Microsoft a publié un très bon article qui résume les bonnes pratiques de sécurité pour le déploiement de solutions d’IA générative (Open IA) dans Microsoft Azure.

Il revient notamment sur :

• La sécurité de la donnée
• La sécurité réseau
• La sécurité des identités et des accès
• La sécurité de l’application
• La gouvernance de la sécurité

Lire Security Best Practices for LLM Applications in Azure (microsoft.com)

Microsoft vient d’annoncer que certaines APIs bêta Microsoft Graph pour Microsoft Intune utilisées notamment pour l’ancien framework de rapport Intune pour les rapports de stratégies de configuration de périphériques arrêteront de fonctionner.

On retrouve notamment :

• Device configuration report: getConfigurationPoliciesReportForDevice
• Device and user check-in status report: getConfigurationPolicyDevicesReport
• Device assignment status report: getCachedReport

Plus d’informations sur : Removal of several Microsoft Graph Beta API’s for Intune device configuration reports - Microsoft Community Hub

Il y a quelques années de cela, Michael Niehaus proposait un module PowerShell pour Windows Autopilot. Aujourd’hui, on retrouve plusieurs forks communautaires de ces modules/scripts avec notamment :

Get-WindowsAutopilotInfoCommunity qui propose notamment les changements suivants :

• Un nouveau commutateur -Wipe (nécessite également -Online) indique à Intune de lancer un nettoyage du système d'exploitation après l'attribution d'un profil Autopilot.
• Un nouveau commutateur -Sysprep lance une commande "sysprep.exe /oobe /reboot /quiet" pour préparer la machine. Après le redémarrage de la machine, elle repassera par OOBE, donc si vous avez enregistré le périphérique et appliqué un profil, il passera ensuite par le processus Autopilot.
• Un nouveau commutateur -Delete (nécessite également -Online) supprimera l'appareil d'Autopilot/Intune/AAD avant de le réimporter. Ceci est utile si vous voulez que l'appareil se comporte comme un tout nouvel appareil (puisque cela supprimerait l'appareil des groupes).
• Un nouveau commutateur -UpdateTag (nécessite également -Online) peut être utilisé pour définir la balise de groupe sur un appareil existant enregistré dans Autopilot.
• Un nouveau commutateur -NewDevice (nécessite également -Online) pour contourner les vérifications visant à déterminer si le dispositif existe déjà dans l'AAD.
• Un nouveau commutateur -Preprov a été ajouté, qui permet d'appuyer cinq fois sur la touche Echap pour lancer le processus de préapprovisionnement (whiteglove).
• Une nouvelle logique a été ajoutée pour prendre en charge Graph v2 afin de charger automatiquement les modules Graph v2 nécessaires au script, de sorte qu'il n'est pas nécessaire de les installer manuellement au préalable. Il est intéressant de noter que la dépendance à WindowsAutopilotIntune a été supprimée et que la plupart (toutes ?) des cmdlets de ce module ont été ajoutées directement dans ce nouveau script.
• Une logique a été ajoutée pour nettoyer les objets temporaires des périphériques importés par Autopilot une fois l'importation terminée.

Get-AutopilotDiagnosticsCommunity comprend les changements suivants par rapport à l’original :

• Correction d'une erreur dans la gestion du LastLoggedState pour les applications Win32. (Cette erreur était relativement inoffensive, mais elle affichait une erreur dans la console avant d'être corrigée).
• Ajout de la prise en charge de l'authentification Graph v2 pour le commutateur -Online, et ajout de la prise en charge de l'authentification basée sur les applications à l'aide des nouveaux commutateurs -Tenant, -AppId, et -AppSecret (tous utilisés avec -Online). Comme pour le script Get-WindowsAutopilotInfoCommunity, il a supprimé la dépendance au script WindowsAutopilotIntune en copiant la logique dans ce script.

WindowsAutopilotIntuneCommunity comprend les changements suivants par rapport à l’original :

• Ajout de la prise en charge des modules Graph v2. Pour ce faire, la cmdlet Connect-MSGraphApp a été remplacée par Connect-ToGraph ; cette cmdlet a un paramètre -scopes supplémentaire qui peut devoir être spécifié si vous l'appelez directement.
• La plupart des cmdlets ont été modifiées afin qu'elles appellent automatiquement Connect-ToGraph avec les bons détails d'étendue. Si vous avez besoin d'une authentification basée sur l'application, vous pouvez spécifier les paramètres nécessaires (-Tenant, -AppId, -AppSecret) directement sur cette cmdlet.
• Une logique a été ajoutée pour gérer les numéros de série contenant des espaces.
• Une logique a été ajoutée pour gérer la propriété CloudAssignedRegion dans un fichier AutopilotConfigurationFile.json généré.

Source :  Use the new community modules for Autopilot – Out of Office Hours (oofhours.com)

J’ai moi-même fait face à ce problème. J’ai une machine Microsoft Entra Joined (AADJ) qui utilise le service Universal Print pour avoir accès aux imprimantes de mon entreprise. En parallèle, j’ai plusieurs comptes Microsoft Entra chez différents clients ou même un compte pour mon tenant de test.

Dans cette situation en essayant d’imprimer, vous obtenez des erreurs comme suit

Dans le journal d’événements Application de Windows, on constate les événements suivants tagués avec l’identifiant 1 :

On peut notamment retrouver les descriptions suivantes sur plusieurs événements qui s’enchainent :

SetChannelOAuth failed. hr: 0x8086000c
APMon.dll

User Interaction is Required to get an Access token and SetChannelOAuth
APMon.dll

Failed to get auth header silently with 0x8086000c
mcpmanagementservice.dll

User Interaction Required while trying to get a token silently. ErrorCode: 0xcaa20003, Error: AADSTS50196: The server terminated an operation because it encountered a client request loop. Please contact your app vendor. Trace ID: 515c9230-d60e-4260-9c4a-ba89d1ed5c01 Correlation ID: b377a2e0-e5d0-47e6-b9f0-fe6b199359ce Timestamp: 2024-01-02 10:31:22Z
mcpmanagementservice.dll

Parfois, vous pouvez constater une notification qui signale un problème d’authentification liée à l’impression.

Ce problème survient car à date Universal Print ne supporte pas le multicompte. Ainsi sur les postes concernés, vous devez demander à l’utilisateur de déconnecter le compte professionnel qui ne correspond pas à celui de l’organisation :

Une fois déconnecté et avec plus que le compte de l’organisation, l’impression peut être relancée et fonctionner comme attendu.

Il est à noter que Microsoft est au courant de ce problème et a planifié de le corriger dans des versions futures de Windows.

Je me permets de revenir sur les annonces de Microsoft qui ont eu lieu fin 2023 autour de la protection de l’identité et des identifiants.

Passwordless

Microsoft a annoncé en septembre le support de Passkeys dans Windows et l’intégration avec Windows Hello for Business.

Avec Windows 11 23H2, Microsoft a introduit

• L’usage du mot de passe temporaire comme première méthode de connexion ou récupération de mot de passe sur l’écran de connexion de Windows afin d’améliorer les scénarios d’authentification sans mot de passe.
• La capacité de désactiver les mots de passe sur les périphériques Entra ID Joined (AADJ) via le paramétrage GP/MDM « Enable Passwordless Expérience »

Authentification Windows

Microsoft va supprimer le support du SSO pour WDigest de Windows. Celui-ci est un ancien protocole d’authentification hérité qui demande un mot de passe en clair. Inévitablement ce dernier est une cible d’attaque pour les hackers. WDigest continuera d’être disponible mais le support du SSO va être retiré car il était déjà désactivé depuis Windows 8.1 et Server 2012 R2.

Microsoft va activer la protection Local Security Authority via les règles Attack Surface Reduction par défaut. Auparavant, cela avait été fait pour les nouvelles installations de Windows à partir de Windows 10 22H2. Microsoft va maintenant le faire lors de la mise à jour vers la prochaine version de Windows. Le système entrera dans un mode d’évaluation pour observer la compatibilité. Si aucune incompatibilité est détectée lors de la période d’évaluation, alors Microsoft activera cette règle ASR par défaut. Si un appel est réalisé et que la règle est activée, une fenêtre de notification informera l’utilisateur du blocage.

Lors du BlueHat 2023, Microsoft a annoncé vouloir aussi améliorer les fondamentaux autour de Kerberos en réalisant les changements suivants :

• AES comme algorithme de chiffrement par défaut en lieu et place de RC4
• Les algorithmes supportés sont étendus avec HMAC-SHA2 (AES128-CTS-HMAC-SHA256-128 et AES256-CTS-HMAC-SHA384-256)
• Intégrer des changements permettant de changer de manière plus aisée les algorithmes cryptographiques dans le futur.
• Support de SHA-2 pour Public Key Cryptography for Initial Authentication (PKINIT) côté serveur.
• Avec Windows 11 23H2, Microsoft va couvrir le scénario où le serveur KDC est non disponible pour utiliser le serveur applicatif comme proxy KDC.
• Avec Windows 11 23H2, Microsoft va couvrir le scénario qui représente 99% de l’usage de NTLM car vous n’avez pas de serveur KDC car vous êtes n’êtes pas On-Prem (Workgroup, etc.). Microsoft va construire un Local KDC sur le client via un l’utilisation du protocole SPNEGO qui essayera d’abord d’utiliser Kerberos puis IAKerb/LocalKDC et enfin NTLM si cela n’a pas fonctionné.
  Vous pouvez obtenir plus d’informations sur le plan de Microsoft pour retirer NTLM : The evolution of Windows authentication | Windows IT Pro Blog (microsoft.com)

Vous pouvez retrouver l’ensemble des annonces et la vidéo sur Linkedin

Gartner vient de publier le résultat de l’étude 2023 sur l’Endpoint Protection Platforms (EPP). Microsoft fait toujours parmi les leaders avec Palo Alto, Sophos, TrendMicro, SentinelOne, et CrowdStrike.

Parmi les forces :

• La forte réactivité de Microsoft sur le marché, ses antécédents et sa viabilité globale sont attribués à sa part de marché substantielle et à la croissance de sa part de marché dans le domaine de la sécurité. Les interactions avec les clients de Gartner montrent que ce fournisseur jouit d'une grande visibilité.
• La stratégie et l'innovation solides de Microsoft en matière de produits se reflètent dans l'étendue de sa suite de sécurité pour l'espace de travail et dans le couplage étroit avec son SIEM Microsoft Sentinel. Les améliorations récentes comprennent des capacités d'interruption automatique des attaques pour les incidents à forte probabilité.
• Le produit de Microsoft bénéficie de capacités de gestion de la configuration de la sécurité, fournissant une évaluation continue de la posture et des suggestions de remédiation recommandées pour remédier aux vulnérabilités et aux mauvaises configurations.
• Le produit de l'éditeur inclut une télémétrie par défaut généreuse des points d'extrémité et une conservation des événements de détection qui est supérieure à la moyenne des éditeurs de ce Magic Quadrant.

Parmi les faiblesses :

• Le produit de Microsoft est confronté à une prise en charge limitée des anciens systèmes d'exploitation et à une prise en charge généralement inégale des systèmes d'exploitation autres que Windows. Les clients de Gartner se plaignent notamment de la prise en charge et des performances des systèmes basés sur Linux.
• L'exécution des ventes de Microsoft est affectée par l'accent général mis sur la vente d'offres groupées de sécurité, ce qui crée souvent des produits d'étagère et des dépenses redondantes, comme l'ont signalé les clients de Gartner. En outre, des produits tels que Microsoft Defender for Servers ou Microsoft Sentinel ne sont pas pleinement représentés dans des offres populaires telles que E3 ou E5.
• L'évaluation de l'expérience client de Microsoft reflète une facilité d'utilisation inférieure à la moyenne, basée sur les impressions des analystes et des utilisateurs finaux concernant l'interface utilisateur de la console et la nécessité actuelle d'utiliser des tableaux de bord distincts pour les paramètres de protection des points d'extrémité et la gestion des événements de sécurité, malgré la consolidation en cours dans une expérience unifiée.
• Le produit de Microsoft est affecté par le manque d'options de déploiement sur site pour sa console de gestion EPP, ce qui le rend inadapté aux organisations qui n'ont pas de stratégie "cloud-first".

Vous pouvez accéder au rapport.

Source : ​​Microsoft is a Leader in the 2023 Gartner® Magic Quadrant for Endpoint Protection Platforms | Microsoft Security Blog

Les règles d’accès conditionnel de Microsoft Entra ID sont un rempart essentiel dans l’approche Zero Trust. Néanmoins, leur élaboration demande une véritable ingénierie pour s’assurer de la meilleure couverture de sécurité, de la meilleure expérience utilisateur et de la contextualisation de l’organisation.

Certains services utilisés par les services IT requierent parfois d’être positionnés dans les Exclusions en fonction des règles et des scénarios.

Par exemple, la fonctionnalité d’activation de Windows basée sur un abonnement comme Microsoft 365 E3/E5 ou Windows 10 E3/E5 (Windows Subscription Activation) doit permettre un accès sans contrainte (MFA, etc.). Ainsi chez un client, j’ai fait face à cette problématique car l’entreprise avait mis en place une règle d’accès conditionnel demandant une authentification à facteurs multiples (MFA) pour tous les services Cloud. Pour être honnête avec vous, je me bas contre cette règle qui ne protège que partiellement l’organisation et rend surtout l’expérience utilisateur très mauvaise sur des postes gérés (Microsoft Entra Hybrid Join ou enregistrés dans Microsoft Intune). Par exemple, elle a tendance à bloquer la synchronisation du service Microsoft Intune sur un poste géré avec une erreur visible dans la partie Accès Compte Professionnel – Informations.

Pour éviter ce problème, je recommande en général de créer une règle d’accès conditionnel qui comprend soit la demande du MFA soit un poste géré et conforme.

Néanmoins, certaines organisations continuent de vouloir demander du MFA dans toutes les conditions. Dans cette situation, il faut exclure un certain nombre d’applications Cloud de la stratégie. C’est donc le cas lorsque l’organisation utilise Windows Subscription Activation pour activer la licence Windows Entreprise de ses postes. Dans ce cas, vous devez exclure l’application avec l’identifiant suivant : 45a330b1-b1ec-4cc1-9161-9f03992aa49f

• Sur les anciens Tenants Microsoft Entra ID : Windows Store for Business
• Sur les nouveaux tenants Microsoft Entra ID : Universal Store Service APIs and Web Application

A l’occasion de l’Ignite 2023, Microsoft a annoncé le choix de basculer son moteur d’évaluation de vulnérabilités proposés dans Microsoft Defender for Cloud de Qualys vers Microsoft Defender Vulnerability Management.

Aujourd’hui, Microsoft annonce le retrait de Qualys des plans de service de Defender for Server et Defender for Containers.

A partir du 1er mai 2024, l'offre Qualys intégrée dans le plan Defender for Servers sera retirée. Tous les nouveaux clients de Defender for Servers se verront proposer l'option Qualys intégrée jusqu'au 15 janvier 2024. Après le retrait, les clients qui souhaitent continuer à utiliser Qualys peuvent choisir de s'abonner à Qualys Vulnerability Management, disponible en tant qu'option BYOL (Bring Your Own License).

De même, dans le cadre du plan Defender for Containers, l'offre intégrée de Qualys sera retirée d'ici le 1er mars 2024. Tous les nouveaux clients bénéficieront automatiquement de Defender Vulnerability Management.

Vous pouvez consulter le plan de transition pour les serveurs et les conteneurs.

Source : Defender for Cloud - Qualys retirement plan for Vulnerability assessment on cloud workloads - Microsoft Community Hub

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for IoT. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• L'ancienne console de gestion On-Prem ne pourra plus être téléchargée après le 1er janvier 2025. Microsoft recommande de passer à la nouvelle architecture en utilisant toute la gamme des API On-Prem et dans le Cloud avant cette date.
  • Les versions de capteurs publiées après le 1er janvier 2025 ne pourront pas être gérées par une console de gestion On-Prem.
  • Les versions du logiciel du capteur publiées entre le 1er janvier 2024 et le 1er janvier 2025 continueront à prendre en charge une version de la console de gestion On-Prem.
  • Les capteurs à air-gapped qui ne peuvent pas se connecter au Cloud peuvent être gérés directement via la console du capteur ou à l'aide d'API REST.
• Lors de l'exécution d'une mise à jour de capteur à partir du portail Azure, une nouvelle barre de progression apparaît dans la colonne Version du capteur pendant le processus de mise à jour. Au fur et à mesure que la mise à jour progresse, la barre indique le pourcentage de la mise à jour effectuée, ce qui vous indique que le processus est en cours, qu'il n'est pas bloqué ou qu'il a échoué.

Réseaux OT

• Nouvelle architecture pour le support des réseaux hybrides et air-gapped. Ces réseaux hybrides et air-gapped sont courants dans de nombreux secteurs, tels que l'administration, les services financiers ou la fabrication industrielle. Les réseaux air-gapped sont physiquement séparés d'autres réseaux externes non sécurisés, tels que les réseaux d'entreprise ou l'internet, et sont moins vulnérables aux cyber-attaques. Toutefois, les réseaux air-gapped ne sont pas totalement sûrs, peuvent toujours être violés et doivent être sécurisés et surveillés avec soin.

• Les capteurs du réseau OT (version 23.2.0) fonctionnent désormais sous Debian 11. L'utilisation de Debian comme base pour le logiciel de nos capteurs permet de réduire le nombre de paquets installés sur les capteurs, ce qui augmente l'efficacité et la sécurité de vos systèmes. En raison du changement de système d'exploitation, la mise à jour du logiciel de votre ancienne version vers la version 23.2.0 peut être plus longue et plus lourde que d'habitude.
• À partir de la version 23.2.0, l'utilisateur privilégié par défaut installé avec les nouvelles installations de capteurs OT est l'utilisateur admin au lieu de l'utilisateur support. Si vous mettez à jour le logiciel de votre capteur d'une version précédente à la version 23.2.0, l'utilisateur de support privilégié est automatiquement renommé en admin. Si vous avez enregistré vos identifiants d'assistance, par exemple dans des scripts CLI, vous devez mettre à jour vos scripts pour utiliser le nouvel utilisateur admin à la place.

Intégrations

• Lors de l'intégration avec Microsoft Sentinel, la table SecurityAlert de Microsoft Sentinel n'est désormais mis à jour immédiatement que pour les changements d'état et de gravité des alertes. Les autres modifications des alertes, telles que la dernière détection d'une alerte existante, sont regroupées sur plusieurs heures et n'affichent que la dernière modification apportée.

Plus d’informations sur : What's new in Microsoft Defender for IoT - Microsoft Defender for IoT | Microsoft Learn

Microsoft vient de réaliser une série d’annonces autour de Copilot, l’IA Générative de Microsoft notamment basée sur des modèles d’Open AI et particulièrement sur sa déclinaison dans Microsoft 365.

Les premières annonces concernent les clients Microsoft 365 du monde entreprise avec notamment :

• La disponibilité générale de Copilot pour Microsoft 365 pour les petites entreprises avec des licences Microsoft 365 Business Premium et Business Standard pour acheter entre une et 299 licences pour 30 USD /mois/utilisateur.
• Microsoft supprime la limite minimum de 300 licences pour l’achat de licences Copilot.
• Microsoft supprime la limitation de l’achat de licence M365 Copilot liée à Microsoft 365. Les clients qui ont actuellement des licences Office 365 E3 et E5 peuvent acquérir des licences.
• L’achat des licences peut se faire au travers du réseau de partenaires Cloud Solution Provider (CSP). Il y aura notamment de nouvelles fonctionnalités liées à Copilot dans Microsoft 365 Lighthouse.
• Microsoft annonce l’intégration de Copilot pour Microsoft 365 dans Windows en offrant des intégrations fortes dans les fonctionnalités du système d’exploitation.
• D’un point de vue engagement sur la résidence des données, Copilot pour Microsoft 365 sera ajouté en tant que charge de travail couverte par les engagements de résidence des données dans les conditions d'utilisation des produits Microsoft et les modules complémentaires Microsoft Advanced Data Residency (ADR) et capacités Multi-Geo.

La seconde annonce concerne l’introduction de Copilot Pro, un nouvel abonnement premium qui cible les utilisateurs finaux qui auraient souscrit un abonnement Microsoft 365 Personal and Family. Ce dernier offre des capacités similaires que Microsoft 365 Copilot dans un usage personnel pour 20 USD/mois/utilisateur. On retrouve notamment les capacités fondamentales, la recherche internet, la protection de données, l’accès au modèle de priorité et Copilot dans la suite Office.

La troisième annonce est la disponibilité générale de l’application Copilot sur les plateformes Android et iOS. L'application Copilot vous permet de bénéficier de la puissance de Copilot en déplacement, car vos requêtes et chats Copilot se déplacent entre votre téléphone et votre PC. L'application mobile Copilot offre les mêmes possibilités que Copilot sur votre PC, y compris l'accès à GPT-4, Dall-E 3 pour la création d'images, et la possibilité d'utiliser les images de votre téléphone lorsque vous discutez avec Copilot.

La dernière annonce est celle des Copilot GPTs vous permettant de personnaliser le comportement de Microsoft Copilot sur un sujet qui vous intéresse particulièrement.  Une série de GPTs Copilot seront déployés à partir d'aujourd'hui avec des objectifs spécifiques tels que le fitness, les voyages, la cuisine etc..

Plus d’informations sur : Bringing the full power of Copilot to more people and businesses - The Official Microsoft Blog

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Gestion du périphérique

• [Général] Mise à jour des rapports pour Microsoft Defender for Endpoint connector afin d’afficher le nombre d'appareils qui ont été intégrés à Defender for Endpoint en fonction de l'état de Defender CSP, et s'aligne visuellement sur d'autres vues de rapport récentes qui utilisent une barre pour représenter le pourcentage d'appareils avec différentes valeurs d'état.

• [Général] Support des variables dans les notifications par courrier électronique de non-conformité afin de personnaliser les notifications par courrier électronique qui sont envoyées lorsque l'appareil d'un utilisateur devient non conforme. Les variables incluses dans le modèle, telles que {{username}} et {{devicename}} sont remplacées par le nom d'utilisateur ou le nom de l'appareil dans l'e-mail que les utilisateurs reçoivent. Les variables sont prises en charge par toutes les plateformes.

Configuration du périphérique

• [Windows] Microsoft publié une nouvelle version de la baseline Intune pour Microsoft Edge en version v117. Cette mise à jour prend en charge les paramètres récents afin que vous puissiez continuer à maintenir les meilleures pratiques de configuration pour Edge.

Gestion des applications

• [Général] L'application protégée suivante est désormais disponible pour Microsoft Intune : Akumina EXP by Akumina Inc.
• [Windows] La limite de taille des applications fixée auparavant à 8GB a été passée à 30GB.
• [Windows] Windows MAM est pris en charge dans les environnements Cloud gouvernement et dans 21 Vianet en Chine.
• [macOS] Vous pouvez désormais télécharger et déployer des applications non gérées de type PKG sur des appareils macOS gérés à l'aide de l'agent Intune MDM. Cette fonctionnalité vous permet de déployer des installateurs PKG personnalisés, tels que des applications non signées et des packages de composants. Vous pouvez ajouter une application PKG dans le centre d'administration Intune en sélectionnant Apps > macOS > Add > macOS app (PKG) pour le type d'application.

Sécurité du périphérique

• [Général] Microsoft a ajouté une nouvelle mesure de santé pour Microsoft Tunnel nommée Révocation du certificat TLS. Cette nouvelle mesure de santé indique l'état du certificat TLS des serveurs du tunnel en accédant à l'adresse OCSP (Online Certificate Status Protocol) ou CRL telle que définie dans le certificat TLS. Vous pouvez voir l'état de ce nouveau contrôle avec tous les contrôles de santé dans le centre d'administration Microsoft Intune en naviguant vers Tenant administration > Microsoft Tunnel Gateway > Health status, en sélectionnant un serveur, puis en sélectionnant l'onglet Health check.
• [Android] Intune prend désormais en charge la configuration d'une liste d'exclusion de proxy lorsque vous configurez un profil VPN Microsoft Tunnel pour les périphériques pour Android. Avec une liste d'exclusion, vous pouvez exclure des domaines spécifiques de votre configuration de proxy sans nécessiter l'utilisation d'un fichier PAC (Proxy Auto-Configuration). La liste d'exclusion de proxy est disponible à la fois avec Microsoft Tunnel et Microsoft Tunnel pour MAM.  La liste d'exclusion de proxy est prise en charge dans les environnements qui utilisent un seul proxy. La liste d'exclusion n'est pas adaptée ou prise en charge lorsque vous utilisez plusieurs serveurs proxy, pour lesquels vous devez continuer à utiliser un fichier .PAC.

• [Windows] Microsoft a ajouté deux paramètres au profil Microsoft Defender Antivirus pour la stratégie Antivirus de sécurité des terminaux qui s'applique aux appareils Windows 10 et Windows 11. Ces deux paramètres fonctionnent ensemble pour activer la prise en charge d'une heure de démarrage aléatoire de l'analyse antivirus d'un appareil, puis pour définir une plage de temps pendant laquelle le démarrage aléatoire de l'analyse peut commencer. Ces paramètres sont pris en charge avec les appareils gérés par Intune et les appareils gérés par le scénario de gestion des paramètres de sécurité de Defender for Endpoint.
  • RandomizeScheduleTaskTimes - Ce paramètre active la randomisation de l'heure de début de l'analyse sur les dispositifs.
  • SchedulerRandomizationTime - Ce paramètre permet de définir des limites pour l'heure de démarrage aléatoire.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Exchange Server 2019 a atteint la date de fin de support principal (9 janvier 2024). Microsoft prévoit encore deux Cumulative Updates : CU14 publié prochainement et CU15 d’ici la fin de l’année. Ceci signifie qu’après cela, Microsoft ne fournira plus :

• Le support gratuit ou payant
• Les correctifs de bugs découverts qui peuvent impacter la stabilité du produit
• Les correctifs de sécurité pour des vulnérabilités découvertes.
• Les mises à jour de time zone.

L’article donne un petit teasing sur ce qui doit arriver après Exchange Server 2019.

Plus d’informations sur : Mainstream Support for Exchange Server 2019 Ends Today - Microsoft Community Hub

Ce mois-ci, Microsoft a publié les KB5034440 et KB5034441 pour Windows 10 et Windows 11 afin de corriger une vulnérabilité dans Windows Recovery Environnment (WinRE) correspondant à la petite partition de récupération créée par Windows lors de l’installation. De nombeuses personnes ont pu constaté que l’installation de cette mise à jour pouvait renvoyer l’erreur 0x80070643.

Il peut y avoir de nombreux problèmes derrière ce code d’erreur. Le plus commun et documenter par Microsoft est le manque d’espace disque sur la partie WinRE et vous pouvez constater des messages comme suit dans les journaux : CBS_E_INSUFFICIENT_DISK_SPACE. En effet, la mise à jour requiert 250 Mo pour s’installer.

Microsoft essaie de trouver une solution à ce problème et fournira ultérieurement une mise à jour qui corrige la logique de détection.

Néanmoins, vous pouvez tenter de suivre la procédure de redimensionnement de la partition WinRE :

1. Ouvrez une invite de commande en tant qu’administrateur
2. Pour vérifier l'état de WinRE, exécutez reagentc /info. Si WinRE est installé, il doit y avoir un "Windows RE location" avec un chemin d'accès au répertoire WinRE. Voici un exemple : "Windows RE location : [file://%3f/GLOBALROOT/device/harddisk0/partition4/Recovery/WindowsRE]\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE." Ici, le nombre qui suit "harddisk" et "partition" est l'index du disque et de la partition sur lesquels se trouve WinRE.
3. Pour désactiver WinRE, exécutez reagentc /disable
4. Réduisez la partition du système d'exploitation et préparez le disque pour une nouvelle partition de récupération.
   1. Pour réduire la partition du système d'exploitation, exécutez diskpart
   2. Exécuter list disk
   3. Pour sélectionner le disque du système d'exploitation, exécutez sel disk <index du disque du système d'exploitation> Il doit s'agir du même index de disque que WinRE.
   4. Pour vérifier la partition sous le disque du système d'exploitation et trouver la partition du système d'exploitation, exécutez list part
   5. Pour sélectionner la partition du système d'exploitation, exécutez sel part <index de la partition du système d'exploitation>.
   6. Exécutez shrink desired=250 minimum=250
   7. Pour sélectionner la partition WinRE, exécutez sel part <Index de la partition WinRE>
   8. Pour supprimer la partition WinRE, exécutez delete partition override
5. Créez une nouvelle partition de récupération.
   1. Tout d'abord, vérifiez si le style de partition du disque est GUID Partition Table (GPT) ou Master Boot Record (MBR). Pour ce faire, exécutez la commande list disk. Vérifiez s'il y a un astérisque (*) dans la colonne "Gpt".  S'il y a un astérisque (*), le lecteur est GPT. Sinon, il s'agit d'un disque MBR.
      1. Si votre disque est GPT, exécutez create partition primary id=de94bba4-06d1-4d40-a16a-bfd50179d6ac suivi de la commande gpt attributes =0x8000000000000001
      2. Si votre disque est de type MBR, exécutez la commande create partition primary id=27
   2. Pour formater la partition, exécutez format quick fs=ntfs label="Windows RE tools"
   3. Pour confirmer que la partition WinRE est créée, exécutez list vol
   4. Pour quitter diskpart, exécutez exit
   5. Pour réactiver WinRE, exécutez reagentc /enable
   6. Pour confirmer l'emplacement d'installation de WinRE, exécutez reagentc /info

Notez que l’espace disque disponible n’est pas le seul problème pouvant générer cette erreur et que la procédure ci-dessus ne fait pas nécessairement office de solution pour tous les cas.

Vous pouvez aussi temporairement bloquer/cacher la mise à jour via l’outil de Microsoft.

Plus d’informations : KB5034441 : Mise à jour de l’environnement de récupération Windows pour Windows 10, version 21H2 et 22H2 : 9 janvier 2024 - Support Microsoft

Microsoft a annoncé le retrait dans la première partie de l’année 2024 d’une expérience de déploiement relative au déploiement via Apple Device Enrollment (ADE) dans Microsoft Intune. En effet, l’expérience permettant d’exécuter le portail d’entreprise dans un mode d’application unique (Single App Mode) jusqu’à l’authentification, n’est plus supporté par Apple. Microsoft a depuis développé le mode Setup Assistant avec authentification moderne.

Vous devez donc migrer vos profils d’enregistrement existant avec les options :

• Authentication Method à Setup Assistant with modern authentication
• Await final configuration à Yes (si vous souhaitez une expérience verrouillée comme vous l’aviez avec la méthode précédente).

Si vous n’opérez pas ce changement, l’enregistrement des périphériques échouera s’ils sont assignés avec l’option « Run Company Portal in Single App Mode until authentication » et Company Portal en méthode d’authenfication.

Plus d’informations sur : Transforming the iOS/iPadOS ADE experience in Microsoft Intune - Microsoft Community Hub

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Microsoft Defender XDR Unified RBAC est maintenant disponible et prend en charge tous les scénarios Defender for Office 365 qui étaient auparavant contrôlés par les autorisations de messagerie et de collaboration et les autorisations Exchange Online.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a publié le guide des opérations de sécurité pour Microsoft Defender for Office 365 pour décrire l’ensemble des activités à réaliser avec notamment :

• Les activités journalières
  • Supervision de la liste des incidents
  • Gestion des détections faux positifs et faux négatifs
  • Revue des campagnes de phishing et de logiciels malveillants qui ont abouti à la livraison de l’email
• Les activités hebdomadaires
  • Revue des tendances de détection des e-mails dans les rapports Defender for Office 365
  • Suivi et réponse aux menaces émergentes à l’aide de Threat Analytics
  • Examen des utilisateurs les plus ciblés pour les logiciels malveillants et le phishing
  • Passage en revue les principales campagnes de malware et de phishing qui ciblent votre organisation
• Les activités non récurrentes
  • Investigation manuelle et suppression des e-mails
  • Recherche des menaces de manière proactive
  • Revue des configurations de stratégie Defender pour Office 365
  • Examen des détections d'usurpation d'identité (spoof) et d’impersonnalisassions d'identité (impersonation)
  • Vérification de l'adhésion au compte prioritaire

Plus d’informations sur : Security Operations Guide for Defender for Office 365 | Microsoft Learn

Le beta-testing de la certification sur Microsoft Fabric Analytics a débuté. L’examen Exam DP-600: Implementing Analytics Solutions Using Microsoft Fabric est concerné avec les connaissances suivantes :

• Planifier, implémenter et gérer une solution pour l’analytique données (10 à 15 %)
• Préparer et servir des données (40 à 45 %)
• Implémenter et gérer des modèles sémantiques (20 à 25 %)
• Explorer et analyser des données (20 à 25 %)

Cet examen permettra d’acquérir le statut Microsoft Certified: Fabric Analytics Engineer Associate

Vous pouvez alors utiliser gratuitement le code suivant : DP600Winfield.
Il doit être utilisé avant le 25 janvier 2024.

Il n’y a que 300 places disponibles.

Source : Validate your skills with our new certification for Microsoft Fabric Analytics Engineers - Microsoft Community Hub

Gartner a publié le résultat de l’étude 2023 sur les solutions Unified Communications as a Service. Microsoft est toujours leader (depuis 5 ans) avec Microsoft Teams.

Parmi les forces :

• Gartner considère toujours Microsoft Teams comme le choix le plus populaire sur le marché UCaaS, en particulier pour les entreprises qui utilisent déjà Teams pour la messagerie et les réunions. Les capacités de téléphonie de Microsoft Teams satisfont aux exigences de la majorité des entreprises grâce aux améliorations apportées au cours de la dernière année, ainsi qu'à l'évolution des tendances dans les modalités préférées des utilisateurs de communications d'entreprise (plus de collaboration, moins de téléphonie).
• Au cours de l'année écoulée, Gartner a observé une adoption accrue des services Operator Connect alors que Microsoft continue d'investir dans les relations avec les partenaires télécoms. Depuis cette publication, Microsoft a ajouté environ 70 opérateurs de télécommunications couvrant presque toutes les zones géographiques.
• Microsoft a suscité un intérêt considérable auprès des PME en élargissant sa présence de forfaits d'appels dans 35 pays. Il a également ajouté la prise en charge des forfaits d'appels à la carte très demandés pour attirer les organisations avec des volumes d'appels sortants PSTN extrêmement faibles.

Parmi les faiblesses :

• L'ajout de Teams Phone Mobile ainsi que des forfaits d'appels à la carte et du programme Operator Connect pour la connectivité PSTN pour Teams reste un sujet d'incertitude parmi les entreprises quant à l'option de connectivité PSTN la mieux adaptée à leur situation. Les clients de Gartner indiquent souvent qu'ils ne comprennent pas clairement l'offre Operator Connect et en quoi elle diffère du routage direct ou des forfaits d'appels Microsoft.
• Les entreprises qui disposent de cas d’utilisation avancés de la téléphonie trouvent des lacunes avec Microsoft Teams Phone. Pour les fonctionnalités de téléphonie avancées (telles que les capacités de groupement de recherche multiligne, les consoles d'opérateur, la mise en file d'attente avancée des appels, la réponse vocale interactive et l'enregistrement avancé des appels), les organisations sont souvent déployées à l'aide de solutions de téléphonie tierces qui s'intègrent à Microsoft Teams. Le déploiement de la téléphonie tierce peut être limité au groupe spécifique d'utilisateurs ayant besoin de telles fonctionnalités si ce groupe est petit, ou à l'ensemble de l'organisation si une majorité d'utilisateurs ont besoin de telles fonctionnalités.
• Les clients de Gartner sont souvent incertains quant aux options de leur centre d'appels lorsqu'ils utilisent Microsoft Teams Phone. Les clients déclarent avoir été confus lorsque Microsoft a initialement introduit une offre de centre de contact par canal vocal propriétaire avec Dynamics 365, puis a introduit la plate-forme de centre de contact numérique Microsoft, qui intégrait Dynamics 365, Teams et Nuance. Cependant, à la date de ce rapport, Microsoft n'a pas encore proposé d'option de centre d'appels Microsoft Teams auto-développée, reflétant le manque de coordination interne entre les différentes équipes produit.

Vous pouvez accéder au rapport sur : Gartner Reprint

Source : Microsoft named a Leader in 2023 Gartner® Magic Quadrant for Unified Communications as a Service| Microsoft 365 Blog

J’étais passé à côté de l’info mais l’équipe Sentinel a publié deux formations complètes (Ninja) sur Microsoft Sentine allant jusqu’à un niveau d’expertise autour des thématiques de l’automatisation (SOAR) et les notebooks.

Accéder à Become a Microsoft Sentinel Automation Ninja! - Microsoft Community Hub où on retrouve notamment :

• Where to start?
• How to build automation rule
• How to build the playbook
• What’s new with Microsoft Sentinel Automation
• Tips & Tricks
• Migrate from 3rd party automation tools

Accéder à Azure Sentinel notebook ninja - the series! (microsoft.com) où on retrouve notamment :

• Part 1:What are notebooks and when do you need them? 
• Part 2:How to get started with notebooks and tour of the features
• Part 3:Overview of the pre-built notebooks and how to use them
• Part 3.5:Using Code Snippets to build your own Sentinel Notebooks 
• Part 4:How to create your own notebooks from scratch and how to customize the existing ones

Un groupe de personnes, ont lancé une initiative pour créer des projets Open Source afin de documenter les infrastructures. AsBuiltReport vous permet de créer des rapports pour des infrastructures de nombreux constructeurs dont Microsoft pour :

• Microsoft Azure
• Microsoft Active Directory
• Microsoft Windows
• Microsoft DHCP
• Microsoft SCVMMM
• Microsoft Teams

Bref c’est un bon outil si vous souhaitez économiser du temps et ne pas passer des heures à concaténer des informations pour générer un document d’architecture.

Accéder au AsBuiltReport · GitHub

Google a déprécié le mode de gestion Android Device Administrator et supprime des fonctionnalités et ne fournit plus aucun correctif sur ce mode. Microsoft a donc décidé d’arrêter le support du mode Device Administrator sur les périphériques avec un accès Google Mobile Services (GMS). L’arrêt de support est prévu au 30 août 2024 et comprendra les impacts suivants :

• Les utilisateurs ne pourront pas inscrire d'appareils via le mode Android Device Administrator.
• Intune n’apportera aucune modification ni mise à jour à la gestion Device Admin, comme des corrections de bugs, des correctifs de sécurité ou des correctifs pour répondre aux modifications apportées aux nouvelles versions d’Android.
• Le support technique Intune ne prendra plus en charge ces périphériques.

Microsoft recommande donc dès à présent d’arrêter d’inscrire les appareils en mode Device Admin et migrer les appareils concernés vers d’autres méthodes de gestion. Vous pouvez consulter les rapports Intune pour voir quels périphériques ou utilisateurs peuvent être concernés. Accédez à Devices > All devices et filtrez la colonne du système d'exploitation sur Android (device administrator)  pour voir la liste des appareils.

Pour les périphériques qui n’ont pas accès Google Mobile Services (GMS) (par exemple comme en Chine), vous pouvez consulter l’article suivant : How to use Intune in environments without Google Mobile Services - Microsoft Intune | Microsoft Learn

Pour les périphériques Android certifiés Microsoft Teams, ces derniers seront migrés vers de la gestion Android Open Source Project (AOSP) via une mise à jour de firmware au premier semestre 2024. Les stratégies ne seront pas migrées automatiquement, les administrateurs devront donc créer les nouvelles stratégies appropriées pour la gestion AOSP. Plus d’informations.

Source : Microsoft Intune ending support for Android device administrator on devices with GMS in August 2024 - Microsoft Community Hub

En Mars 2026, Microsoft prévoit un changement sur les stratégies d’accès conditionnel proposées par Microsoft Entra qui pourrait impacter de nombreuses organisations. Microsoft planifie de retirer le contrôle "Require approved client app" permettant à l’organisation de demander l’utilisation d’une application approuvée sur la base d’une liste définie par Microsoft.

Si vous n’opérez pas le changement, cela signifie que ce contrôle ne sera plus respecté et l’utilisateur pourrait se retrouver bloquer.
Microsoft recommande de passer au contrôle « Require application protection policy ». Le changement comprend deux éléments importants :

• Changer le contrôle de Require approved client app à Require application protection policy
• Prévoir le déploiement de stratégie de protection applicative sur les utilisateurs ciblées par la stratégie d’accès conditionnel en utilisant Microsoft Intune.

C’est sur ce second point que vous pouvez avoir un peu de travail. Le changement est particulièrement impactant pour les entreprises qui n’auraient achetée que des licences Microsoft Entra ID P1/P2 (AAD P1/P2) et qui n’auraient pas de licences Microsoft Intune

Plus d’informations sur : Migrate approved client app to application protection policy in Conditional Access - Microsoft Entra ID | Microsoft Learn

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Windows 365 prend désormais en charge le chiffrement des PCs Cloud en configurant la clé client Microsoft Purview.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Windows Autopatch.

Il y a de nouvelles fonctionnalités ce mois :

• Ajout du service à la licence Microsoft 365 F3
• Public Preview des alertes pour les conflits de stratégies de Windows Autopilot :
  • Une liste de toutes les politiques Autopatch qui sont en conflit avec d'autres politiques de périphériques dans le locataire.
  • Un résumé des politiques en conflit, des dispositifs concernés et des alertes ouvertes.
  • Une vue détaillée des appareils concernés
  • Des alertes qui incluent des détails sur les politiques en conflit, les paramètres et les groupes Azure AD auxquels elles sont assignées. Les administrateurs doivent prendre les mesures nécessaires pour que la politique attendue soit affectée avec succès à l'appareil..

Néanmoins, Microsoft a réalisé des maintenances sur le service afin d'améliorer les performances globales de Windows Autopatch.

Plus d’informations sur : What's new 2023 - Windows Deployment | Microsoft Learn

Petri Paavola (Microsoft MVP - Windows and Devices) propose un script permettant de faciliter l’analyse du journal Microsoft Intune Management Extension (IME) en filtrant sur différents paramètres :

• Le type d’actions (Win32App, WinGetApp, PowerShell Script, Remediation, les strategies de conformité personnalisées)
• Le statut
• Le type
• Le but

On retrouve aussi les statistiques de téléchargement.

Pour télécharger le script, vous pouvez utiliser : Save-Script Get-IntuneManagementExtensionDiagnostics -Path ./

Pour exécuter le script : ./Get-IntuneManagementExtensionDiagnostics.ps1 -Online

Plus d’informations sur le GitHub : GitHub - petripaavola/Get-IntuneManagementExtensionDiagnostics: Get-IntuneManagementExtensionDiagnostics script analyzes Intune IME logs and shows events in Timeline