements au mode Device Administrator si vous utilisez Android 10 et plus. Ces changements affecteront les périphériques nouvellement enregistrés, les éléments suivants seront impactés :

• Bloquer la caméra*
• Le contrôle d’accès réseau pour le VPN*
• Marquer les périphériques comme appartenant à l’entreprise avec l’IMEI où le numéro de série*
• La visibilité du numéro IMEI ou du numéro de série*
• La capacité à déployer de certificats racine de confiance*.
• Il y a eu des modifications sur les paramètres des mots de passe et un nouveau paramètre Password Complexity est apparu.
• L'expérience de l'utilisateur pour les profils Wi-Fi.
• Les profils Wi-Fi personnalisés avec des clés pré-partagées.

* Sauf pour les périphériques Samsung KNOX.

Je vous recommande fortement de lire les informations de cet article : Use Intune to manage Android devices in China (microsoft.com)

Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Les tableaux de bord de mises à jour de sécurité sont dépréciés et seront retirés à partir de Mars 2021. Microsoft recommande l’usage d’Update Compliance présent dans Azure Log Analytics. La solution est gratuite et ne requiert pas de coût ou de crédit quelque soit la durée de rétention des données.
• La version Windows 10 20H2 est maintenant disponible parmi les versions cibles d’un plan de déploiement.

Plus d’informations sur : What’s new in Desktop Analytics

Le certificat utilisé pour l’authentification avec le service System Center Online utilisé par la fonctionnalité Asset Intelligence dans System Center Configuration Manager 2012 SP2/R2 SP1 ou Microsoft Endpoint Configuration Manager, arrive à expiration à partir du 7 Janvier 2021. Ce dernier a été renouvelé le 11 novembre 2020. Si vous utilisez un ancien certificat, on retrouve deux scénarios :

• Scénario 1 : Vous essayez d'installer le rôle Asset Intelligence synchronization point, et il fait sa première tentative de connexion au service System Center Online.
• Scénario 2 : L’Asset Intelligence synchronization point existant essaie d'utiliser le certificat d'authentification publique pour renouveler le certificat spécifique à chaque installation.

Dans l'un ou l'autre de ces scénarios, le service System Center Online rejette le certificat d'authentification publique et vous recevez le message d'erreur suivant dans le volet Asset Intelligence de la console : Expired credentials/certificate/token. Need to re-provision online account.

Vous pouvez observer les messages suivants dans le journal Aiupdatesvc.log :

Asset Intelligence Catalog Sync Service Warning: 0 :Log_Date:WebException trying to enroll: Status = ProtocolError
Asset Intelligence Catalog Sync Service Error: 0 :Log_Date:Exception attempting sync - The request failed with HTTP status 403: Forbidden.

Pour résoudre le problème, Microsoft recommande la mise à niveau vers Microsoft Endpoint Configuration Manager 2010 ou une version ultérieure. Le certificat inclut dans cette version est valide jusqu’au 26 octobre 2021.

Pour les versions antérieure, Microsoft fournit un correctif que vous pouvez trouver dans l’article.

Plus d’informations : November 2020 Update for Asset Intelligence authentication certificate in Configuration Manager (microsoft.com)

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

• Microsoft Defender for Endpoint ajoute maintenant le support des serveurs Linux avec les fonctionnalités Endpoint Detection and Response (EDR) en Public Preview. Les distributions suivantes sont supportées : RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS ou plus, SLES 12+, Debian 9+, et Oracle Linux 7.2.

Plus d’informations sur : What’s new in Microsoft Defender for Endpoint

Microsoft met à jour la pile de maintenance utilisée pour mettre à jour les autres composants, ces mises à jour Servicing Stack Update (SSU) doivent être passée avant les mises à jour cumulatives (LCUs). Les entreprises avaient tendance parfois à oublier de déployer les SSUs bloquant ainsi le déploiement des mises à jour cumulatives. Microsoft avait annoncé un travail visant à créer un seul package contenant à la fois la mise à jour de pile de maintenance (SSU) et la mise à jour cumulative (LCU), il y a quelques mois. C’est chose faite pour Windows 10 2004 ou plus avec la mise à jour de décembre 2020.

Vous pouvez le tester en ajoutant la catégorie Windows Insider Pre-Release dans Windows Server Update Services (WSUS) ou Microsoft Endpoint Configuration Manager. La mise à jour apparaîtra ainsi à la prochaine synchronisation sous le nom :

• 2020-12 Cumulative Update for Windows 10 Version 2004
• 2020-12 Cumulative Update for Windows 10 Version 20H2

Si vous rencontrez des problèmes, Microsoft fournit un formulaire permettant de faire une demande de support (sans surcoût). Microsoft planifie de rendre ce mécanisme disponible pour Windows 10 1903 ou plus dans les prochains mois.

Plus d’informations sur : Deploy Windows SSUs and LCUs together with one cumulative update - Microsoft Tech Community

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en novembre 2020.

Microsoft apporte les nouveautés suivantes :

• 52 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Travel & Expense Management, Tribeloo, Itslearning File Picker, Crises Control, CourtAlert, StealthMail, Edmentum - Study Island, Virtual Risk Manager, TIMU, Looker Analytics Platform, Talview - Recruit, Real Time Translator, Klaxoon, Podbean, zcal, expensemanager, Netsparker Enterprise, En-trak Tenant Experience Platform, Appian, Panorays, Builterra, EVA Check-in, HowNow WebApp SSO, Coupa Risk Assess, Lucid (All Products), GoBright, SailPoint IdentityNow,Resource Central, UiPathStudioO365App, Jedox, Cequence Application Security, PerimeterX, TrendMiner, Lexion, WorkWare, ProdPad, AWS ClientVPN, AppSec Flow SSO, Luum, Freight Measure, Terraform Cloud, Nature Research, Play Digital Signage, RemotePC, Prolorus, Hirebridge ATS, Teamgage, Roadmunk, Sunrise Software Relations CRM, Procaire, Mentor® by eDriving: Business, Gradle Enterprise
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Adobe Identity Management
  • Blogin
  • Clarizen One
  • Contentful
  • GitHub AE
  • Playvox
  • PrinterLogic SaaS
  • Tic - Tac Mobile
  • Visibly
• Support par Azure AD Application Proxy de l’accès en SSO aux applications qui utilisent des entêtes pour l’authentification (headers). Vous pouvez configurer les valeurs d'en-tête requises par votre application dans Azure AD. Les valeurs d'en-tête seront envoyées à l'application par le biais d'Application Proxy.
• Disponibilité Générale de l’enregistrement et la connexion par téléphone dans Azure AD B2C en utilisant des stratégies personnalisées. Grâce à l'inscription et à l'enregistrement des numéros de téléphone, les développeurs et les entreprises peuvent permettre à leurs clients de s'inscrire et de s'enregistrer en utilisant un mot de passe unique envoyé par SMS au numéro de téléphone de l'utilisateur. Cette fonction permet également au client de changer son numéro de téléphone s'il perd l'accès à son téléphone. Grâce à la puissance des stratégies personnalisées, les développeurs et les entreprises peuvent communiquer leur marque par la personnalisation des pages.

• Public Preview des rôles RBAC personnalisés pour la gestion des applications d’entreprises déléguée. Ces nouvelles autorisations s'appuient sur les rôles personnalisés pour la gestion de l'enregistrement des applications, ce qui permet un contrôle précis de l'accès de vos administrateurs. Au fil du temps, des autorisations supplémentaires pour déléguer la gestion d'Azure AD seront publiées.
• Public Preview de la connexion par email avec adresses proxy via la fonctionnalité Staged Rollout. Les administrateurs du tenant peuvent désormais utiliser Staged Rollout pour déployer la connexion par email avec des adresses proxy à des groupes Azure AD spécifiques. Cela peut être utile lors de l'essai de la fonctionnalité avant de la déployer à l'ensemble du tenant via la politique de découverte du Home Realm.
• Limited Preview de Sign-in Diagnostic permettant aux administrateurs de réviser les connexions des utilisateurs. Les administrateurs peuvent recevoir des détails contextuels, spécifiques et pertinents ainsi que des conseils sur ce qui s'est passé lors d'une connexion et sur la manière de résoudre les problèmes.

On retrouve les modifications de service suivantes :

• Dépréciation de TLS 1.0, TLS 1.1 et 3DES par Azure Active Directory dès le 30 juin 2021.
• Mise à jour des outils de gestion des méthodes d'authentification MFA pour les utilisateurs.On retrouve notamment une interface graphique, et de nouvelles méthodes dans GraphAPIs pour gérer les clés FIDO2, les identifications téléphones pour l'authentification sans mot de passe, et les adresses email d'utilisateur pour le SSPR.
  Il est à noter que le numéro peuplé dans l'AD ne pourra plus être utilisé pour prépeupler les téléphones utilisés par le MFA !
• Public Preview du nouveau service de groupe dynamique amélioré. Les nouveaux clients qui créent des groupes dynamiques dans leurs tenants utiliseront le nouveau service. Le temps nécessaire à la création d'un groupe dynamique sera proportionnel à la taille du groupe qui est créé plutôt qu'à celle du tenant. Cette mise à jour permettra d'améliorer considérablement les performances des grands tenants lorsque les clients créent des groupes plus petits.Le nouveau service vise également à compléter l'ajout et la suppression de membres en raison de changements d'attributs en quelques minutes. De plus, les échecs de traitement unique ne bloqueront pas le traitement des tenants.
• Disponibilité générale du support d’Application Proxy pour le client Web HTML5 Remote Desktop Services.
• La détection des propriétés de connexion non commune/familière a été mise à jour et les clients peuvent constater plus de haut risque.
• Public Preview Refresh de l’agent Cloud Provisionning disponible en version 1.1.281.0. Cette version contient plusieurs améliorations, notamment la prise en charge des GMSA pour les domaines, qui offre une meilleure sécurité, l'amélioration des cycles de synchronisation initiaux et la prise en charge des gros groupes.
• L’API des clés de restauration BitLocker est maintenant sous le point de terminaison InformationProtection en lieu et place de bitlocker.

Plus d’informations sur : What’s new Azure AD

Microsoft Defender for Identity (anciennement Azure ATP) étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.131 ajoute une nouvelle alerte de sécurité : Nouvelle alerte de sécurité : exposition présumée au SPN Kerberos (ID externe 2410). Dans cette détection, une alerte est déclenchée lorsqu'un attaquant énumère les comptes de service et leurs SPN respectifs, puis demande des tickets TGS Kerberos pour les services. L'intention de l'attaquant peut être d'extraire les hachs des tickets et de les sauvegarder pour une utilisation ultérieure dans des attaques de brute force hors ligne.

• Les versions 2.131, et 2132 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

Gartner vient de sortir un nouveau Magic Quadrant pour les plateformes de services de contenu.  Microsoft ressort avec Hyland parmi les leaders du marché avec sa solution SharePoint.

Parmi les forces, on retrouve :

• Intégration à la suite de productivité : Microsoft 365 occupe une position dominante sur le marché des suites de collaboration Cloud. L'analyse des médias sociaux renforce cette position, Microsoft étant le fournisseur ayant le plus grand nombre de part de marché. Les services de contenu fournis par Microsoft, principalement soutenus par SharePoint, sont étroitement intégrés dans la plupart des aspects de la suite et constituent le référentiel de contenu par défaut. Les clients de Gartner évaluent de plus en plus Microsoft 365 comme la composante fondamentale de leurs stratégies de services de contenu.
• SaaS : Microsoft 365 est une plateforme SaaS qui bénéficie du cycle de développement et de mise à jour continu que cela implique. Il s'agit d'un service mature offrant de nombreuses options de résidence des données et des contrôles de confidentialité supplémentaires, tels que des clés de cryptage gérées par le client.
• Écosystème de partenaires tiers : Microsoft dispose d'un vaste réseau de partenaires qui fournissent des solutions et des services conçus pour améliorer Microsoft 365, Un programme de partenariat dédié aux services de contenu est en place et actif. De nombreux produits, y compris des adaptateurs d'intégration pour l'automatisation(Power Automate), peuvent être ajoutés directement à partir de l'app store de Microsoft, ce qui permet de renforcer l'activité des développeurs.

Les faiblesses suivantes sont identifiées :

• Dépendances fonctionnelles de tiers : Les clients de Microsoft exigent souvent des fournisseurs tiers pour qu'ils atteignent des capacités totalement équivalentes à celles des autres leaders du Magic Quadrant. L'absence de capacités de capture de gros volumes et les limites de l'automatisation des processus signifient souvent que les entreprises doivent envisager et évaluer des modules complémentaires pour les cas d'utilisation plus traditionnels. Il s'agit notamment de l'automatisation des comptes fournisseurs et de la gestion des dossiers des employés.
• Préoccupations en matière de gestion des dossiers axées sur la conformité : Malgré des investissements supplémentaires, Microsoft présente encore plusieurs lacunes dans ses capacités de gestion des documents. Ces lacunes peuvent être une source de préoccupation pour les entreprises qui ont des exigences importantes en matière de conformité des documents. L'incapacité à détruire immédiatement le contenu et à contrôler entièrement l'immuabilité du contenu est constamment mise en avant comme étant les plus grands défis. Cependant, la simplicité générale de la conservation et de la gestion des documents signifie souvent que des ajouts de tiers sont nécessaires dans les organisations réglementées.
• Limites architecturales : SharePoint impose des limites de taille architecturale qui ne sont pas présentes dans les autres grandes plateformes. La topologie de longue date de SharePoint, basée sur les sites, associée aux limites associées à ces sites, rend plus difficile la conception de processus complexes et centrés sur le contenu. C'est particulièrement vrai lorsqu'il s'agit de prendre en charge des cas d'utilisation de transactions ou d'archivage à haut volume nécessitant, par exemple, des milliards de documents. Bien qu'il ne s'agisse pas d'une limite stricte, il faut tenir compte de la conception et des solutions de contournement supplémentaires, ce qui peut avoir une incidence sur la facilité d'utilisation.

Lire la copie du rapport

Plus d’informations sur : Over 200 million users rely on SharePoint as Microsoft is again recognized as a Leader in the 2020 Gartner Content Services Platforms Magic Quadrant Report - Microsoft 365 Blog

Début décembre, Gartner a sorti un nouveau Magic Quadrant pour les plateformes Cloud de systèmes de gestion de base de données (DBMS).  Microsoft ressort avec Oracle, Amazon Web Services, et Google parmi les leaders du marché. Microsoft propose pour cela une large gamme de service dans Microsoft Azure (Azure SQL, Azure Synapse Analytics, Azure Cosmos DB, etc.).

Parmi les forces, on retrouve :

• Vision de l'écosystème des données Cloud : Microsoft a articulé une vision forte de l'écosystème des données cloud avec Azure Synapse Analytics. Cette vision est plus affinée et plus complète que celle de ses principaux concurrents, et inclut des aspects de sécurité et de métadonnées. La facilité d'intégration avec les autres offres d'Azure est un argument de vente majeur, et l'écosystème est également ouvert aux offres des éditeurs tiers.
• Chemin de migration vers le cloud : Presque toutes les entreprises ont une relation commerciale avec Microsoft, par l'utilisation de ses produits de gestion des données (tels que Microsoft SQL Server), de ses outils de productivité, de ses logiciels de gestion des identités et des accès, et d'autres offres. Azure représente une extension logique de cet écosystème Microsoft, avec un ensemble complet d'offres de cloud computing, une forte communauté d'utilisateurs et une disponibilité immédiate des compétences.
• Etendue et profondeur du portefeuille avec des capacités multimodèles : Microsoft Azure est le deuxième CSP pour la gestion des données par revenus (selon les estimations de Gartner), et la maturité et la profondeur de ses offres reflètent cette force fondamentale. Contrairement à certains de ses concurrents, Microsoft a adopté une stratégie multimodèle pour nombre de ses offres de gestion de données, ce qui peut simplifier le déploiement. Azure Synapse Analytics reflète cette stratégie d'analyse, et Azure Cosmos DB l'incarne pour les SGBD opérationnels non relationnels. Microsoft établit également des liens entre ses offres analytiques et opérationnelles.

Les faiblesses suivantes sont identifiées :

• Maturité de l'écosystème des données Cloud : Bien que la vision de Microsoft pour un écosystème de données dans le Cloud ait été clairement définie, l'écosystème réel est encore en train d'émerger. Alors que les capacités principales d'entreposage de données d'Azure Synapse Analytics sont généralement disponibles au moment de la rédaction du présent document, les autres composants n'atteindront pas leur disponibilité générale complète avant la fin du quatrième trimestre 2020, et des fonctionnalités supplémentaires sont attendues périodiquement dans le cadre des cycles de publication réguliers. Les utilisateurs potentiels doivent vérifier avec soin que les capacités actuelles de Microsoft répondent à leurs besoins et que les délais de livraison des fonctionnalités supplémentaires requises sont clairs.
• Gouvernance financière : Les contributeurs à la plateforme Peer Insights du Gartner rapportent que le passage à Azure a souvent été plus coûteux que leurs déploiements sur site. Cela reflète à la fois un manque de maturité par rapport aux pratiques générales de gouvernance financière au sein de la communauté des utilisateurs finaux et un manque de normalisation de la structure des coûts dans l'ensemble du vaste portefeuille Azure de Microsoft.
• Intercloud et multicloud : Bien que SQL Server soit disponible sur d'autres clouds (c'est l'un des seuls services SGBD qui peut fonctionner dans les trois plus grands clouds publics), les versions prises en charge par la plate-forme en tant que service (PaaS) ont tendance à être à la traîne par rapport aux dernières versions. Bien que Microsoft n'ait aucun contrôle sur ce phénomène, il reflète la tendance des autres compétiteurs à se concentrer d'abord sur leurs propres offres. En outre, les conditions de licence sont structurées (via Azure Hybrid Benefit) de manière à ce que la base de données SQL et/ou l'instance gérée SQL d'Azure soient plus rentables sur Azure que sur d'autres Cloud. Les capacités d'intercloud pour la gestion des données via Azure Arc sont encore en cours de maturation et se limitent à Azure SQL Managed Instance et Azure Database for PostgreSQL Hyperscale.

Lire le rapport.

Plus d’informations sur : Microsoft named a Leader in Gartner’s 2020 Magic Quadrant for Cloud DBMS Platforms | Blog Azure et mises à jour | Microsoft Azure

Ce script fait référence depuis plusieurs années chez les administrateurs SQL (DBA), Ola Hallengren vient de publier une série de mise à jour de son script de maintenance de base de données.

Télécharger la solution de maintenance

Plus d’informations sur les changements : SQL Server Maintenance Solution Version History (hallengren.com)

Forrester a réalisé une étude sur l’impact économique d’adopter Azure Active Directory pour sécuriser ses applications. L’étude revient sur :

• Les challenges clés
• Les économies de coûts
• L’amélioration de la productivité des utilisateurs finaux avec le Seamless SSO.
• La réduction des coûts avec la réinitialisation de mot de passe en libre-service
• La réduction des risques d’un fuite de données.
• Le coût des licences
• Le coût de l’intégration

On apprend qu’Azure AD fournit un ROI de 123%, un payback après 6 mois, etc.

Je vous recommande donc de lire : The Total Economic Impact Of Securing Apps With Microsoft Azure Active Directory

Microsoft vient de mettre à disposition pour tous, la version finale (5.00.9040.1000) de Microsoft EndPoint Configuration Manager 2010. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1806 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 1806.

On retrouve seulement un problème connu avec les droits RBAC : Release notes - Configuration Manager | Microsoft Docs

Microsoft Endpoint Configuration Manager 2010 comprend les nouveautés suivantes : 

Administration

• Le réveil des machines à la date butoir du déploiement prend maintenant en compte la fonctionnalité Wake-up Client afin qu’un client d’un même sous-réseau envoie l’ordre de réveille
• Un paramétrage client When a deployment requires a restart, allow low-rights users to restart a device running Windows Server permet à des utilisateurs à faible droits sur Windows Server de redémarrer ces machines Windows Server pour par exemple des mises à jour logicielles.

• On retrouve plusieurs améliorations autour des collections :
  • Vous pouvez maintenant prévisualiser le résultat d’une requête construite dans l’éditeur de requêtes.

• • Intégration de l’outil Collection Evaluation Viewer directement dans le produit afin de fournir voir les temps d’évaluation, les dates de dernières évaluations, etc.

• • Un diagramme permet de voir les relations de dépendances entre collections de façon graphique. Cela montre les collections limitantes, les inclusions et les exclusions. Ceci permet de vous aider à comprendre l’impact de changements sur des collections.

• ConfigMgr est compliqué à dépanner. Il est particulièrement complexe de comprendre la latence du système et le retard entre les composants. Les fonctions de service Cloud augmentent cette complexité. Vous pouvez désormais utiliser ConfigMgr pour surveiller l’état des scénarios de bout en bout. Il simule les activités pour exposer les mesures de performance et les points de défaillance. Ces activités synthétiques sont similaires aux méthodes que Microsoft utilise pour surveiller certains composants de ses services dans le Cloud. Cette version comprend les deux scénarios suivants :
  • SQL Server Service Broker : Le Service Broker est une configuration requise pour la base de données du site. De nombreux sous-systèmes de base de ConfigMgr utilisent le Service Broker.
  • Client action health : Surveiller la santé du Fast Channel utilisé pour les actions des clients. Si votre environnement est attaché au tenant avec l’upload des périphériques, cette fonction vous aide à détecter les problèmes potentiels liés aux actions des clients à partir du centre d'administration de Microsoft Endpoint Manager. Vous pouvez également utiliser cette fonction pour les actions des clients sur site. Par exemple, CMPivot, l'exécution de scripts et le réveil de périphérique.

• Si le processus d'installation ou de mise à jour ne se déroule pas correctement, vous pouvez désormais signaler l'erreur directement à Microsoft. En cas d'échec, le bouton Signaler l'erreur de mise à jour à Microsoft est activé. Lorsque vous utilisez ce bouton, un assistant interactif s'ouvre et vous permet de fournir plus d'informations.
• Microsoft introduit une tâche d’administration appelée Delete Aged Collected Diagnostic Files permettant d’effacer les fichiers de diagnostic. Les fichiers collectés par la partie Software Inventory ne sont pas supprimés par cette tâche. Les fichiers de diagnostic sont par défaut supprimés après 14 jours.

• L’Administration Service ne requiert plus l’installation de IIS sur le SMS Provider comme auparavant. Le rôle nécessite toujours une connexion HTTPS sécurisée néanmoins à partir de cette version car lorsque vous activez Enhanced HTTP, il crée un certificat auto-signé pour le SMS Provider et le lie automatiquement sans avoir besoin d'IIS.

Gestion attachée au Cloud (Cloud-attached Management)

• Les déploiements de Cloud Management Gateway (CMG) peuvent désormais utiliser une virtual machine scale set dans Azure pour prendre en charge les abonnements des Cloud Service Provider (CSP). Cette fonctionnalité est actuellement en préversion. Pour l'instant, elle n'est destinée qu'aux clients CSP qui n'ont pas déjà une CMG dans un autre abonnement.

• Vous pouvez désormais désactiver l'authentification Azure Active Directory (Azure AD) pour les tenants qui ne sont pas associés aux utilisateurs et aux périphériques. Lorsque vous enregistrez ConfigMgr à Azure AD, il permet au site et aux clients d'utiliser une authentification moderne. Actuellement, l’authentification du périphérique Azure AD est activée pour tous les tenants embarqués, qu'ils disposent ou non de périphériques. Ceci est utile par exemple si vous avez un tenant séparé avec un abonnement que vous utilisez pour exécuter la Cloud Management Gateway et qui ne comprend pas d'utilisateurs ou de périphériques. Dans ce cas, il y a un intérêt de désactiver l'authentification Azure AD.

• Lors de l’enregistrement de ConfigMgr à Azure AD et la création des applications nécessaires à l’authentification, il est maintenant possible de spécifier une expiration à Never pour la clé secrète.

• Si vous utilisez Desktop Analytics ou tenant-attach, le Service Connection Point vérifie maintenant les URLs importantes. Ces vérifications permettent de s'assurer que les services connectés au Cloud sont disponibles. Il vous aide également à résoudre les problèmes en déterminant rapidement si la connectivité du réseau pose un problème.
• Le portail de dépannage du centre d'administration de Microsoft Endpoint Manager permet de rechercher un utilisateur et de visualiser les périphériques qui lui sont associés. À partir de cette version, les périphériques rattachés à un tenant qui se voient attribuer automatiquement une affinité utilisateur/périphérique en fonction de l'utilisation seront désormais renvoyés lors de la recherche d'un utilisateur. 

• Les administrateurs peuvent désormais effectuer les actions suivantes pour les applications dans le centre d'administration de Microsoft Endpoint Manager :
  • Désinstaller une application
  • Réparation de l'installation d'une application
  • Réévaluer le statut d'installation de l'application
  • Réinstaller une application a remplacé Réessayer l'installation

Desktop Analytics

• Support des nouveaux niveaux de diagnostic Windows 10. Microsoft accroît la transparence en classant les données de diagnostic Windows 10 tel que :
  • Les données de diagnostic Basic sont recatégorisées Required
  • Full est recatégorisé comme Optional

Si vous avez déjà configuré des périphériques en Enhanced ou Enhanced (Limited), dans une prochaine version de Windows 10, ils utiliseront le niveau requis.

• Desktop Analytics supporte maintenant Windows 10 Enterprise LTSC 2019 pour permettre aux entreprises d’évaluer la transition vers la version Semi-Annual.

Gestion du contenu

• Le tableau de bord Client data sources offre désormais une sélection élargie de filtres permettant de visualiser les informations sur les sources de contenu des clients. Ces nouveaux filtres comprennent : Single boundary group, All boundary groups, Internet clients, Clients not associated with a boundary group. Le tableau de bord comprend également une nouvelle tuile pour les téléchargements de contenu utilisant une source de repli (fallback). Ces informations vous aident à comprendre la fréquence à laquelle les clients téléchargent du contenu à partir d'une autre source.

• Si vous retirez un contenu d'un point de distribution alors que le système du site est hors ligne, un enregistrement orphelin peut exister dans WMI. Avec le temps, ce comportement peut éventuellement entraîner un état d'alerte sur le point de distribution. Dans le passé, pour pallier ce problème, vous deviez supprimer manuellement les entrées orphelines de WMI. L'outil content library cleanup en mode suppression peut désormais supprimer ces enregistrements de contenu orphelins de WMI.

Gestion des Applications

• Un périphérique basé sur Internet et joint à un domaine qui n'est pas joint ou enregistré à Azure Active Directory (Azure AD) et qui communique via une Cloud Management Gateway (CMG) peut voir les déploiements d'applications en libre-service. L'utilisateur du domaine Active Directory sur le périphérique a besoin d'une identité Azure AD correspondante. Lorsque l'utilisateur démarre le Software Center, Windows lui demande de saisir ses identifiants Azure AD. Il peut alors voir toutes les applications disponibles.  

Mises à jour logicielles

• À partir de la mise à jour cumulative de septembre 2020, les serveurs WSUS en mode HTTP seront sécurisés par défaut. Par défaut, un client qui recherche des mises à jour par rapport à un serveur WSUS HTTP ne peut pas utiliser un proxy utilisateur. Si vous avez toujours besoin d'un proxy utilisateur malgré les compromis en matière de sécurité, un nouveau paramètre client de mise à jour logicielle est disponible pour permettre ces connexions. Pour plus d'informations sur les changements : Changes to improve security for Windows devices scanning WSUS - Microsoft Tech Community

• Pour vous aider à gérer les risques de sécurité, vous serez averti dans la console des périphériques dont le système d'exploitation est dépassé par la date de fin support. Ces périphériques peuvent ne plus recevoir de mises à jour de sécurité. En outre, une nouvelle règle de Management Insights a été ajoutée pour détecter Windows 7, Windows Server 2008 et Windows Server 2008 R2 sans mises à jour de sécurité étendues (ESU).

• Il y a un nouveau paramètre client pour les mises à jour de logiciels. Si le contenu delta n'est pas disponible à partir des points de distribution du groupe de limites actuel, vous pouvez autoriser un repli immédiat vers un voisin ou vers les points de distribution du groupe limite par défaut du site. Ce paramètre est utile lorsque vous utilisez le contenu delta pour les mises à jour logicielles, car le délai d'attente par tâche de téléchargement est de cinq minutes.

Déploiement de systèmes d’exploitation

• Il est désormais possible de déployer un système d’exploitation via la Cloud Management Gateway (donc potentiellement sur Internet) en utilisant un média de démarrage. Vous pouvez donc envoyer une clé USB à vos employés pour qu’ils réimagent leur machine depuis chez eux par exemple.
• Microsoft avait ajouté un type de déploiement pour associer une séquence de tâches à une application. Avec cette version, il est possible de déployer cette application sur une collection utilisateur. Dans ce cas le déploiement ciblé sur l’utilisateur s’exécute dans le contexte System.
• Sur la gestion de la taille de la séquence de tâches :
  • ConfigMgr restreint maintenant les actions pour une séquence de tâches d'une taille supérieure à 2 Mo. L'éditeur de séquence de tâches affichera une erreur si vous essayez de sauvegarder les modifications d'une grande séquence de tâches.
  • Lorsque vous consultez la liste des séquences de tâches dans la console, vous pouvez ajouter la colonne Size (KB) afin d’identifier identifier les grandes séquences de tâches qui peuvent poser des problèmes.
• Depuis Windows 10 2004, l'outil de diagnostic SetupDiag est inclus dans le setup de Windows. En cas de problème avec la mise à jour, SetupDiag s'exécute automatiquement pour déterminer la cause de la panne. ConfigMgr rassemble et résume désormais les résultats de SetupDiag à partir des déploiements de mise à jour des fonctionnalités avec Windows 10 Servicing.
• Depuis ConfigMgr 1910, pour améliorer la vitesse globale de la séquence des tâches, vous pouvez activer le plan d'alimentation High Performance de Windows. À partir de cette version, vous pouvez désormais utiliser cette option sur les périphériques dotés d'un mode de veille moderne et sur d'autres appareils qui n'ont pas ce plan d'alimentation par défaut.

Protection

• Vous pouvez désormais gérer les stratégies BitLocker et ingérer les clés de récupération via une Cloud Management Gateway (CMG). Ce changement permet également de gérer BitLocker via une gestion des clients basée sur Internet (IBCM). Ceci ne requiert pas de changement dans le processus de configuration de la gestion de BitLocker.
• Vous pouvez appliquer des stratégies Microsoft Defender Application Control sur des périphériques exécutant Windows Server 2019.

Console Configuration Manager

• La console ConfigMgr dispose d'un nouvel assistant pour l'envoi de commentaires. L'assistant remanié améliore le flux de travail en donnant de meilleures indications sur la manière de soumettre les bonnes de retour d’information. Il y a également une nouvelle requête de message d’état, Feedback sent to Microsoft afin de trouver facilement les messages d’état de retour.

(screen)

• La présentation a été améliorée pour les notifications dans la console. Les notifications sont plus lisibles et le lien d'action est plus facile à trouver. En outre, l'âge de la notification est affiché pour vous aider à trouver les dernières informations. Si vous rejetez une notification ou si vous faites Snooze, cette action est désormais persistante pour votre utilisateur sur toutes les consoles.

• Vous pouvez désormais copier les données de découverte des périphériques et des utilisateurs dans la console. Copiez les détails dans le presse-papiers, ou exportez-les tous dans un fichier. Ces nouvelles actions vous permettent d'obtenir plus facilement et rapidement ces données à partir de la console. Par exemple, vous pouvez copier l'adresse MAC d'un périphérique avant de le réimager.
• Diverses zones de la console utilisent désormais la police à largeur fixe Consolas. Cette police de caractères offre un espacement cohérent et facilite la lecture.

• Vous disposez désormais d'un moyen plus simple de visualiser les messages d’état des objets. Sélectionnez un objet dans la console, puis sélectionnez Show Status Messages dans le menu ruban.

• Désormais, lorsque vous importez un objet dans la console, il importe vers le dossier en cours. Auparavant, ConfigMgr mettait toujours les objets importés dans le nœud racine. Ce nouveau comportement s'applique aux applications, aux packages, aux drivers packages, et aux séquences de tâches.
• Pour vous aider à créer des scripts et des requêtes dans la console, vous verrez désormais la coloration syntaxique et le code folding, si disponible.

PowerShell

• Vous pouvez maintenant utiliser Update-Help pour obtenir les dernières informations du module PowerShell de Configuration Manager via la commande Update-Help -Module Configuration Manager.
• Le module PowerShell supporte maintenant PowerShell 7.
• Avec plus de clients qui gèrent désormais des périphériques à distance, cette version comprend plusieurs nouvelles cmdlets PowerShell améliorées pour la Cloud Management Gateway (CMG). Vous pouvez utiliser ces cmdlets pour automatiser la création, la configuration et la gestion des exigences du service CMG et de l'Azure Active Directory (Azure AD).

Plus d’informations sur cette version : What’s new in version 2010

Pour obtenir les éléments relatifs au processus de mise à jour : Updates and servicing - Configuration Manager | Microsoft Docs

Microsoft vient d’annoncer la dépréciation des APIs d’Exchange Online : Outlook REST (Beta) et Outlook REST API v2.0 au profit de Microsoft Graph API. Ces points de terminaison seront retirés le 30 novembre 2022.

Vous devez donc votre faire votre transition vers Microsoft Graph. Pour cela, vous pouvez vous aider de la documentation : Compare Microsoft Graph and Outlook endpoints - Outlook Developer | Microsoft Docs

Source : Outlook REST API beta and Outlook REST API v2.0 Deprecation Notice - Microsoft Tech Community

Microsoft a publié un rapport Power BI pour suivre le Secure Score à travers le temps pour suivre l’état de sécurité des ressources supervisées avec Azure Defender (anciennement Azure Security Center).

Les prérequis suivants sont nécessaires :

• Un compte Power BI
• L’utilisation du Playbook Get-SecureScoreData pour exporter les données
• L’utilisation de Power BI Desktop (version 2.86.727.0 ou plus)

Pour obtenir plus d’informations et télécharger le rapport : Azure-Security-Center/Secure Score/PowerBI-SecureScoreReport at master · Azure/Azure-Security-Center · GitHub

En outre, Microsoft a publié un article pour exporter le Secure Score de manière continue : Continuously Export Secure Score for Over-Time Tracking and Reporting (Preview) - Microsoft Tech Community

Microsoft vient de publier un guide complet sur la mise en place d’une résilience basée sur Azure Active Directory. L’article contient des éléments sur :

• Les infrastructures. Les administrateurs doivent utiliser des fonctionnalités telles que la gestion des identifiants riches, les états des périphériques, l'évaluation continue de l'accès, les composants hybrides tolérants aux pannes et les mises en œuvre d'identités externes intelligentes.
• Des guidelines pour les développeurs. Les développeurs doivent utiliser MSAL et/ou utiliser des modèles résilients pour l'authentification et le traitement des jetons, utiliser Authenticator sur les périphériques mobiles et envisager d'adopter l'évaluation d'accès continu pour leurs applications.
• Des orientations B2C. Pour les développeurs Azure AD B2C, Microsoft recommande d'adopter autant que possible des expériences sans friction pour les utilisateurs, d'optimiser la gestion des erreurs des API externes et de mettre en œuvre diverses bonnes pratiques pour tester et surveiller leurs applications.

Voici l’article principal : Building resilient identity and access management with Azure Active Directory | Microsoft Docs