Microsoft vient de publier une nouvelle version (10.1.0.6) du Management Pack à destination des systèmes d’exploitation Windows Server 2016 et Windows Server 1709 ou plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Cette version corrige le problème d'ingestion de données des règles de collecte des performances des disques en cluster pour les règles suivantes dans le cluster Shared Volume Monitoring Management Pack

• Règle de collecte pour Average Disk Seconds Per Read Windows Server Cluster Disk
• Règle de collecte pour Average Disk Seconds Per Write Windows Server Cluster Disk
• Règle de collecte pour Average Disk Seconds Per Transfer Windows Server Cluster Disk

Ce Management Pack supporte les systèmes d’exploitation suivants :

• Windows Server 2016.
• Windows Server Nano
• Windows Server 1709
• Windows Server 2019
• Windows Server 2022

Il peut être utilisé sur System Center Operations Manager 2016 et 2019.

Télécharger Microsoft System Center Management Pack for Windows Server Operating System 2016 and above

Microsoft vient de publier une nouvelle version (10.0.3.2) du pack d’administration ou Management Pack (MP) SCOM pour Active Directory Federation Services. Elle ne fonctionne qu’avec System Center 2012 Operations Manager et plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Il supervise les éléments suivants :

• Des événements qui indiquent un problème de service
• Des alertes qui indiquent les problèmes de configuration ou les tâches en échecs
• Si l’audit a lieu avec succès
• Les communications entre le Federation Server et le Federation Server Proxy
• Les notifications des demandes d’accès malformées
• La disponibilité du site Web
• L’état de santé du certificat SSL du site web de fédération dans IIS

Cette version corrige des problèmes d’instances dupliquées. Il a été aussi rendu agnostique.

Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger System Center Management Pack for Active Directory Federation Services

Il y a quelques semaines, Microsoft intégrait Performance Analyzer, un analyseur des performances dans Microsoft Defender Antivirus et Microsoft Defender for Endpoint (MDE).                                                                                                                      Cet outil vous permet et permet aux équipes du support de Microsoft de comprendre d’où peuvent venir d’éventuels problèmes de performance.

Depuis la version de plateforme 4.18.2201.10 de Microsoft Defender Antivirus apporte :

• Le support de PowerShell à distance via New-PSSession
• Le support de PowerShell 6.X/7.X

Vous devez utiliser New-MPPerformanceRecording et Get-MPPerformanceReport.

Plus d’informations sur : Performance analyzer for Microsoft Defender Antivirus | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en octobre 2021.

Microsoft apporte les nouveautés suivantes :

• 10 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Adaptive Shield, SocialChorus Search, Hiretual-SSO, TeamSticker by Communitio, embed signage, JoinedUp, VECOS Releezme Locker management system, Altoura, Dagster Cloud, Qualaroo

• Disponibilité générale du support de l'authentification unique Azure AD et de l'accès conditionnel basé sur le périphérique dans Firefox (à partir de la version 91) sur Windows 10/11
• Disponibilité Générale du support du domaine personnalisé dans Azure B2C. Les clients d'Azure AD B2C peuvent désormais activer des domaines personnalisés afin que leurs utilisateurs finaux soient redirigés vers un domaine URL personnalisé pour l'authentification. Cette opération s'effectue via l'intégration avec la fonctionnalité de domaines personnalisés d'Azure Front Door.
• Les applications qui ont été récemment attribuées à l'utilisateur s'affichent avec un indicateur "New". Lorsque l'application est lancée ou que la page est rafraîchie, cet indicateur disparaît.
• Disponibilité Générale du rôle Windows 365 Administrator.
• Disponibilité Générale du rôle Edge Administrator.
• Les Privileged Role Administrators peuvent désormais créer des Access Reviews sur des groupes attribuables à des rôles Azure AD, en plus des rôles Azure AD.
• La nouvelle fonction Aperçu des périphériques fournit des informations utiles sur les périphériques du tenant.
• Public Preview des connexions signalées qui augmentera le rapport signal/bruit pour les inscriptions des utilisateurs qui ont besoin d'aide. Cette fonctionnalité a pour but de permettre aux utilisateurs d'attirer l'attention sur les erreurs de connexion pour lesquelles ils souhaitent obtenir de l'aide. Elle vise également à aider les administrateurs et les employés du service d'assistance à trouver rapidement et efficacement les bons événements de connexion.
• Public Preview de la fédération d'identités des Workload Identities Azure AD. Elle permet de retirer la charge sur les développeurs de la manipulation des secrets d'application ou des certificats. Cela inclut les secrets dans des scénarios tels que l'utilisation des actions GitHub et la création d'applications sur Kubernetes. Plutôt que de créer un secret d'application et de l'utiliser pour obtenir des jetons pour cette application, les développeurs peuvent utiliser les jetons fournis par les plateformes respectives telles que GitHub et Kubernetes sans avoir à gérer manuellement des secrets.

On retrouve les modifications de service suivantes :

• La nouvelle tuile de liste de groupes offre davantage de possibilités de tri et de filtrage, un défilement infini et de meilleures performances.
• Public Preview des scénarios de diagnostic avec notamment :
  • Échecs d'authentification Pass Through
  • Échecs d'authentification Seamless Single-Sign On
• Une nouvelle expérience utilisateur est disponible pour les tenants Continuous Access Evaluation. Les tenants auront désormais accès à CAE dans le cadre de l'accès conditionnel.
• L'administrateur Identity Governance Administrator peut créer et gérer les Access Reviews des groupes et des applications.

• Ceci avait été annoncé en juin, Microsoft lance l’activation de l’authentification par mot de passe à usage unique d’Azure Active Directory par défaut pour les comptes invités ou les scénarios de collaboration B2B.
• Le nombre total de permissions requises pour l'enregistrement d'une seule application ne doit pas dépasser 400 permissions, toutes API confondues. La modification visant à faire respecter cette limite commencera à être mise en œuvre à la mi-octobre 2021. Les applications qui dépassent cette limite ne peuvent pas augmenter le nombre d'autorisations pour lesquelles elles sont configurées. La limite existante du nombre d'API distinctes pour lesquelles des permissions sont requises reste inchangée et ne peut dépasser 50 API.
• Google a supprimé les ouvertures de session Gmail sur les applications mobiles et personnalisées Microsoft Teams qui utilisent les authentifications Gmail sur les vues Web intégrées le 30 septembre 2021.
• Accès conditionnel Écran de blocage de l'accès des invités : S'il n'y a pas de relation de confiance entre un tenant d'origine et un tenant de ressources, un utilisateur invité aurait été invité à réenregistrer son appareil, ce qui aurait annulé l'enregistrement précédent. Cependant, l'utilisateur se retrouverait dans une boucle d'enregistrement car seul l'enregistrement des appareils du tenant de rattachement est pris en charge. Dans ce scénario spécifique, au lieu de cette boucle, Microsoft a créé une nouvelle page de blocage d'accès conditionnel. Cette page indique à l'utilisateur final qu'il ne peut pas accéder aux ressources protégées par l'accès conditionnel en tant qu'utilisateur invité.
• Azure AD a corrigé un bug dans une réponse d'erreur qui se produit lorsqu'un utilisateur n'est pas affecté à une application qui nécessite une affectation d'utilisateur. Auparavant, Azure AD renvoyait l'erreur 50105 avec le code d'erreur OIDC "interaction_required" même pendant l'authentification interactive. Les applications bien codées pouvaient ainsi tourner indéfiniment en boucle, car elles procédaient à une authentification interactive et recevaient une erreur leur indiquant de procéder à une authentification interactive, ce qu'elles faisaient alors.

Plus d’informations sur : What’s new Azure AD

Microsoft vient de mettre à disposition une nouvelle version (1.2.3497) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Amélioration de l'accessibilité grâce à l'augmentation du contraste des couleurs dans la barre bleue de connexion du bureau virtuel.
• Mise à jour de la boîte de dialogue d'informations sur les connexions afin de faire la distinction entre Websocket (renommé TCP), RDP Shortpath pour les réseaux gérés et RDP Shortpath pour les réseaux publics.
• Correction de bugs.
• Amélioration de la journalisation du client, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.
• Mises à jour de Teams pour Azure Virtual Desktop, avec notamment la résolution d'un problème qui provoquait la déconnexion des appels lors de l'utilisation d'un microphone avec un taux d'échantillonnage élevé (192 kbps).
• Résolution d'un problème de connectivité avec les anciennes piles RDP.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en décembre 2021.

Microsoft apporte les nouveautés suivantes :

• Public Preview d’une fonctionnalité permettant d’éviter l’approbation accidentelle de notification Microsoft Authenticator. Les administrateurs peuvent désormais exiger que les utilisateurs saisissent le numéro affiché sur l'écran de connexion lorsqu'ils approuvent une notification d'authentification MFA dans l'application Authenticator. Cette fonctionnalité ajoute une mesure de sécurité supplémentaire à l'application Microsoft Authenticator.

On retrouve les modifications de service suivantes :

• Microsoft a annoncé l’activation de l’expérience d’enregistrement combiné SSPR et authentification à facteurs multiples sur les tenants existants. Cette fonctionnalité a été annoncée en Avril 2020 et est maintenant totalement généralisée.
• Certains événements en erreur de pré authentification ont été supprimés des journaux de connexion d’Azure AD. Ce retrait a lieu car certains événements ont lieu avant l’authentification et ne permettent pas au service d’identifier l’utilisateur.

Plus d’informations sur : What’s new Azure AD

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Général] Preview permettant d’appliquer des filtres de type de périphérique aux stratégies de restriction d'inscription de Windows et Apple. Par exemple, vous pouvez autoriser les appareils personnels, tout en bloquant les appareils fonctionnant sous Windows 10 Home, en appliquant le filtre d'affectation operatingsystemSKU.

• [Windows] Il est maintenant possible d’utiliser des filtres pour déployer des profils d’Enrollment Status Page pour Windows. Pour rappel, les filtres vous permettent d'inclure ou d'exclure des périphériques dans les affectations de politiques ou d'applications en fonction de différentes propriétés du périphérique. Lorsque vous créez un profil ESP (Enrollment Status Page), vous pourrez utiliser des filtres lors de l'attribution du profil. Les options d'affectation All users et All devices sont également disponibles. Dans le centre d'administration Microsoft Endpoint Manager, sélectionnez Devices > Enroll devices > Enrollment Status Page > Create.

.

Gestion du périphérique

• [Windows 10/11] Il est maintenant possible de lancer l’assistance à distance Remote Help directement depuis le centre d’administration MEM en cliquant sur New remote assistance session d’un périphérique. Pour rappel, Remote Help est le nouveau service de prise en main à distance.

• [Windows 10/11] Vous pouvez ajouter des filtres sur les rapports Endpoint Analytics pour mieux filtrer les données.

• [Windows 10/11] Vous pouvez utiliser des filtres pour assigner les scripts PowerShell de remédiations proactives de la fonctionnalités Endpoint Analytics.

Configuration du périphérique

• [Général] Les catalogues de paramétrages (Settings Catalog) sont supportés sur les environnements U.S. Government GCC High and DoD

• [Général] Une nouvelle option ("X policies with error or conflict") depuis la page d’accueil ou le tableau de bord, permet de voir le nombre de profil avec une erreur ou un conflit depuis les profils de configuration de périphériques. Dans ce cas, vous êtes redirigé vers Devices > Monitor > Assignment Failures afin de vous aider à dépanner les erreurs et conflits.

• [iOS/iPadOS/macOS] De nouveau paramétrages permettent de configurer le blocage d’iCloud Private Relay et le Timeout depuis Devices > Configuration Profiles > Create profile > iOS/iPadOS ou macOS > Device restrictions.

• [Android Enterprise] On retrouve trois nouveaux paramétrages de restrictions pour les périphériques Android Enterprise appartenant à l’entreprise avec un profil professionnel (COPE) :
  • Search work contacts and display work contact caller-id in personal profile pour configure la rechercher de contact professionnel dans le profil personnel
  • Copy and paste between work and personal profiles pour gérer le copier/coller entre le profil professionnel et personnel.
  • Data sharing between work and personal profiles pour gérer le parage de données entre le profil professionnel et personnel.

• [Android Enterprise] Vous pouvez entrer le nom commun de certificat dans les profils WiFi pour Android Enterprise Fully Managed, Dedicated et Corporate-owned work profile. Lorsque vous sélectionnez Enterprise, il y a un nouveau paramètre de nom de serveur Radius. Ce paramètre correspond au nom DNS utilisé dans le certificat présenté par le serveur Radius lors de l'authentification du client auprès du point d'accès Wi-Fi.
• [Windows 10/11] De nouveaux paramétrages de modèles d’administration pour Microsoft Edge 96, 97 et Microsoft Edge Updater incluant notamment le support du paramétrage Target Channel override pour définir la version Extended Stable.

Gestion des applications

• [Général] Une nouvelle application protégée est disponible : Groupdolists by Centrallo LLC
• [Android] L'application Managed Home Screen pour Android Enterprise permet désormais d'appliquer des restrictions supplémentaires aux codes PIN de session des utilisateurs comme :
  • La possibilité de définir une longueur minimale pour le PIN de session.
  • La possibilité de définir un nombre maximum d'essais qu'un utilisateur doit effectuer pour réussir à entrer son code PIN de session avant d'être déconnecté de Managed Home Screen.
  • La possibilité de définir des valeurs de complexité qui empêchent les utilisateurs de créer des PINs avec des motifs répétitifs (444) ou ordonnés (123, 321, 246).

Sécurité du périphérique

• [Général] Une nouvelle intégration avec une solution de Mobile Threat Defense (MTC) est disponible pour BlackBerry Protect Mobile (powered by Cylance AI) afin d’utiliser les signaux de risques dans l’accès conditionnel.

Supervision et Dépannage

• [Général] Les utilisateurs peuvent plus facilement voir le statut de conformité de leurs appareils à partir du site Web du portail de l'entreprise.
• [Windows] Microsoft a ajouté un nouveau journal d'événements Microsoft-Windows-Windows Firewall with Advanced Security/Firewall aux diagnostics de périphériques Windows. Celui-ci peut vous aider à résoudre les problèmes liés au pare-feu.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Microsoft a publié un Management Pack (10.1.270.0) pour Microsoft 365 en version finale. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système. Il est à noter que cette version supporte System Center Operations Manager 2019.

Ce Management Pack permet de :

• Surveiller de manière proactive le niveau de service fourni par les services Microsoft 365, notamment la messagerie, Teams et SharePoint (qui comprend OneDrive), en effectuant des transactions synthétiques sécurisées à l'aide de Graph API.
• Superviser l'utilisation des licences Microsoft 365 et émettre une alerte lorsque l'utilisation répond à certains critères.
• Monitorer les transactions de messagerie vers et depuis le serveur Exchange On-Prem.
• Surveiller la santé des connexions entre divers sites et le service Microsoft 365.
• Refléter les messages d'incidents, de centre de messages et de maintenance planifiée de Microsoft 365 pour l'abonnement dans les alertes de SCOM.
• Visualiser l'état de santé des abonnements et les alertes correspondantes via les tableaux de bord et les vues d'alerte, y compris les tableaux de bord HTML5 (nécessite Operations Manager 2019).

Cette version apporte les changements suivants :

• Remplacement de l'API Service Comms par l'API Graph pour les alertes de santé du service M365.
• Mise à jour de la dernière version de la bibliothèque MSAL.
• Permet de surveiller plusieurs licences SKU avec un seul nœud de surveillance.
• Ajout d'un nouveau tableau de bord HTML5 pour les licences.
• Correction de la création automatique d'applications dans l'assistant d'abonnement (en raison des modifications apportées à Azure Active Directory).
• Clarification des URL internes et externes d'Exchange On-Prem.
• Correction des problèmes d'accessibilité dans les tableaux de bord HTML5.
• Ajout de la permission manquante Calendars.Read. 

Il y a un problème connu avec "M365 Connection State Monitor" qui génère des alertes. Ce problème sera supprimé dans la prochaine mise à jour. Vous pouvez désactiver ce moniteur si tout le reste fonctionne correctement.

La prochaine version apportera les changements suivants :

• Type supplémentaire d'authentification (certificat) dans la configuration de l'abonnement
• Option permettant de choisir entre les autorisations déléguées et les autorisations d'application dans les API
• Remplacement de l'outil d'évaluation du réseau Skype par l'outil d'évaluation du réseau Teams

Plus d’informations sur : SCOM Microsoft 365 V2 - Microsoft Tech Community

Télécharger Microsoft System Center Operations Manager Management Pack for Microsoft 365

Microsoft vient de mettre à jour (7.0.44.0) le pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server quelle que soit la version. Il fonctionne avec SCOM 2012 R2 ou plus. Cette nouvelle version apporte les éléments suivants :

• Microsoft a ajouté une nouvel override 'Health Calculation Mode" pour les workflows de surveillance de l'espace destinés aux bases de données. Ce paramètre vous permet de définir la façon dont vous souhaitez surveiller l'espace libre dans votre environnement. Vous pouvez maintenant suivre l'état de santé en fonction du paramètre "Threshold" exprimé en pourcentage (%) ou en capacité (MB). L’override est ajoutée aux moniteurs suivants : "LOG Free Space Left", "ROWS Data Free Space Left", "FILESTREAM Data Free Space Left", "In-Memory OLTP Data Free Space Left".
• Ajout d'un nouvel override "Timeout for query execution" aux règles de performance suivantes : "Memory Used By Indexes (MB)" and "Memory Used By Tables (MB)". Ces règles sont maintenant désactivées par défaut pour éviter la charge supplémentaire dans les environnements avec un grand nombre de bases de données optimisées pour la mémoire.
• Ajout des paramètres d'alerte 'MachineName' et 'InstanceName' à tous les workflows ciblant DB Engine.
• Ajout d'une alerte pour la règle "Automatic setup of DB Engine discovery filter"
• Ajout d'une nouvelle propriété "Available space in MB terms" au moniteur "LOG Free Space Left".
• Mise à jour de la vue "Summary Dashboard". Maintenant les tuiles "SQL Server Reporting Services" sont combinées comme  Instances and Deployments
• Le moniteur "Product Version Compliance" a été mis à jour avec la version la plus récente des mises à jour publiques de SQL Server.
• Optimisation de la collecte des métriques de performance
• Mise à jour des chaînes d'affichage
• Correction d'un problème d'échec des modules de découverte après la mise à niveau de SQL Server.
• Correction d'un problème avec les calculs d'espace libre dans les cas où 'Autogrowth' est activé pour la base de données.
• Correction d'un problème avec l'échec des modules de découverte dans les cas où le groupe de disponibilité a un réplica avec le paramètre 'Allow read/write connections' (Autoriser les connexions en lecture/écriture).
• Correction d'un problème avec des doublons dans la liste des sécurisables pour le moniteur "Securables Configuration Status" ciblé sur la base de données
• Correction d'un problème avec le non-fonctionnement des tâches de la console Operations Manager (exécuter "SQL Management Studio", exécuter "SQL Profiler") avec les dernières versions de SQL Server Management Studio
• Correction d'un problème avec les tâches de la console Operations Manager qui ne fonctionnaient pas dans les environnements en cluster. Maintenant les tâches "Start Analysis Service" et "Stop Analysis Service" fonctionnent correctement.

Télécharger Microsoft System Center Management Pack for SQL Server

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

• Gestion des configurations de sécurité est une capacité pour les périphériques qui ne sont pas gérés par Microsoft Endpoint Manager, soit Microsoft Intune ou Microsoft Endpoint Configuration Manager, afin de leur permettre de recevoir des configurations de sécurité pour Microsoft Defender directement à partir de Endpoint Manager. Plus d’informations sur : Use Microsoft Defender for Endpoint Security Configuration Management in Microsoft Endpoint manager | Microsoft Docs

• Amélioration de la prise en charge multiplateforme.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft vient de mettre à disposition une nouvelle version (1.2.2687) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Amélioration de la fonctionnalité d'actualisation manuelle pour acquérir de nouveaux jetons d'utilisateur, ce qui garantit que le service peut mettre à jour avec précision l'accès des utilisateurs aux ressources.
• Correction d'un problème pour lequel le service collait parfois des cadres vides lorsqu'un utilisateur essayait de copier une image depuis un navigateur Internet Explorer fonctionnant à distance vers un document Word fonctionnant localement.
• Correction de la vulnérabilité connue sous le nom de CVE-2021-38665.
• Correction de la vulnérabilité connue sous le nom de CVE-2021-38666.
• Correction de la vulnérabilité connue sous le nom de CVE-2021-1669.
• Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.
• Correction d'un problème d’usage où le client Windows Desktop demandait parfois un mot de passe (invite Azure Active Directory) après que l'appareil soit passé en mode veille.
• Correction d'un problème où le client ne développait pas et n'affichait pas automatiquement les messages interactifs de connexion définis par les administrateurs lorsqu'un utilisateur se connecte à sa machine virtuelle.
• Correction d'un problème de fiabilité apparu dans la version 1.2.2686 où le client cessait de répondre lorsque les utilisateurs essayaient de lancer de nouvelles connexions.
• Mises à jour de Teams pour Azure Virtual Desktop, notamment les suivantes :
  • Le niveau de volume de notification sur le périphérique client est désormais le même que celui du périphérique hôte.
  • Correction d'un problème où le volume du périphérique était faible dans les sessions Azure Virtual Desktop.
  • Résolution d'un problème de partage d'écran multi-moniteur où le partage d'écran n'apparaissait pas correctement lors du passage d'un moniteur à l'autre.
  • Résolution d'un problème d'écran noir qui faisait que le partage d'écran n'affichait pas correctement un écran noir parfois.
  • Amélioration de la fiabilité de la pile de l'appareil photo lors du redimensionnement de l'application Teams ou de l'activation ou de la désactivation de l'appareil photo.
  • Correction d'une fuite de mémoire qui provoquait des problèmes tels qu'une utilisation élevée de la mémoire ou un gel de la vidéo lors de la reconnexion avec Azure Virtual Desktop.
  • Correction d'un problème à cause duquel les connexions au Bureau à distance ne répondaient plus.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft a publié deux mises à jour (1.6.16.0 et 2.0.28.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La version 1.6.x s’adresse aux entreprises qui ne peuvent pas migrer sur une version de Windows Server 2016 ou plus récente. La version 2.x s’adresse aux entreprises qui peuvent utiliser Windows Server 2016 ou plus. Bien entendu, Microsoft recommande cette dernière.

Pour rappel, la version précédente (1.6.16.0) apportait de nombreux changements parmi :

• Microsoft a corrigé un bug à cause duquel le processus de mise à niveau automatique tentait de mettre à niveau les serveurs AADConnect qui exécutent une ancienne version de Windows OS 2008 ou 2008 R2 et échouait. Ces versions de Windows Server ne sont plus prises en charge. Dans cette version, Microsoft tente la mise à niveau automatique que sur les machines qui exécutent Windows Server 2012 ou une version plus récente.
• Microsoft a corrigé un problème où, dans certaines conditions, miisserver se plantait en raison d'une exception de violation d'accès.

Notez qu’il y a un problème où la mise à niveau vers cette version v1.6 ou toute autre version plus récente réinitialise la limite d'adhésion aux groupes à 50 000. Lorsqu'un serveur est mis à niveau vers cette version, ou toute autre version 1.6 plus récente, le client doit réappliquer les changements de règles qu'il a appliqués lors de l'augmentation initiale de la limite d'appartenance à un groupe à 250 000 avant d'activer la synchronisation pour le serveur.

Pour rappel, la version précédente (2.0.28.0) apportait de nombreux changements parmi :

• Sur la page "Group Writeback Permissions" de l'assistant, Microsoft a supprimé un bouton de téléchargement pour un script PowerShell et modifié le texte de la page de l'assistant pour inclure un lien "learn more", qui renvoie à un article en ligne où le script PowerShell peut être trouvé.
• Microsoft a corrigé un bug à cause duquel l'assistant bloquait incorrectement l'installation lorsque la version .NET du serveur était supérieure à 4.6, en raison de clés de registre manquantes. Ces clés de registre ne sont pas nécessaires et ne devraient bloquer l'installation que si elles sont intentionnellement définies comme fausses.
• N Microsoft a corrigé un bug qui provoquait une erreur si des objets fantômes étaient trouvés pendant l'initialisation d'une étape de synchronisation. Cela pouvait bloquer l'étape de synchronisation ou supprimer les objets fantômes. Les objets fantômes sont maintenant ignorés. Note : Un objet fantôme est un espace réservé pour un objet qui n'existe pas ou qui n'a pas encore été vu, par exemple si un objet source a une référence pour un objet cible qui n'existe pas, nous créons l'objet cible comme un fantôme.
• Une modification a été apportée pour permettre à un utilisateur de désélectionner des objets et des attributs de la liste d'inclusion, même s'ils sont en cours d'utilisation. Au lieu de bloquer cette opération, Microsoft a fourni maintenant un avertissement.

Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#16160

Télécharger Microsoft Azure Active Directory Connect

Je vous propose un petit aperçu des nouveautés en octobre 2021 autour de la gouvernance, de la conformité et de la protection de données (MIP, etc.).

On retrouve notamment :

Conformité et assurance de services

• Mises à jour trimestrielles du contenu des certifications et des déclarations d'applicabilité
  • Gestion des actifs du centre de données
  • Architecture et infrastructure du centre de données
  • Continuité des activités du centre de données et reprise après sinistre
  • Mesures de protection de l'environnement du centre de données
  • Sécurité de l'accès physique au centre de données
  • Programme de conformité Microsoft 365 SDL
  • Contrôle d'accès des ingénieurs de service Microsoft 365
  • Guide d'évaluation des risques pour MS Cloud

Classification des données

• Preview des entités nommées. Il s'agit de classificateurs complexes basés sur des dictionnaires et des modèles que vous pouvez utiliser pour détecter des noms de personnes, des adresses physiques et des termes et conditions médicaux.
• Vous pouvez utiliser les entités nommées dans vos stratégies de prévention des pertes de données.

Chiffrement

• Public Preview : Utiliser le chiffrement de bout en bout pour les appels individuels Microsoft Teams.

Etiquettes de confidentialité (Sensitivity Labels)

• Les étiquettes et les stratégies par défaut sont déployées pour les clients éligibles

 Prévention de fuite de données (DLP)

• Preview de la prévention de fuite de données (DLP) pour les périphériques macOS. Cet ajout permet d’auditer, bloquer, bloquer avec exception pour les activités suivantes :
  • Copie d'un fichier sensible sur un périphérique USB externe
  • Copie d'un fichier sensible sur un partage réseau
  • Télécharger un fichier sensible vers un service en nuage (cloud)
  • Impression d'un fichier sensible
  • Copie d'un contenu sensible dans le presse-papiers
  • Accès à un fichier sensible par une application non autorisée

Gestion de la confidentialité

• Un nouveau connecteur vous permet d'importer les données d'un système de dossiers médicaux électroniques EHR Epic pour prendre en charge le nouveau scénario général d'utilisation abusive des données du patient pour la gestion du risque d'initié.
• Un nouveau connecteur vous permet d'importer des données d'un système de dossiers médicaux électroniques EHR Healthcare pour prendre en charge un nouveau scénario général d'utilisation abusive des données des patients pour la gestion du risque d'initié.

Gestion des enregistrements et de la rétention

• Adaptative Policy Scopes sont disponibles en Preview pour les stratégies de rétention et les stratégies d'étiquettes de rétention.
• Vous pouvez maintenant appliquer automatiquement une étiquette de rétention basée sur une étiquette de sensibilité.
• Le plan de classement a un nouveau processus d'importation.

Advanced eDiscovery

• Collecte de pièces jointes dans le Cloud dans Advanced eDiscovery en plus de collecter la dernière version d'une pièce jointe dans le Cloud, vous pouvez collecter la version qui a été partagée dans un message électronique ou une conversation de chat Teams ; la collecte de la version partagée est rendue possible par la nouvelle capacité permettant d'appliquer automatiquement une étiquette de rétention aux pièces jointes dans le Cloud.
• Configurer les versions historiques dans Advanced eDiscovery : nouvelle fonctionnalité qui indexe toutes les versions des documents stockés sur un site SharePoint à des fins de recherche ; cela signifie que les versions des documents dont le contenu correspond à une requête de collecte sont renvoyées dans les résultats de la recherche.

Gouvernance des applications

• Le module complémentaire de gouvernance des applications pour Defender for Cloud Apps est en disponibilité générale. La documentation sur la gouvernance des applications a été déplacée pour rejoindre la documentation de Defender for Cloud Apps.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

A partir de janvier 2022, Microsoft planifie d’aligner le support de l’application de synchronisation OneDrive sur le support du cycle de vie de Windows. Ainsi :

• Pour Windows 8.1, vous ne recevrez plus de mises à jour de fonctionnalités mais des correctifs de sécurité jusqu'au 10 janvier 2023.
• Pour Windows 7 et si vous participez au programme Extended Security Update (ESU), vous continuerez de recevoir les mises à jour de sécurité critiques et importantes (telles que définies par le Microsoft Security Response Center) jusqu'au 10 janvier 2023.
• Pour Windows 8, vous ne recevrez plus de mises à jour ou de correctifs car Windows 8 n'est plus pris en charge depuis le 12 janvier 2016.

Dans tous les cas, Microsoft recommande de migrer vers Windows 10 ou Windows 11.

Microsoft a annoncé le retrait du service Security Policy Advisor qui permettait de configurer des stratégies à destination du client Microsoft 365 Apps for Enterprise. Depuis le 8 novembre, Microsoft recommande d’utiliser Office Cloud Policy Service en lieu et place. A partir de cette date, le service sera désactivé sur les tenants qui n’ont pas déployé de stratégies.

A partir du 17 janvier 2022, Microsoft commencera la migration des stratégies existantes de Security Policy Advisor vers Office Cloud Policy Service. Après la migration, le service ne sera plus disponible pour qui que ce soit.

SI vous souhaitez migrer vous-même vos stratégies, vous pouvez consulter : Migrate security policies from Security Policy Advisor to the Office cloud policy service - Deploy Office | Microsoft Docs

Microsoft a annoncé la mise à jour prochaine de l’agent additionnel Intune Management Extension de Microsoft Endpoint Manager (MEM). Cet agent est utilisé sur Windows 10/11 pour de nombreuses tâches dont l’installation d’applications, l’exécution de scripts PowerShell, la collecte des logs/journaux, etc.

L’intervalle de vérification sera mis à jour de 6 heures à 3 heures pour la collecte des journaux. Les vérifications de récupération des scripts PowerShell ont lieu une fois par jour et elles seront réduites à 8 heures.

Au cours des prochains mois, Microsoft s’apprête à réaliser des changements architecturaux dans la conception des contrôles et Microsoft s’attend à pouvoir réduire ces intervalles de temps au fur et à mesure que l'infrastructure et l'expérience globale sont améliorées.

Microsoft vient d’annoncer la fin de support de macOS Mojave (10.14) par Microsoft Defender for Endpoint à partir du 15 décembre 2021. Après cette date, les agents continueront d’être protéger jusqu’à l’expiration de l’agent. Ensuite, il échouera à être mis à jour avec des erreurs dans le journal /Library/Logs/Microsoft/autoupdate.log.

Vous devez revoir les périphériques macOS de votre environnement et les mettre à jour vers une version plus récente de macOS comme Monterey (12), Big Sur (11) et Catalania (10.15).

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps (MCAS). Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve :

• (Preview) La fonction complémentaire de gouvernance des applications de Defender for Cloud Apps est désormais disponible dans Microsoft 365 Defender. Elle offre une capacité de gestion de la sécurité et des politiques conçue pour les applications compatibles avec OAuth qui accèdent aux données de Microsoft 365 via les API Microsoft Graph. La gouvernance des applications offre une visibilité, une remédiation et une gouvernance complètes sur la façon dont ces apps et leurs utilisateurs accèdent, utilisent et partagent vos données sensibles stockées dans Microsoft 365 grâce à des informations exploitables et à des alertes et actions de politique automatisées.

• (Preview) La page d’Advanced Hunting supporte les multi-onglets, le défilement intelligent, les onglets de schéma rationalisés, les options d'édition rapide pour les requêtes, un indicateur d'utilisation des ressources de requête et d'autres améliorations pour rendre les requêtes plus fluides et plus faciles à affiner.

• (Preview) Vous pouvez désormais utiliser la fonction de lien vers l'incident pour inclure des événements ou des enregistrements provenant des résultats de requête Advanded Hunting

Microsoft vient de mettre à disposition la Technical Preview 2111 (5.0.9064.1000) de Microsoft Endpoint Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2010 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

Microsoft Endpoint Configuration Manager TP 2111 comprend les nouveautés suivantes :

Administration

• Amélioration du tableau de bord Windows Servicing pour afficher un tableau Windows 11 Latest Feature Updates. Le nouveau tableau permet de déterminer plus facilement combien de vos clients Windows 11 sont sur la dernière mise à jour des fonctionnalités. Pour afficher le tableau de bord, allez dans Software Library > Overview > Windows Servicing.

• Une nouvelle collection (Co-management Eligible Devices) inclue par défaut permet d’obtenir la liste de tous les périphériques éligibles à la cogestion. Cette collection a une évaluation complète tous les jours ainsi qu’un mécanisme d’évaluation incrémentiel.

Applications

• Cette version résout l'un des problèmes connus pour les groupes d'applications de la Technical Preview 2110. L'affichage et la gestion des groupes d'applications dans le centre d'administration de Microsoft Endpoint Manager ne nécessitent pas un rôle élevé. Elle respecte les autorisations et les champs d'application tels que définis dans Configuration Manager. Par exemple, votre compte utilisateur a besoin de l'autorisation Approuver sur un groupe d'applications pour approuver son installation à partir du centre d'administration. Ce comportement est cohérent avec les applications.

• Amélioration du type de déploiement de séquence de tâches dans le scénario où l’application est déployée en libre-service et lorsque le périphérique a une fenêtre de maintenance définie. L’utilisateur sur le périphérique exécute le déploiement depuis le centre logiciels en dehors de la fenêtre de maintenance. Dans ce scénario, l’étape ignore la fenêtre de maintenance uniquement quand la séquence de tâches s’exécute via un type de déploiement d’une application.

PowerShell

• On retrouve de nouvelles cmdlets :
  • Get-CMOrchestrationGroup
  • Invoke-CMOrchestrationGroup
  • New-CMOrchestrationGroup
  • Remove-CMOrchestrationGroup
  • Set-CMOrchestrationGroup

Plus d’informations sur : Technical preview 2111 - Configuration Manager | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Les versions 209, 210, 211 apportent les changements suivants :

• Le connecteur API de Slack est désormais disponible, ce qui donne une meilleure visibilité et un meilleur contrôle sur la façon dont Slack est utilisé dans l’entreprise.
• Une nouvelle expérience d'avertissement (Warn and Educate) pour les applications surveillées avec Microsoft Defender for Endpoint est maintenant disponible. Cloud App Security a étendu son intégration native avec Microsoft Defender for Endpoint. Il est maintenant possible d’appliquer un blocage souple de l'accès aux applications marquées comme surveillées en utilisant la capacité Network Protection de Microsoft Defender for Endpoint. Les utilisateurs pourront contourner le blocage.
• Microsoft propose une nouvelle expérience des applications découvertes pour couvrir les applications Web découvertes et les applications OAuth et fournir une vue unifiée d'une entité d'application.

Les versions 212, et 213 apportent les changements suivants :

• Les alertes relatives aux voyages impossibles, à l'activité depuis des pays peu fréquents, à l'activité depuis des adresses IP anonymes et à l'activité depuis des adresses IP suspectes ne s'appliqueront plus aux échecs de connexion. Après un examen approfondi, Microsoft a décidé de séparer le traitement des échecs de connexion des alertes mentionnées ci-dessus. Dorénavant, elles ne seront déclenchées qu'en cas de connexion réussie, et non plus en cas d'échec de la connexion ou de tentative d'attaque. L'alerte de masse en cas d'échec de connexion sera toujours appliquée s'il y a un nombre anormalement élevé de tentatives de connexion échouées pour un utilisateur.
• Nouvelle détection d'anomalie : ISP inhabituel pour une application OAuth. Microsoft a étendu les détections d'anomalies pour inclure l'ajout suspect d'informations d'identification privilégiées à une application OAuth. La nouvelle détection est désormais disponible et automatiquement activée. La détection peut indiquer qu'un attaquant a compromis l'app et l'utilise pour une activité malveillante.
• Nouvelle détection : Activité à partir d’adresses IP associées à la pulvérisation du mot de passe (password spray). Cette détection compare les adresses IP effectuant des activités réussies dans vos applications Cloud aux adresses IP identifiées par les sources de threat intelligence de Microsoft comme ayant récemment effectué des attaques par pulvérisation de mot de passe. Elle signale les utilisateurs qui ont été victimes de campagnes de pulvérisation de mots de passe et qui ont réussi à accéder à vos applications Cloud à partir de ces adresses IP malveillantes. Cette nouvelle alerte sera générée par la politique existante Activity from suspicious IP addresses.
• Les connecteurs API de Smartsheet et OneLogin sont désormais disponibles. Vous pouvez désormais connecter Microsoft Cloud App Security à Smartsheet et à OneLogin pour surveiller et protéger les utilisateurs et les activités.
• Nouvelle intégration Shadow IT avec Open Systems pour bénéficier d'une visibilité Shadow IT sur l'utilisation des applications et de contrôler leur accès.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Amélioration de la fonction DKIM pour les livraisons avancées : Ajout du support de la saisie du domaine DKIM dans le cadre de la configuration de la simulation de phishing par un tiers.
• Secure by Default : Extension de Secure by Default pour les règles de flux de courrier Exchange (également appelées règles de transport).

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft vient de mettre à disposition une nouvelle version (1.2.2606) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction de la vulnérabilité connue sous le nom de CVE-2021-38665.
• Correction de la vulnérabilité connue sous le nom de CVE-2021-38666.
• Correction d'un problème où le service collait parfois des cadres vides lorsqu'un utilisateur essayait de copier une image depuis un navigateur Internet Explorer fonctionnant à distance vers un document Word fonctionnant localement.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft a informé les clients disposant de périphériques Android 9 ou plus d'un changement à venir où il ne sera plus possible d'afficher l'adresse MAC Wi-Fi dans Microsoft Endpoint Manager (Intune).

Ce changement survient depuis octobre et concerne les périphériques Android en mode Device Administrator ou Android Enterprise Work Profile. En effet, Google exige que toutes les mises à jour d'applications utilisent l'API 30 d'ici novembre 2021. Avec à ce changement, Android empêche les applications de collecter l'adresse MAC utilisée par l'appareil.

A partir de novembre, un appareil nouvellement inscrit n’affichera plus l’adresse MAC WiFi. Pour les périphériques précédemment inscrits, il se peut qu'une valeur en cache soit répertoriée.

A partir du 7 janvier 2022, Android 8 ou ultérieur sera un prérequis pour les périphériques enregistrés dans Microsoft Endpoint Manager. Les appareils inscrits au MDM fonctionnant sous Android version 7.x ou inférieure ne recevront plus de mises à jour du portail d'entreprise Android ou de l'application Intune. Les stratégies Intune continueront d'être appliquées aux appareils inscrits, mais ils ne seront plus pris en charge par aucun scénario Intune. Si vous disposez d'appareils enregistrés fonctionnant sous Android 7.x ou moins, vous devez les mettre à jour vers Android version 8.0 (Oreo) ou supérieure ou les remplacer par un périphérique sous Android version 8.0 ou supérieure.

Vous pouvez identifier le nombre d'appareils fonctionnant actuellement sous Android 7.x ou moins en accédant à Devices > All devices  en filtrant par OS et trier par version d'OS.

En outre, il existe deux options permettant d'informer les utilisateurs ou de bloquer l’enregistrement.

• Pour avertir les utilisateurs, vous pouvez
  • Configurer un paramètre de lancement conditionnel sur la stratégie de protection des applications avec une exigence de version de système d’exploitation minimale pour avertir les utilisateurs.
  • Utilisez une stratégie de conformité et définir l'action de non-conformité pour envoyer un e-mail ou une notification push aux utilisateurs avant de les marquer comme non conformes.
• Pour bloquer les périphériques sur les versions inférieures à Android 8.0 :
  • Configurer un paramètre de lancement conditionnel de la politique de protection des applications avec une exigence de version minimale du système d'exploitation pour bloquer l'accès des utilisateurs aux applications.
  • Utiliser une stratégie de conformité pour rendre non conformes les appareils sous Android 7.x ou moins.
  • Définir des restrictions d'inscription pour empêcher les appareils sous Android 7.x ou moins de s'inscrire.

Le portail d'entreprise Android n'est actuellement pas à jour dans le store Huawei AppGallery et les mises à jour récentes du portail d'entreprise ne sont pas disponibles via l’Huawei AppGallery.

Si les utilisateurs ont téléchargé le Company Portal depuis Huawei AppGallery et que vous utilisez des applications qui prennent en charge les stratégies de protection des applications (APP, également connues sous le nom de MAM), les utilisateurs peuvent être empêchés d'accéder aux ressources de l'entreprise avec ces applications s'ils ne disposent pas de la dernière version du Company Portal.

En attendant une mise à jour en cours d’élaboration par Microsoft, vous devez informer les utilisateurs, qu'ils devront télécharger la dernière version du portail d'entreprise depuis l'un des autres stores d'applications pris en charge (Baidu, etc.) ou depuis le centre de téléchargement Microsoft. La liste des stores d'applications pris en charge et les instructions associées sont sur : Installer Portail d'entreprise Intune applique en République populaire de Chine | Microsoft Docs.