Microsoft a créé une documentation visant à vous aider pour dépanner les problèmes qui pourraient survenir avec le scanner Azure Information Protection.
On y retrouve :

• L’utilisation de l’outil de diagnostic scanner.
• Le dépannage des analyses qui tombent en timeout
• Les références aux erreurs d’analyse

Lire : Troubleshoot your on-premises scanner deployment | Microsoft Docs

Les rapports s’améliorent de mois en mois dans Microsoft Endpoint Manager (Intune) mais Petri Paavola (MVP Windows) propose des scripts PowerShell qui réalisent des rapports HTML des assignations et déploiement de stratégies et d’applications de l’environnement.

On retrouve deux scripts principaux :

• Create_IntuneConfigurationAssignments_HTML_Report.ps1 pour créer un rapport des déploiements pour les stratégies de configuration.
• Create_IntuneMobileAppAssignments_HTML_Report.ps1 pour créer un rapport des déploiements d’applications.

Obtenir les scripts : Intune/Reports at master · petripaavola/Intune · GitHub

Microsoft planifie un cours gratuit dirigé par l’équipe produit sur Windows Virtual Desktop (WVD). Microsoft va présenter la solution, des éléments sur la roadmap, les bonnes pratiques et des labs :

• Vision du produit et feuille de route
• Les fondamentaux de la sécurité
• 10 choses que vous ne saviez pas sur Windows Virtual Desktop en 10 minutes
• Exploiter votre déploiement à l'échelle
• Simplifier la gestion des images et des applications
• Conseils pour l'optimisation des coûts
• Bonnes pratiques pour les charges de travail sensibles au temps de latence
• Les leçons des clients qui migrent vers Windows Virtual Desktop

L’événement a lieu 28 Janvier 2021 de 18h à 01h (heure française)

Si vous procédez à l’enregistrement, vous serez dans la capacité de regarder l’événement à nouveau.

Windows Virtual Desktop Event | Microsoft Azure

Microsoft vient de formaliser un parcours d’apprentissage autour d’Azure Sentinel. Ce dernier vient compléter la formation précédente en fournissant un aperçu sur la base des thèmes suivants :

• Introduction à Azure Sentinel
• Déployer Azure Sentinel et connecter les sources de données
• Détection des menaces avec l'analyse d'Azure Sentinel
• Gestion des incidents de sécurité dans Azure Sentinel
• Investigation avec Azure Sentinel
• Réponse aux menaces avec les playbooks Azure Sentinel
• Interroger, visualiser et surveiller les données dans Azure Sentinel

Accéder à Cloud-native security operations with Azure Sentinel - Learn | Microsoft Docs

En parallèle, je vous remets le lien vers la formation : Become an Azure Sentinel Ninja: The complete level 400 training - Microsoft Tech Community

Aujourd’hui, je vous partage une astuce qui facilite grandement la vie des administrateurs informatiques afin d’enregistrer des périphériques Android dans les modes Fully Managed (COBO) et Corporate-owned devices with work profile (COPE) avec le QR Code. Il est possible d’éditer ce QR Code avec un service afin d’ajouter des éléments de configuration.

Pour ce faire :

1. Ouvrez le centre d’administration Microsoft Endpoint Manager et naviguez dans Devices – Enroll Devices – Android enrollment puis choisissez le profil d’enregistrement COBO ou COPE.
2. Récupérez le QR Code en enregistrant l’image.
3. Connectez-vous au site : Android Enterprise QR Code Generator (datalogic.github.io)
4. Sélectionnez l’option Import et chargez l’image du QR Code précédemment extraite.
5. Vous retrouvez ensuite les différentes configurations :

Component name of admin receiver est spécifique à l’enregistrement

Download and enrollment permet de rediriger vers l’application Microsoft Intune et le numéro du Token

Configure Wi-Fi Network vous permet de configurer un réseau Wi-Fi qui sera utilisée lors de cette phase d’enregistrement. Cette configuration est très pratique car elle permet d’éviter de le faire manuellement. Vous pouvez renseigner le SSID, le type de sécurité, le mot de passe, et la configuration proxy.

Additional Android Enterprise properties permet de :

• Passer le chiffrement du périphérique
• Laisser toutes les applications système activées
• Configurer la langue et le pays
• La date et l’heure du périphérique (la valeur est statique ; il est donc préférable d’éviter la configuration)
• Le fuseau horaire

Datalogic properties permet de spécifier des données spécifiques à DataLogic

Une fois terminé, vous pouvez cliquer sur Generate Code afin de récupérer le QR Code qui peut être utilisé sur vos périphériques.

Je souhaitais revenir sur une annonce importante qui n’a pas forcément eu l’écho nécessaire. Auparavant, il était possible de peupler correctement le numéro de téléphone dans l’annuaire Active Directory et d’utiliser Azure Active Directory Connect pour répliquer ce numéro qui est ensuite utilisé lors de l’enregistrement de l’authentification à facteurs multiples (MFA) ou de la réinitialisation du mot de passe en libre-service (SSPR). A partir du 1^er Mai 2021, cette capacité ne sera plus disponible !

Il faudra alors passer par des scripts pour aller mettre à jour directement le numéro via Graph API ou PowerShell.

Plus d’informations sur : Gérer les méthodes d'authentification d'Azure AD Multi-Factor Authentication - Azure Active Directory | Microsoft Docs

Source : Updates to managing user authentication methods - Microsoft Tech Community

Je souhaitais vous partager un script de Microsoft qui permet une analyse des utilisateurs dans Azure AD et vous fournit des recommandations sur l’amélioration de la configuration de l’authentification à facteurs multiples (MFA).

Le script doit être exécuté avec un utilisateur sur le tenant disposant à minima des droits user Administrator. Lors de l’exécution, vous devez spécifier l’identifiant de votre tenant.

.\MfaAuthMethodAnalysis.ps1 -TenantId <tenantID>

Télécharger : Script for Azure MFA authentication method analysis - Code Samples | Microsoft Docs

Jonas Ohmsen (PFE Microsoft) propose une série de rapports détaillant la conformité des mises à jour avec Microsoft Endpoint Configuration Manager. On retrouve par défaut une série de rapports mais qui ne répondent parfois pas forcément exactement aux besoins des entreprises. Les rapports de Jonas méritent que l’on y jette un œil.

Il propose notamment :

• Un rapport d’aperçu de la conformité en fonction d’une collection
• Un sous rapport avec la liste des machines non conformes
• Un sous rapport offrant l’état de conformité des mises à jour pour une machine

Plus d’informations sur : Mastering Configuration Manager Patch Compliance Reporting - Microsoft Tech Community

Télécharger les rapports sur : GitHub - jonasatgit/updatereporting: MECM update reporting solution

Lothar Zeitler (Senior PM Microsoft Endpoint Manager) a publié un billet décrivant l’intégration entre Microsoft Endpoint Manager (Intune) et le système de gestion des mises à jour Android de Samsung E-FOTA.

L’article permet :

• La création d’un groupe comportant les modèles Android concernés par la gestion E-FOTA
• L’interconnexion d’Azure AD et Samsung E-FOTA par la création d’une application enregistrée.
• La connexion d’E-FOTA via l’application enregistrée.
• L’ajout des groupes à E-FOTA
• La création d’une campagne ciblant le groupe.
• La configuration des périphériques pour la connexion avec le service E-FOTA en utilisant OEMConfig.

Pour obtenir la procédure complète, vous pouvez lire le billet : Samsung E-FOTA Update Management with Microsoft Endpoint Manager - Intune - Microsoft Tech Community

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Gestion des applications

• [Général] De nouvelles applications protégées sont disponibles et peuvent recevoir des stratégies de protection applicatives (APP/MAM) :
  • Dynamics 365 Remote Assist
  • Box - Cloud Content Management
  • STid Mobile ID
  • FactSet 3.0
  • Notate for Intune
  • Field Service (Dynamics 365)

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

L’équipe Azure Sentinel a publié un billet visant à donner des instructions permettant l’ingestion de données provenant de plusieurs tenants Office 365 et Azure Active Directory dans Azure Sentinel. Nativement, ceci n’est pas possible mais l’article revient sur l’utilisation de playbook via Logic App et Azure Function pour aller lire les données dans les différentes APIs et les écrire dans des tables.

Plus d’informations sur : O365 & AAD Multi-Tenant Custom Connector - Azure Sentinel - Microsoft Tech Community

Pouyan Khabazi (MSFT) a publié un billet que je trouve très intéressant. Avec la montée en puissance d’Azure Sentinel chez les clients, l’utilisation d’une approche DevOps pour déployer et maintenir Azure Sentinel est clairement une belle opportunité. Son article revient sur l’utilisation d’Infrastructure as Code, d’Azure DevOps, etc.

Je vous recommande de lire : Deploying and Managing Azure Sentinel - Ninja style - Microsoft Tech Community

Microsoft vient de réaliser plusieurs annonces qui concernent son programme de certification. Auparavant, quand vous procédiez à l’acquisition d’une certification basée sur un rôle, vous deviez repasser un examen afin de vous recertifier car ce dernier avait une durée de validité de 2 ans.

A partir de février 2021, il sera possible de renouveler vos certifications basées sur des rôles en passant une évaluation gratuite sur Microsoft Learn. Ceci pourra se faire en ligne sans avoir à planifier un examen dédié dans les 6 mois précédent l’expiration de votre certification. Après le passage avec succès, votre certification se voit étendue d’une année à partir de la date courante d’expiration. Microsoft fournira des modules permettant de se préparer à chaque renouvellement.

A partir de juin 2021, Microsoft mettra à jour la durée de validité des certifications basées sur des rôles et de spécialité à un an à partir de la date d’obtention (contre deux). Ceci concerne toutes les nouvelles applications acquises. Le but est de permettre de plus facilement aligner les changements liés au Cloud avec le renouvellement des certifications et l’évaluation des compétences.

Source : Stay current with in-demand skills through free certification renewals - Microsoft Tech Community

L’équipe Intune a publié un billet à propos d’un problème concernant l’application de stratégies de protection applicatives (APP/MAM) qui ne sont pas délivrées aux périphériques Windows dû à une adresse IP manquante. Si votre organisation utilise un pare-feu ou network protection qui cible ou restreint les adresses IP accessibles, Microsoft recommande de mettre à jour votre configuration réseau pour permettre le trafic réseau vers et depuis toutes les plages d'IP MAM, comme indiqué dans Network endpoints for Microsoft Intune.

Pour ce faire, vous pouvez créer une stratégie de type :

• Ouvrez le centre d’administration MEM
• Cliquez sur Endpoint Security puis naviguez dans Firewall.
• Sélectionnez Create Policy puis Windows 10 and later et Microsoft Defender Firewall rules
• Spécifiez un nom puis ajoutez les règles pour les adresses IP spécifiées dans l’URL : Network endpoints for Microsoft Intune

Plus d’informations : Support Tip: Devices not receiving APP/MAM policies due to missing IP addresses - Microsoft Tech Community

Microsoft a introduit un ensemble de nouveautés dans Azure Defender (anciennement Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Disponibilité Générale d’Azure Defender for SQL permettant la protection des serveurs SQL Server On-Premises. Ceci couvre aussi les serveurs SQL hébergés dans d’autres Clouds (AWS, GCP, etc.). Cette disponibilité générale apporte notamment le support pour des pools SQL dédiés Azure Synapse Analytics
• Preview d’Azure Defender pour Azure Resource Manager permettant la supervision de toutes les opérations de gestion des ressources réalisées dans l’organisation au travers du portail Azure, des APIs REST Azure, d’Azure CLI, ou des clients programmatiques Azure. Vous obtiendrez des informations sur les opérations suspicieuses (depuis des adresses IP ou désactivation d’anti-malware, de scripts, etc.), l’utilisation de kit d’exploitation (Microburst ou PowerZure) ou les mouvements latéraux entre couches de gestion Azure.
• Preview d’Azure Defender pour DNS pour permettre la protection en supervisant toutes les requêtes DNS depuis des ressources Azure. Ceci permet de couvrir l’exfiltration de données depuis des ressources Azure en utilisant DNS tunneling, la communication de malware avec des serveurs de Command et Control, les communications avec des domaines malicieux, les attaques DNS.
• Les administrateurs globaux peuvent désormais s'accorder des autorisations au niveau des tenants. En effet, un utilisateur ayant le rôle d'administrateur global d'Azure Active Directory peut avoir des responsabilités au niveau du tenant, mais n'a pas les permissions Azure pour voir les informations de l’entreprise dans Azure Security Center.
• Previex d’une nouvelle page d’alertes de sécurité dans le portail Azure ayant été revue pour :
  • Améliorer de l'expérience de triage des alertes - pour réduire la fatigue des alertes et se concentrer plus facilement sur les menaces les plus pertinentes, la liste comprend des filtres personnalisables et des options de regroupement
  • Donner plus d'informations dans la liste des alertes - telles que les tactiques de MITRE ATT&ACK
  • Offrir un bouton de création d'alertes types - pour évaluer les capacités d'Azure Defender et tester la configuration de vos alertes (pour l'intégration SIEM, les notifications par courrier électronique et les automatismes de flux de travail), vous pouvez créer des alertes types à partir de tous les plans d'Azure Defender
  • S’aligner sur l'expérience d'Azure Sentinel en matière d'incidents - pour les clients qui utilisent les deux produits, passer de l'un à l'autre est désormais une expérience plus simple et il est facile d'apprendre l'un de l'autre
  • Offrir de meilleures performances pour les listes d'alerte volumineuses
  • Permettre la navigation au clavier dans la liste d'alerte
• L’expérience a été revue pour Azure SQL Database et SQL Managed Instance avec les recommandations de sécurité, les alertes de sécurité, les trouvailles (findings).

• La page d'inventaire dans Azure Security Center a été rafraîchie avec les changements suivants :

• • Guides and feedback a été ajouté à la barre d'outils et ouvre un volet contenant des liens vers des informations et des outils connexes.
  • Un filtre d'abonnement a été ajouté aux filtres par défaut disponibles pour vos ressources.
  • Un lien Open query permet d’ouvrir les options du filtre actuel en tant que requête de graphique de ressources Azure (anciennement appelé "View in resource graph explorer").
  • Options de l'opérateur pour chaque filtre. Vous pouvez maintenant choisir parmi des opérateurs logiques supplémentaires autres que "=". Par exemple, vous pourriez vouloir trouver toutes les ressources avec des recommandations actives dont les titres comprennent la chaîne "encrypt".

• La recommandation "Web apps should request an SSL certificate for all incoming requests" a été déplacée de security control Manage access and permissions (qui vaut un maximum de 4 points) à Implement security best practices (qui ne vaut aucun point).

• Les outils d'exportation continue d'Azure Security Center vous permettent d'exporter les recommandations et les alertes du Security Center pour les utiliser avec d'autres outils de surveillance dans votre environnement. Ces outils ont été améliorés et développés de la manière suivante :
  • Amélioration des stratégies de d’export continu deployifnotexist.
  • Ajout de données d'évaluation de la conformité réglementaire (Preview). Vous pouvez désormais exporter en continu les mises à jour des évaluations de conformité réglementaire, y compris pour toute initiative personnalisée, vers un espace de travail Log Analytics ou un Event Hub.

Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Cloud App Security. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve :

• Il est maintenant possible de recevoir des emails de notifications pour la création ou la mise à jour d’un incident. Cette notification contient ensuite le nom de l’incident, sa sévérité et sa catégorie.
• Microsoft a réalisé des changements dans les tables EmailEventset EmailAttachmentInfo concernant les données Office 365 avec deux nouvelles colonnes pour l’émetteur. On retrouve de nouvelles colonnes qui se mappent sur d’ancienne colonnes. Pour avoir l’exhaustivité des changements : Additional email data in advanced hunting - Microsoft Tech Community
• Microsoft harmonise les valeurs des sources de service (ServiceSource) et les sources de détection (DetectionSource) pour faire correspondre les changements de nom des différents produits (Microsoft Defender for Endpoint, Microsoft Defender for Office 365, etc.)
• On retrouve la public preview avec de nouvelles sources de données fournissant les journaux d’audit Azure Active Directory dans la fonctionnalité Advanced Hunting. Pour l’instant, l’ingestion a une dépendance sur MCAS et le connecteur Office 365 mais Microsoft a pour objectif de l’étendre à d’autres clients.
• Microsoft publie un article pour détailler comment utiliser Microsoft 365 Defender pour détecter Solorigate : Le 28 décembre, Microsoft complète ses recommandations par un article pour investiguer Solorigate avec Microsoft 365 Defender : Using Microsoft 365 Defender to protect against Solorigate - Microsoft Security

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Ajout d’une nouvelle alerte pour les investigations d’email exécutées par un administrateur. Ceci permet de voir les investigations dans Microsoft 365 Defender. Ces alertes seront corrélées dans les incidents pour les associées à une attaque.
• Ajout d’un nouveau type d’entité Mailbox Configuration permettant de clairement voir les éléments de configuration de boite aux lettres suspicieux depuis les onglets évidences, et investigation d’un incident. Vous pouvez par exemple voir les éventuelles règles de redirection, les délégations suspicieuses, etc.
• La vue des entités sur l’incident levé lors qu’une suspicion de compromission d’un utilisateur a été mise à jour pour inclure un onglet Email Clusters permettant de lister les emails similaires à des messages malicieux.
• Microsoft a supprimé l’action redondante Block URL. Cette action apparaît quand l’investigation trouve une URL malicieuse. Comme la stack de protection d'Office 365 bloquera l'URL au moment de la livraison et des clics via Safe Links, l'action d'enquête n'est plus nécessaire.  Il y aura à l'avenir des utilisations d'actions dans la partie Hunting et de l'explorateur pour des actions de correction de faux positifs et faux négatifs liés à l'administration.
• La Public Preview des trainings de simulation d’attaque délivré en partenariat avec Terranova Security est maintenant disponible pour tous les clients Microsoft 365 E3 en plus des clients Microsoft Defender for Office 365 P2, Microsoft 365 E5 et Microsoft Security E5. Ce service permet de découvrir, quantifier et remédier les risques social engineering à travers tous les utilisateurs.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Azure Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft annonce l’arrivée de Sixgill TAXII Server permettant d’obtenir les données Threat Intelligence à partir de Sixgill dans Azure Sentinel en utilisant le connecteur Threat Intelligence – TAXII Data.
• On retrouve 80 nouvelles requêtes d’investigation (Hunting) sur étagère.  Ces requêtes sont rassemblées au travers des 10 catégories du Framework MITRE ATT&CK.
• La sauvegarde d’un workbook comme workbook privé va être déprécié à partir de Janvier 2021. Ce sera possible d’accéder à ces workbooks privés mais les éditions et les sauvegardes ne pourront plus être possibles.
• Microsoft a ajouté un flag New à côté des nouveaux modèles de règles d’analytique.
• Microsoft a fait des améliorations sur l’agent Log Analytics afin de rendre plus facile son utilisation à travers des plateformes. On retrouve notamment : CentOS 8, RedHat 8, SUSE Linux 15 mais aussi le support de Python 3.

Microsoft Endpoint Manager (Intune) propose une stratégie de connexion de données qui est utilisée pour collecter les données nécessaires à Endpoint Analtyics et d’autres services. Sur les postes Windows 10 Pro, la stratégie peut remonter en erreur.

En réalité, Windows 10 Pro requiert le correctif cumulatif de Novembre 2020 pour que la stratégie fonctionne :

• Windows 10 Pro 1903 et 1909 nécessite KB4577062 ou un correctif cumulatif ultérieur.
• Windows 10 Pro 2004 et 20H2 nécessite  KB4577063 ou un correctif cumulatif ultérieur.

Avec la crise sanitaire, les entreprises ont fait face à un changement dans la façon de devoir administrer leurs périphériques. En effet, ces derniers ne sont plus présents physiquement dans l’entreprise et il peut devenir difficile d’assurer les opérations de mise à jour ou de déploiement des applications. Beaucoup d’entreprises ont implémenté des Cloud Management Gateway avec l’outil d’administration Microsoft Endpoint Configuration Manager. La puissance de cette passerelle n’est plus à démontrer mais il existe quelques astuces qui peuvent permettre d’en optimiser le coût. Le client Microsoft 365 Apps n’échappe pas à la règle. La taille de cette application peut être conséquente notamment dans des contextes internationaux avec de nombreux packs de langues (plusieurs giga-octets).  Martin Nothnagel (MSFT) a publié un billet détaillant la capacité de déployer le client Microsoft 365 Apps avec ConfigMgr tout en limitant l’impact réseau avec la récupération des sources sur l’Office CDN.

La technique revient à retirer les sources du packages et modifier le fichier de configuration pour que le client se procure les sources depuis l’Office CDN.

Je vous invite à lire son article : Deploy Microsoft 365 Apps to remote workers - Microsoft Tech Community

J’en profite de cette période pour dépiler des retours d’expérience sur certains sujets et notamment Windows Autopilot. A partir de Windows 10 2004, il est possible d’utiliser le profil Autopilot pour configurer la langue (région) et le clavier de la machine.

Ces paramètres ne peuvent pour l’instant pas être défini lorsque vous utilisez le scénario de préprovisionnement (White Glove).

En effet, la définition de ces deux paramétrages ne permet pas d’appuyer 5 fois sur la touche Windows sur ces écrans afin de lancer le processus White Glove.

Microsoft travaille à corriger ce problème qui requiert à la fois un changement dans Windows mais aussi sur la page de connexion Azure AD.

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en décembre 2020.

Microsoft apporte les nouveautés suivantes :

• 18 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : AwareGo, HowNow SSO, ZyLAB ONE Legal Hold, Guider, Softcrisis, Pims 365, InformaCast, RetrieverMediaDatabase, vonage, Count Me In - Operations Dashboard, ProProfs Knowledge Base, RightCrowd Workforce Management, JLL TRIRIGA, Shutterstock, FortiWeb Web Application Firewall, LinkedIn Talent Solutions, Equinix Federation App, KFAdvance.
• Nouveau partenariat avec Aquera pour automatiser le provisionnement d’utilisateur à partir de plus de 25 applications RH vers plus de 300 applications.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :

• Bizagi Studio for Digital Process Automation
• CybSafe
• GroupTalk
• PaperCut Cloud Print Management
• Parsable
• Shopify Plus

• Microsoft propose une nouvelle expérience personnalisée pour la découverte des applications proposées aux utilisateurs finaux dans le portail My Apps. Les collections d’applications permettent aux administrateurs de construire des regroupements sur la base de rôles ou de types ou fonctions.
• Public Preview de la gestion des mots de passe et du remplissage automatique via l’application Microsoft Authenticator pour tous les sites ou applications utilisés sur le périphérique mobile. Ces mots de passe peuvent ensuite être synchronisés sur tous les périphériques desktop (via l’extension Google Chrome adéquate) et mobile. La fonctionnalité est pour l’instant disponible uniquement pour les comptes Microsoft mais la roadmap cible aussi les comptes Azure AD.
• Public Preview des stratégies par défaut d’enregistrement et de connexion par téléphone d’Azure AD B2C.

On retrouve les modifications de service suivantes :

• A partir du 1^er Avril 2021, Microsoft passe le niveau de service (SLA) d’Azure AD de 99,9% à 99,99% pour les authentifications d’utilisateurs Azure AD. Ceci est le résultat d’un programme d’amélioration de la résilience du service Azure AD. Microsoft s’apprête à lancer d’autres chantiers pour améliorer la résilience d’Azure AD B2C ou proposer d’autres axes sur Azure AD en 2021.
• Disponibilité Générale de l’activation par défaut de Security Defaults sur l’ensemble des nouveaux tenants créés après le 11 novembre. Ceci permet de demander à tous les utilisateurs et administrateurs d’enregistrer du MFA avec l’application Microsoft Authenticator. La stratégie demande aussi aux administrateurs critiques d’utiliser du MFA toutes les fois où ils se connectent. Enfin, l’authentification héritée est bloquée au travers du tenant.
• Disponibilité Générale du support des groupes avec plus de 250 000 membres dans Azure AD Connect. Ceci est rendu possible par le déploiement d’une nouvelle API afin d’améliorer les performances et les opérations sur le service.
• Disponibilité Générale du service Entitlement Management pour les tenants dans Azure China.

Plus d’informations sur : What’s new Azure AD

A l’occasion de cette fin d’année, Microsoft a annoncé deux Preview autour de Windows Virtual Desktop. Pour rappel, Windows Virtual Destkop est un service de VDI/Bureau à distance hébergé dans Microsoft Azure. Il permet d’héberger des machines virtuelles Windows 10 Enterprise ou Windows 7 SP1 Enterprise (avec support étendu) afin notamment d’exécuter des applications soit pour des problèmes de compatibilité soit pour donner accès à des ressources à distance. Les entreprises qui ont acheté Windows 10 Enterprise peuvent toutes bénéficier de ce service sans surcout de licences. Le seul coût est au niveau du calcul, du stockage et de la bande passante généré par ces machines virtuelles.

On retrouve notamment :

• L’intégration de MSIX App Attach dans le portail Azure. Précédemment, vous deviez utilise des scripts PowerShell pour activer MSIX App Attach. Maintenant, l’intégration peut se faire dans le portail avec Azure Resource Manager rendant possible de publier des applications packagées ciblées sur des groupes d’applications en quelques clics.
• La protection contre la capture de l’écran est disponible empêchant que des informations sensibles puissent être extraites. Ceci bloque donc les screenshots, le partage d’écran, etc.

Microsoft a publié la première itération du module PowerShell pour Azure Sentinel. Le module Az.SecurityInsights est disponible en version 0.1.0 et donne accès aux cmdlets suivantes :

• Get-AzSentinelAlertRuleAction
• New-AzSentinelAlertRuleAction
• Remove-AzSentinelAlertRuleAction
• Update-AzSentinelAlertRuleAction
• Get-AzSentinelAlertRule
• New-AzSentinelAlertRule
• Remove-AzSentinelAlertRule
• Update-AzSentinelAlertRule
• Get-AzSentinelAlertRuleTemplate
• Get-AzSentinelBookmark
• New-AzSentinelBookmark
• Remove-AzSentinelBookmark
• Update-AzSentinelBookmark
• Get-AzSentinelDataConnector
• New-AzSentinelDataConnector
• Remove-AzSentinelDataConnector
• Update-AzSentinelDataConnector
• Get-AzSentinelIncidentComment
• New-AzSentinelIncidentComment
• Get-AzSentinelIncident
• New-AzSentinelIncident
• New-AzSentinelIncidentOwner
• Remove-AzSentinelIncident
• Update-AzSentinelIncident

Pour l’installer : Install-Module -Name Az.SecurityInsights

Pour plus de details sur son utilisation : New Year - New Official Azure Sentinel PowerShell Module! - Microsoft Tech Community

Accéder au module : PowerShell Gallery | Az.SecurityInsights 0.1.0

Avec les récentes cyberattaques, Microsoft publie un article visant à rassembler toutes les bonnes pratiques pour sécuriser Microsoft 365 et Azure AD des attaques qui peuvent avoir lieu On-Premises. Il y a plusieurs basics et éléments de bon sens mais qui font toujours défaut chez les clients. Par exemple, il est primordial que les comptes ayant des privilèges dans Azure AD (Global Admin, Exchange Admin, etc.) soient des comptes Cloud Only et qu’ils ne soient pas issus de comptes synchronisés qui pourraient être compromis dans le cadre de l’attaque de l’annuaire On-Premises.

On pense aussi au fait de ne pas baser l’authentification sur de la fédération ou à minima d’activer les mécanismes de synchronisation de mot de passe (PHS) pour assurer une redondance en cas de perte de son annuaire On-Prem.

Mais, on retrouve bien entendu tous les autres concepts : Authentification à facteurs multiples, station de travail d’administration, de provisionnement des utilisateurs depuis le Cloud, de stratégies d’accès conditionnel, etc.

Je vous invite à lire l’article qui donne une feuille de route assez précise des actions à réaliser :  Protecting Microsoft 365 from on-premises attacks - Microsoft Tech Community