Petri Paavola (Microsoft MVP - Windows and Devices) propose un script permettant de faciliter l’analyse du journal Microsoft Intune Management Extension (IME) en filtrant sur différents paramètres :

• Le type d’actions (Win32App, WinGetApp, PowerShell Script, Remediation, les strategies de conformité personnalisées)
• Le statut
• Le type
• Le but

On retrouve aussi les statistiques de téléchargement.

Pour télécharger le script, vous pouvez utiliser : Save-Script Get-IntuneManagementExtensionDiagnostics -Path ./

Pour exécuter le script : ./Get-IntuneManagementExtensionDiagnostics.ps1 -Online

Plus d’informations sur le GitHub : GitHub - petripaavola/Get-IntuneManagementExtensionDiagnostics: Get-IntuneManagementExtensionDiagnostics script analyzes Intune IME logs and shows events in Timeline

Merill Fernando (Principal Product Manager – Microsoft Entra) et plusieurs contributeurs propose Entra Exporter 2.0, un module PowerShell qui vous permet d'exporter vos paramètres de configuration Microsoft Entra (Azure AD) et Azure AD B2C vers des fichiers .json locaux. Ce module peut être exécuté comme une tâche programmée ou un composant DevOps (Azure DevOps, GitHub, Jenkins) et les fichiers exportés peuvent être contrôlés par version dans Git ou SharePoint. Cela permet notamment d’assurer un suivi de votre configuration Microsoft Entra dans le temps et éventuellement de revenir en arrière en cas de problème.

Les objets et paramètres suivants ne sont pas exportés par défaut : B2C, B2B, Groupes statiques et appartenance à des groupes, Applications, Service Principals, Utilisateurs, PIM (rôles intégrés, paramètres de rôles par défaut, attributions de rôles non permanentes).

Pour installer le module : Install-Module EntraExporter

Pour utiliser le module :

Connect-EntraExporter
Export-Entra -Path 'C:\EntraBackup\'

Pour faire un export complet :
Export-Entra -Path 'C:\EntraBackup\' -All

Voici la liste des éléments de configuration qui peuvent être exportés :

• Utilisateurs
• Groupes
  • Groupes dynamiques et assignés (y compris les membres et les propriétaires)
  • Paramètres des groupes
• Appareils
• Identités externes
  • Politique d'autorisation
  • Connecteurs API
  • Flux d'utilisateurs
• Rôles et administrateurs
• Unités administratives
• Applications
  • Applications d'entreprise
  • Enregistrements d'applications
  • Politique de mappage des réclamations
  • Propriétés de l'extension
  • Politique de demande de consentement administratif
  • Politiques d'octroi de permissions
  • Politiques d'émission de jetons
  • Politiques de durée de vie des jetons
• Gouvernance de l'identité
  • Entitlement Management
    • Paquets d'accès
    • Catalogues
    • Organisations connectées
  • Access Reviews
  • Privileged Identity Management
    • Rôles Entra
    • Ressources Azure
  • Chartes d’utilisation
  • Applications Proxy
    • Connecteurs et groupes de connecteurs
    • Agents et groupes d'agents
    • Ressources publiées
  • Licences
  • Paramètres de synchronisation de Connect
  • Noms de domaine personnalisés
  • Marque de l'entreprise
    • Propriétés de la carte de profil
    • Paramètres de l'utilisateur
  • Propriétés du tenant
    • Contacts techniques
  • Sécurité
    • Stratégies d'accès conditionnel
    • Emplacements désignés
    • Stratégies relatives aux méthodes d'authentification
    • Stratégies d'application des valeurs par défaut de la sécurité de l'identité
    • Stratégies d'octroi de permissions
  • Stratégies et paramètres relatifs aux tenants
    • Stratégies de déploiement des fonctionnalités
    • Accès inter-tenants
    • Politiques de temporisation basées sur l'activité
  • Authentification hybride
    • Fournisseurs d'identité
    • Politiques de découverte du domaine vital
  • Paramètres B2C
    • Flux d'utilisateurs B2C
    • Fournisseurs d'identité
    • Attributions d'attributs utilisateur
    • Configuration du connecteur API
    • Langues

Accéder à GitHub - microsoft/EntraExporter: PowerShell module to export a local copy of an Entra (Azure AD) tenant configuration.

Je vous partage un site mis à disposition par Microsoft en collaboration avec AMD pour apprendre le KQL de manière ludique en revêtant le costume d’un agent détective. L’objectif est d’apprendre le langage et de faire marcher ses compétences d’analytique.

Accéder à Kusto Detective Agency

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Azure Active Directory, Permissions Management, etc.) en décembre 2023.

Microsoft apporte les nouveautés suivantes :

Microsoft Entra ID (Azure Active Directory)

• Public Preview - Ordre de rédemption configurable pour la collaboration B2B permet de personnaliser l'ordre des fournisseurs d'identité avec lesquels vos utilisateurs invités peuvent se connecter lorsqu'ils acceptent votre invitation. Cela vous permet d'ignorer l'ordre de configuration par défaut défini par Microsoft et d'utiliser votre propre ordre. Cela peut être utilisé pour aider dans des scénarios tels que la priorisation d'une fédération SAML/WS avant un domaine vérifié par Entra ID, la désactivation de certains fournisseurs d'identité en tant qu'option lors de la rédemption, ou même l'utilisation de quelque chose comme un code d'accès à usage unique comme option de rédemption.
• Le générateur de règles de groupes dynamiques a été mis à jour pour ne plus inclure les opérateurs "contains" et "notContains", car ils sont moins performants. Si nécessaire, vous pouvez toujours créer des règles de groupe dynamique avec ces opérateurs en tapant directement dans la zone de texte.
• Disponibilité Générale des filtres pour les applications dans l'accès conditionnel simplifient la gestion des stratégies en permettant aux administrateurs de marquer les applications avec des attributs de sécurité personnalisés et de les cibler dans les stratégies d'accès conditionnel, au lieu d'utiliser des affectations directes. Grâce à cette fonctionnalité, vous pouvez faire évoluer vos stratégies et protéger un nombre illimité d'applications, car la taille de la stratégie n'augmentera pas lorsque d'autres applications seront ajoutées.
• Disponibilité Générale de la méthode "Most Recently Used" (MRU) qui permet lorsque l'utilisateur l'utilisateur saisit son UPN et clique sur Next, l'utilisateur accède directement à la méthode CBA et n'a pas besoin de sélectionner Use certificate or smart card. sélectionner Utiliser le certificat ou la carte à puce.
• Public Preview de Microsoft Entra Health permettant de visualiser la santé de votre tenant Microsoft Entra à travers un rapport sur les SLAs et un flux de données de métriques de santé que vous pouvez utiliser pour surveiller les scénarios d'authentification clés de Microsoft Entra ID. Le rapport sur l'atteinte des SLA est activé par défaut dans le centre d'administration de Microsoft Entra. Les flux de métriques de santé peuvent être activés en activant la surveillance des scénarios dans le Preview Hub.
• Public Preview de l'authentification basée sur des certificats comme second facteur d'authentification.
• Sur la partie Lifecycle workflows vous pouvez maintenant de télécharger les rapports d'historique des flux de travail existants de Lifecycle Workflows sous forme de fichier CSV (valeurs séparées par des virgules) via le centre d'administration de Microsoft Entra.
• La configuration des Comptes Microsoft dans External Identities permet de supprimer les comptes personnels Microsoft comme option pour les invités Microsoft Entra ID B2B. Cette fonction empêche les invités d'utiliser des comptes personnels et exige à la place un compte géré par une organisation externe.

Microsoft Entra Permissions Management

• Une app Permissions Management est disponible sur l'app store ServiceNow. Les utilisateurs peuvent désormais demander des autorisations à la demande et limitées dans le temps pour les environnements multicloud (Microsoft Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP)) via le portail ServiceNow.
• Public Preview de l'intégration avec Microsoft Defender for Cloud en fournissant des informations de base sur la gestion des autorisations. Cette intégration renforce la prévention des failles de sécurité pouvant survenir en raison d'autorisations excessives ou de mauvaises configurations dans les environnements cloud. Cela permet aux organisations de mettre en œuvre le principe du moindre privilège pour les ressources cloud et de recevoir des recommandations concrètes pour résoudre les risques liés aux autorisations sur Azure, AWS et GCP.
• Le Permissions Analytics Report (PAR) répertorie des identités et des ressources dans Microsoft Entra Permissions Management et peut être consulté directement dans l'interface utilisateur. directement dans l'interface utilisateur, être téléchargé au format Excel (XSLX) et exporté au format PDF. Le rapport est disponible pour tous les environnements cloud pris en charge : Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP), et peut être téléchargé pour un maximum de 10 systèmes d'autorisation en un seul clic.
• Public Preview de la détection des identités qui proviennent d'Okta et AWS IAM Identity Center.
• Public Preview du rapport Permissions Analytic permettant de répertorier les résultats des identités et des ressources.
• Public Preview de nouvelles APIs

Microsoft Security Service Edge (Private Access / Internet Access)

• Public Preview de Microsoft Entra Internet Access fournit une solution de passerelle Web sécurisée (SWG) centrée sur l'identité pour les applications SaaS et autres trafics Internet. Elle protège les utilisateurs,  les appareils et les données contre le vaste paysage de menaces d'Internet grâce à des contrôles de sécurité et à une visibilité via les journaux de trafic. visibilité grâce aux journaux de trafic.
• Microsoft apporte le support d'Android pour Microsoft Entra Internet Access / Private Access.

Microsoft Entra Verified ID

• L'API Request Service permet désormais à l'application émettrice de fixer la date d'expiration du titre pendant la demande d'émission lorsque l'attestation utilise le flux idTokenHint.
• L'option de sélection did:ion comme système de confiance est supprimée. Le seul système de confiance disponible est did:web.

Plus d’informations sur : What’s new Azure AD et What's new for Microsoft Entra Verified ID 

Microsoft a largement communiqué par ses canaux mais je propose quand même une piqure de rappel. Google a informé de deux problèmes touchant Android 14 et rendant des stratégies de gestion permanentes sur les périphériques de marque autre que Samsung.  Lorsqu'un appareil est mis à niveau d'Android 13 à Android 14, certains paramètres sont rendus permanents sur l'appareil. En outre, lorsque les appareils mis à niveau vers Android 14 sont redémarrés, d'autres paramètres sont rendus permanents sur l'appareil.

Le premier problème ne concerne plus que les périphériques enregistrés dans un mode Personally Owned with Work Profile. Un correctif a été déployé par Google pour corriger les problèmes sur les téléphones dans un mode Fully Managed, Dedicated et Corporate-owned work profile.

Par exemple, vous avez configuré les paramètres Block camera dans un mode Work Profile. Lorsque cet appareil est mis à jour vers Android 14, l'appareil photo est bloqué de manière permanente, même si vous désactivez ultérieurement le paramètre Block camera dans Intune.

Le second problème concerne encore tous les modes de gestion proposés par Google. Voici les paramètres qui peuvent devenir permanents :

Fully managed et Dedicated

• Allow users to enable app installation from unknown sources in the personal profile
• Beam data using NFC
• Bluetooth configuration
• User removal
• Wi-Fi access point configuration

Corporate-owned work profile

• Allow users to enable app installation from unknown sources in the personal profile
• Beam data using NFC
• Bluetooth configuration
• Camera
• Copy and paste between work and personal profiles
• Developer settings
• Roaming data services
• Tethering and access to hotspots
• USB file transfer
• User removal
• Users can configure credentials
• Wi-Fi access point configuration
  

Personally-owned work profile

• Camera (set to ‘Block’)
• VPN (set to ‘Enabled’)
• Copy and paste between work and personal profile
• Prevent app installations from unknown sources in the personal profile
• Add or remove accounts (set to ‘Block all account types’)
• One lock for device and work profile

La seule façon de rendre de nettoyer ces paramétrages est de :

• Personally-owned Work Profile : Retirer le profil professionnel
• Tous les modes : Effectuer une réinitialisation complète.

Google travaille actuellement à des correctifs les autres fabricants, qu’ils intégreront dans leurs images de mise à jour du système d'exploitation à l'avenir. Une fois publiés, ces correctifs OEM permettront d'éviter ces problèmes à l'avenir, mais si un appareil a déjà été mis à niveau vers Android 14 et a rencontré le problème, tous les paramètres qui ont été rendus permanents seront conservés sur l'appareil.

Ainsi il est recommandé pour l’instant de ne pas mettre à jour les périphériques non-Samsung vers Android 14 et de repousser la mise à jour via des stratégies de restrictions.

Plus d’informations : Known Issue: Some management settings become permanent on Android 14 - Microsoft Community Hub

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

• Public Preview du support du mode de gestion Apple User Enrollment pour iOS. Vous devez pour cela :
  • Avoir les prérequis généraux pour faire du User Enrollment
  • Déployer l’application Microsoft Authenticator
  • Configurer le Plugin SSO en ajoutant l’identifiant de l’application MDE ainsi que la clé device_registration.
  • Configurer une stratégie de configuration de l‘application MDE.
    Plus d'informations sur : Onboarding Intune Managed iOS User Enrollment Devices to Microsoft Defender for Endpoint - Microsoft Community Hub
• Dans la version de décembre du client Defender for Endpoint pour Windows Server 2012 R2 et 2016 (KB5005292 // 10.8672.25926.1019), on retrouve le support des capacités étendues permettant de contenir l’utilisateur.
• Dans la version de décembre du client Defender for Endpoint pour macOS (Build: 101.23102.0020 | Release version: 20.123102.20.0), on retrouve principalement des correctifs de bugs et de problèmes de performance.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft a créé deux kits téléchargeables pour vous aider à utiliser, intégrer et démontrer Windows 11.

Windows 11 Onboarding Kit permet de préparer, éduquer et accompagner les utilisateurs dans leur parcours vers Windows 11. Les supports facilitent l'adoption par les employés, promeuvent les bonnes pratiques. Le kit se compose de trois parties :

• Accédez aux documents et aux calendriers pour vous aider à créer des calendriers pour la mise à niveau de Windows 11. De plus, il existe des exemples d’emails et de matériel de promotion.
• Déployer. Bien que la plupart des détails de la mise à niveau de Windows 11 proviendront de la documentation, Microsoft propose également une démo, une étude de cas Microsoft et un guide pour passer d'Internet Explorer à Microsoft Edge (puisqu’IE n'est pas inclus dans Windows 11).
• Les employés auront probablement des questions après la mise à niveau de Windows 11. Cette partie du kit fournit donc des guides de référence rapides sur des éléments tels que OneDrive Entreprise, Microsoft Edge, Universal Print et les raccourcis clavier.

Windows 11 and Office 365 Deployment Lab Kit propose non seulement un ensemble de laboratoires et de logiciels d'évaluation pour vous aider à planifier, tester et valider un déploiement de Windows 11, mais il vous aide également à explorer et à tester des scénarios avancés de gestion. Les laboratoires couvrent Microsoft Configuration Manager, l'outil de personnalisation Office, OneDrive, Windows Autopilot etc. De plus, en tant qu'environnement isolé, le laboratoire est idéal pour explorer les mises à jour des outils de déploiement et tester votre automatisation liée au déploiement.

Microsoft vient d’annoncer la Public Preview de la version modernisée de l’interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center.

Parmi les changements que Microsoft souhaite intégrer, on retrouve :

• Mise à jour du backend construit en .NET Core en lieu et place du .NET Framework 4.6.2
• Mise à jour de l’installeur
• Mise à jour de la vue des paramétrages
• Cette version est basée sur plusieurs processus basés sur des micro-service
• Bascule des composants Katana vers ASP.NET Core Kestrel web server.

Plus d’informations : Windows Admin Center "Modernized Gateway" is now in Public Preview! - Microsoft Community Hub

Microsoft vient d’annoncer la disponibilité générale de l’interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center en version 2311.

Parmi les nouveautés, on retrouve notamment les capacités :

• Onboarding en masse de serveurs dans Azure Arc
• Mise à jour de la plateforme Angular en vers 15. Une rétrocompatibilité pour les extensions construites avec la version 11 est toujours disponible.
• Mise à jour de l’interface graphique à plusieurs endroits
• Mise à jour des outils notamment pour les machines virtuelles avec l’import de VM, l’aperçu de serveur, Azure Migrate, etc.
• L’outil de mise à jour fonctionne maintenant pour les clients Windows 10 et 11.
• Extension Dell APEX Cloud Platform for Azure disponible
• Mise à jour de l’extension Dell OpenManage
• Mise à jour de l’extension Lenovo XClarity Integrator
• Mise à jour des extensions de Fujitsu et HPE Server & HPE Azure Stack HCI.
• Corrections de bugs

Pour les entreprises qui utilisent la version précédente de Windows Admin Center, vous devez mettre à jour vers la version 2311 dans les 30 jours pour rester sous support. Le service est aussi disponible dans Azure.

Télécharger Windows Admin Center 2311

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, etc.).

On retrouve notamment :

Classification des données

• Ajout du support de la correspondance multi-token, qui vous permet de détecter des correspondances exactes de données dans des champs contenant plus d'une chaîne, par exemple, lorsque vous avez un champ Address contenant des valeurs telles que One Microsoft Way ou 1234 Main Street. Plus d'informations sur : Microsoft Purview Exact Data Match (EDM) support for multi-token corroborative evidence - Microsoft Community Hub

Etiquettes de confidentialité (Sensitivity Labels)

• Ajout d'une courte vidéo à la documentation sur la protection Copilot avec héritage de l'étiquette de sensibilité, qui montre comment la rédaction avec Word peut mettre à jour l'étiquette de sensibilité par défaut après avoir référencé un fichier avec une étiquette de priorité plus élevée.
• Outlook Mobile prend désormais en charge les éléments de calendrier pour les réunions protégées.
• Améliorations pour Office on the web pour les documents étiquetés et chiffrés : Lorsque les captures d'écran sont empêchées pour les documents étiquetés et chiffrés en n'accordant pas à l'utilisateur le droit d'utilisation de la copie, les exceptions précédentes pour les scénarios de réétiquetage ne s'appliquent plus pour Office sur le web. Désormais, le comportement correspond à celui des applications de bureau.

Data Map & Data Catalog (ancienne Azure Purview)

• Disponibilité Générale de l'intégration avec Azure Databricks et Unity Catalog permettant l'analyse métadata par Microsoft Purview Datamap des métadonnées Unity Catalog :
  • Analyser Azure Databricks dans les réseaux publics et privés, grâce au runtime d'intégration Microsoft Purview entièrement géré.
  • Analyser l'ensemble du métastore Unity Catalog ou choisir de n'analyser que certains catalogues.
  • Extraction d'un ensemble complet de métadonnées Unity Catalog, y compris les détails du métastore, des catalogues, des schémas, des tables/vues et des colonnes, etc.
  • Classer automatiquement les données en fonction des règles de classification du système intégrées ou des règles de classification personnalisées définies par l'utilisateur afin d'identifier les données sensibles.
  • Exécuter l'analyse à la demande ou selon un calendrier quotidien/hebdomadaire/mensuel récurrent.
• Public Preview de la séparation des niveaux de scan (analyses) pour Azure SQL Database et Snowflake. Il est maintenant possible de choisir le niveau d'analyse (ou d'auto détecter) en fonction du scénario choisi. Ceci permet de couvrir les scénarios suivants :
  • Scan L1 : Extraction des informations de base et des métadonnées telles que le nom du fichier, sa taille et son nom complet.
  • Scan L2 : Extraction du schéma des types de fichiers structurés et des tables de base de données
  • Scan L3 : Extraction du schéma, le cas échéant, et soumission du fichier échantillonné au système et aux règles de classification personnalisées.
• Public Preview de Microsoft Purview Data Map Audit History permet d'auditer lorsqu'un utilisateur met à jour une ressource dans Microsoft Purview, ceci est enregistré et l'information devient disponible dans le portail Microsoft Purview. Les informations relatives à l'ajout ou à la modification d'une ressource, aux modifications effectuées et à la date de la modification sont stockées pour référence ultérieure. Ces informations aident les auditeurs de données et les propriétaires d'entreprise à maintenir la conformité et la sécurité de leurs comptes Microsoft Purview. Elles permettent également aux gestionnaires de données et aux administrateurs de déboguer les problèmes et la curation de leurs ressources de données.

Prévention de fuite de données (DLP)

• Public Preview : Quatre nouvelles conditions sont proposées :
  • La taille du document est égale ou supérieure à
  • Le nom du document correspond à un modèle
  • Le document n'a pas pu être numérisé
  • La numérisation ne s'est pas terminée
• Ajout d'une discussion sur les actions d'arrêt et de non-arrêt dans Microsoft Exchange, y compris un tableau spécifiant le comportement d'arrêt/de non-arrêt pour chaque action prise en charge.

Gestion des enregistrements et de la rétention

• Public Preview du support des sites utilisant Microsoft 365 Archive.
• Améliorations de la rétention des boîtes aux lettres Exchange : Vous pouvez désormais inclure ou exclure des boîtes aux lettres spécifiques pour les portées statiques et sélectionner l'emplacement des boîtes aux lettres Exchange pour les portées adaptatives. Pour les portées adaptatives, l'emplacement de Microsoft 365 Groups prend désormais en charge les boîtes aux lettres en plus des sites connectés à des groupes.

Gestion des risques internes

• Public Preview de l’ajout d'informations sur le nouveau paramètre de partage des données que vous pouvez utiliser pour partager les niveaux de gravité des risques des utilisateurs à partir de la gestion des risques internes avec les alertes DLP et Microsoft Defender.
• Nouveaux attributs de triage : Utilisez les nouveaux attributs lors du filtrage des alertes sur le tableau de bord des alertes.
• Mise à jour de l'article sur la protection adaptative pour inclure des informations sur la manière dont le niveau de risque est attribué si un utilisateur est concerné par plusieurs politiques.

Audit et Advanced eDiscovery

• Clarification des activités Microsoft 365 Copilot qui sont enregistrées dans le journal d'audit de Microsoft 365.
• Correction de l'exemple de l'opérateur de recherche par mot-clé NEAR et clarification de la définition de la distance entre les termes.
• L'activité Content search preview item viewed a été supprimée du journal d'audit de Microsoft 365 pour l'eDiscovery.
• Clarification de l'autorisation pour les jetons SAS lors de l'export de documents à partir d'un ensemble de révision.
• Clarification sur l'utilisation de l'outil de test eDiscovery RBAC
• Clarification sur l'utilisation des espaces et de l'opérateur OR dans les recherches eDiscovery.
• Mise à jour de l'exemple pour la cmdlet New-ComplianceSecurityFilter lors du filtrage des résultats de recherche de contenu.
• Clarification sur le fait que les aperçus des clips vidéo Teams ne sont pas actuellement pris en charge dans eDiscovery.
• Ajout de nouvelles informations sur la gestion des UPN des dépositaires. Si l'UPN d'un dépositaire change après que le dépositaire a été ajouté à un cas, les informations du dépositaire (Titre, Responsable, Emplacement, etc.) ne sont pas conservées et sont affichées dans le panneau de résumé du dépositaire comme No data to show.
• Contenu supprimé : L'outil de recherche de données utilisateur a été supprimé et sa fonctionnalité a été fusionnée avec eDiscovery (Standard). Vous pouvez maintenant utiliser le contenu pour rechercher du contenu pour soutenir les DSR tous les emplacements pris en charge par les recherches eDiscovery (Standard).
• Contenu retiré : La rubrique Migrate legacy eDiscovery searches and holds to the Microsoft Purview compliance portal (Migrer les recherches et les mises en attente eDiscovery vers le portail de conformité Microsoft Purview) a été supprimée. La cmdlet Get-MalboxSearch n'est pas prise en charge dans eDiscovery, ne renvoie pas tous les détails des anciennes recherches.

Communication Compliance

• Mise à jour du contenu de Copilot pour Microsoft 365 afin d'inclure des informations sur le choix d'un emplacement et l'utilisation du nouveau modèle d'interactions Detect Copilot for Microsoft 365.
• Public Preview de la colonne New pending today indiquant le nombre de correspondances de politiques pour la journée en cours.
• Public Preview de l’ajout d'informations sur les nouveaux classificateurs de sécurité du contenu pour Teams. Ces quatre nouveaux classificateurs, qui sont basés sur de grands modèles de langage, comprennent la haine, le sexe, la violence et l'automutilation.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft a publié des simulations guidées qui permettent de se former sur des cas d’usages spécifiques liés à Microsoft Intune. On retrouve notamment :

• Deploying Windows 11 with Autopilot Guided Simulation (regale.cloud)
• Upgrade from Windows 10 to Windows 11 Guided Simulation (regale.cloud)
• Get Started with Remote Help (regale.cloud)
• Universal Print Guided Simulation (regale.cloud)
• Windows Autopatch (regale.cloud)

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender XDR (anciennement Microsoft 365 Defender). Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• Microsoft Defender XDR Unified role-based access control (RBAC) est en disponibilité générale. Unified (RBAC) permet aux administrateurs de gérer les permissions des utilisateurs à travers différentes solutions de sécurité à partir d'un emplacement unique et centralisé. Cette offre est également disponible pour les clients GCC Moderate.
• Microsoft Defender Experts for XDR vous permet désormais d'exclure les appareils et les utilisateurs des actions de remédiation entreprises par les experts de Microsoft et d'obtenir à la place des conseils de remédiation pour ces entités.
• La file d'attente des incidents du portail Microsoft Defender a mis à jour les filtres et la recherche, et a ajouté une nouvelle fonction qui vous permet de créer vos propres ensembles de filtres.
• Vous pouvez désormais attribuer des incidents à un groupe d'utilisateurs ou à un autre utilisateur.
• "Defender Boxed" est de retour ! Pendant le mois de janvier, vous pouvez recevoir votre résumé SOC personnalisé via Defender Boxed.
  Allez sur le portail Defender et ouvrez la page des incidents.

Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

Microsoft vient d’annoncer que les prochains PCs Windows 11 intégreront nativement une nouvelle touche sur le clavier pour lancer Copilot. Cette touche sera située entre Alt gr et Ctrl. Ces nouvelles touchent devraient apparaître sur toutes les nouvelles références dans l’année.

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Disponibilité Générale de Defender for Servers au niveau de la ressource. Il est désormais possible de gérer Defender for Servers sur des ressources spécifiques au sein de votre abonnement, ce qui vous donne un contrôle total sur votre stratégie de protection. Grâce à cette capacité, vous pouvez configurer des ressources spécifiques avec des configurations personnalisées qui diffèrent des paramètres configurés au niveau de l'abonnement.
• L'expérience des connecteurs multicloud classiques est supprimée et les données ne sont plus acheminées vers les connecteurs créés par le biais de ce mécanisme. Ces connecteurs classiques étaient utilisés pour connecter les recommandations d'AWS Security Hub et de GCP Security Command Center à Defender for Cloud et les AWS EC2 embarqués à Defender for Servers.
• Le classeur Coverage vous permet de savoir quels plans Defender for Cloud sont actifs sur quelles parties de vos environnements. Ce classeur peut vous aider à vous assurer que vos environnements et abonnements sont entièrement protégés. En ayant accès à des informations détaillées sur la couverture, vous pouvez également identifier les zones qui pourraient avoir besoin d'une autre protection et prendre des mesures pour y remédier.
• L'évaluation des vulnérabilités (VA) pour les images de conteneurs Linux dans Azure container registries alimentés par Microsoft Defender Vulnerability Management est publiée dans Azure Government et Azure exploité par 21Vianet. Cette nouvelle version est disponible sous les plans Defender for Containers et Defender for Container Registries.

• Public Preview du support des images Windows dans le cadre de l'évaluation des vulnérabilités (VA) alimentée par Microsoft Defender Vulnerability Management pour Azure container registries et les services Azure Kubernetes.
• L'évaluation de la vulnérabilité des conteneurs effectuée par Trivy est maintenant déprécié pour être non supporté d'ici le 13 février. Cette fonctionnalité est désormais obsolète et restera disponible pour les clients existants qui l'utilisent jusqu'au 13 février. Microsoft encourage les clients qui utilisent cette fonctionnalité à passer à la nouvelle évaluation des vulnérabilités des conteneurs AWS fournie par Microsoft Defender Vulnerability Management d'ici le 13 février.
• Preview des nouvelles fonctionnalités de posture de conteneur sans agent pour AWS.
• L'effet Deny est utilisé pour empêcher le déploiement de ressources qui ne sont pas conformes à la norme Microsoft Cloud Security Benchmark (MCSB). Une modification des effets de la stratégie nécessite la dépréciation des versions actuelles de la politique. Pour vous assurer que vous pouvez toujours utiliser l'effet Deny, vous devez supprimer les anciennes stratégies et attribuer les nouvelles stratégies à leur place.
• Disponibilité Générale du support de PostgreSQL Flexible Server pour le plan Defender for open-source relational databases.
• L'évaluation des vulnérabilités de conteneurs par Microsoft Defender Vulnerability Management prend désormais en charge Google Distroless
• Preview de l'alerte Defender for Storage : Malicious blob was downloaded from a storage account. L'alerte indique qu'un blob malveillant a été téléchargé à partir d'un compte de stockage. Les causes potentielles peuvent être un logiciel malveillant qui a été téléchargé sur le compte de stockage et qui n'a pas été supprimé ou mis en quarantaine, permettant ainsi à un acteur de la menace de le télécharger, ou un téléchargement involontaire du logiciel malveillant par des utilisateurs ou des applications légitimes.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Merill Fernando (Principal Product Manager – Microsoft Entra) donne toujours des bonnes astuces. Au gré de discussions avec certains clients, je me rends compte que certaines capacités de Microsoft Entra ID (Azure AD) sont encore méconnues de certains. Microsoft Entra ID est un annuaire (Cloud) à l’image d’Active Directory. On y retrouve des objets comme des utilisateurs, des périphériques, etc. Contrairement à l’imaginaire collectif, Microsoft Entra ID permet bien d’ajouter un certain nombre d’attributs ou propriétés personnalisées. On retrouve plusieurs mécanismes :

• Les Extension Attributes 1-15 comme on a pu les connaître sur Active Directory
• Les propriétés d’extensions personnalisées (AAD Extensions) représente une extension d’annuaire qui peut être utilisée pour ajouter une propriété personnalisée aux objets d’annuaire sans nécessiter de magasin de données externe.
• Les extensions de schéma vous permettent de définir un schéma pour étendre et ajouter des données personnalisées fortement typées à un type de ressource.
• Les extensions ouvertes (également appelées extensions de type ouvert et anciennement Office 365 extensions de données), une option d’extensibilité qui offre un moyen simple d’ajouter directement des propriétés non typées à une ressource dans Microsoft Graph.
• Les attributs de sécurité personnalisés sont des attributs spécifiques à l'entreprise (paires clé-valeur) que vous pouvez définir et attribuer aux objets Microsoft Entra. Ces attributs peuvent être utilisés pour stocker des informations, classer des objets ou appliquer un contrôle d’accès affiné sur des ressources Azure spécifiques.

Merill propose un article et un tableau récapitulatif de ces mécanismes, de leurs utilisations, et des cibles (Devs, IT Admins, etc.) : Azure AD and Microsoft Graph Extensions and Attributes - merill.net

Depuis toujours, les fonctions qui proposent de mettre à jour dynamiquement des éléments (collections, groupes, etc.) ont fait l’objet de problématiques de performance. Les groupes dynamiques de Microsoft Entra ID (AAD) ne font pas exception à la règle. Microsoft a mis en ligne des bonnes pratiques au travers d’un article issu des demandes de support et d’incidents reçues par Microsoft. Parmi les grands concepts :

• Minimiser l’usage de l’opérateur Match
• Eviter l’utilisation de nombreux opérateur OR dans la même requête
• Eviter les critères redondants

A ces bonnes pratiques listées, vous pouvez aussi ajouter le fait d’éviter au maximum l’opérateur contain.

Plus d’informations sur : Create simpler and faster rules for dynamic groups - Microsoft Entra ID | Microsoft Learn

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Disponibilité Générale de la découverte de plus de 400 applications d'IA générative.
• Les adresses IP utilisées pour l'accès au portail et les connexions aux agents SIEM ont été mises à jour. Veillez à ajouter les nouvelles adresses IP à la liste d'autorisation de votre pare-feu afin que le service reste pleinement fonctionnel.
• Microsoft a aligné la période d'attente pour les analyses initiales après avoir connecté une nouvelle application à Defender for Cloud Apps. Les connecteurs d'applications suivants ont tous une période d'attente d'analyse initiale de sept jours. Dropbox, Salesforce, ServiceNow, Okta
• Passage en disponibilité générale de la prise en charge du SaaS security posture management (SSPM) pour Google Workspace
• (Preview) Defender for Cloud Apps a amélioré sa prise en charge du SSPM en incluant les applications suivantes : Atlassian, Dropbox, NetDocuments, Workplace, Zendesk

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Gartner a publié le résultat de l’étude 2023 sur l’Access Management. Microsoft est toujours leader (depuis 7 ans) avec Microsoft Entra mais est au coude à coude avec Okta et Ping Identity.

Parmi les forces :

• Microsoft a obtenu les meilleures notes dans cette étude pour la viabilité globale, l'exécution du marketing, le modèle d'entreprise et l'exécution des ventes/la tarification. L’entreprise a augmenté sa base installée pour atteindre le nombre impressionnant de 700 000 clients payants.
• La tarification globale de Microsoft est inférieure à la moyenne du marché. En particulier, le prix des cas d'utilisation CIAM de Microsoft est bien en dessous de la moyenne des fournisseurs de ce Magic Quadrant.
• Microsoft a obtenu le score le plus élevé des fournisseurs évalués pour la compréhension du marché. Cela s'explique en partie par ses premiers pas dans le domaine de l'identité des machines et de la prise en charge des DCI, mais aussi par les améliorations qu'il apporte à des capacités AM plus établies.
• Microsoft a obtenu la meilleure note en matière de rapports sur les menaces et d'ITDR. Il propose des recommandations Microsoft Entra et une capacité de mesure SPM avec des scores de sécurité. Microsoft Entra est une pièce maîtresse de la stratégie globale de cybersécurité de l'éditeur, qui est étroitement intégrée à Microsoft 365 et à Azure dans son ensemble.

Parmi les faiblesses :

• Microsoft Entra External Identities (pour B2C et B2B) manque encore de maturité par rapport aux solutions des autres leaders. La plupart des flux CIAM complexes nécessitent une personnalisation poussée et l'aide de services professionnels.
• Les grands exercices de rebranding comme Microsoft Entra tendent à créer une confusion sur les caractéristiques et les fonctionnalités de chaque produit. Cette confusion est apparente dans les demandes des clients de Gartner, en particulier avec Azure AD External Identities, dont les fonctionnalités B2C seront remplacées par une nouvelle plateforme CIAM appelée Microsoft Entra External ID.
• Les fonctions AM spécifiques de Microsoft Entra ID - telles que Entra ID Protection - nécessitent une licence supplémentaire. Compte tenu de la prévalence des attaques contre l'infrastructure d'identité, de nombreuses organisations devront prendre en compte les coûts supplémentaires.
• Microsoft a obtenu le score le plus bas parmi tous les Leaders pour la personnalisation et l'extensibilité. Malgré un catalogue décent d'intégrations d'identités portables centralisées, Microsoft Entra ID nécessite une personnalisation importante pour fournir des flux d'utilisateurs communs et des méthodes alternatives de MFA pour l'onboarding. L'intégration avec des outils non Microsoft pour l'accès adaptatif externe ou l'autorisation fine (FGA) est complexe.

Vous pouvez accéder au rapport sur : Gartner Reprint

Source : Microsoft is a Leader in 2023 Gartner Magic Quadrant for Access Management | Microsoft Security Blog

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview d'une nouvelle zone et tableau de bord autour de l'identité dans Microsoft 365 Defender. On y retrouve notamment :
  • Un tableau de bord qui affiche des graphiques et des widgets pour vous aider à surveiller les activités de détection et de réponse aux menaces liées à l'identité.
  • Health issues : Désormais déplacé de la zone Settings > Identities, il répertorie tous les problèmes de santé actuels liés à Defender for Identity et à des capteurs spécifiques.
  • Tools correspond à  des liens vers des informations et des ressources utiles pour travailler avec Defender for Identity, y compris des liens vers la documentation, en particulier sur l'outil de planification de la capacité, et le script Test-MdiReadiness.ps1.
• Preview de l’évaluation de la posture de sécurité par le capteur AD CS sur vos modèles de certificats et vos autorités de certification.
  • Actions recommandées pour les modèles de certificats:
    • Empêcher les utilisateurs de demander un certificat valable pour des utilisateurs arbitraires sur la base du modèle de certificat (ESC1)
    • Modifier un modèle de certificat trop permissif avec une EKU privilégiée (EKU quelconque ou pas d’EKU) (ESC2)
    • Modèle de certificat d'agent d'inscription mal configuré (ESC3)
    • Modifier un modèle de certificat mal configuré ACL (ESC4)
    • Modifier le propriétaire des modèles de certificats mal configurés (ESC4)
  • Actions recommandées pour l'autorité de certification :
    • Modifier les paramètres de l'autorité de certification vulnérable (ESC6)
    • Modifier l'ACL de l'autorité de certification mal configurée (ESC7)
    • Renforcer le chiffrement de l'interface d'enrôlement des certificats RPC (ESC8)
• Les versions 2.221, 2.222, et 2.223, et 2.224 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

En avril dernier, Microsoft annonçait officiellement la fin de support du composant additionnel d’Azure Information Protection pour Office. Pour rappel, le client Microsoft 365 Apps comprend dorénavant par défaut les fonctions d’étiquetage de documents sans avoir à installer un composant additionnel. Cette annonce démarrait 12 mois de notification avant la date fatidique du 11 avril 2024. Les clients ont normalement reçu une notification dans le centre de message Microsoft 365. Pour rappel, le client AIP Unified Labeling comprend les éléments suivants :

• Le composant additionnel pour Office qui arrive donc en fin de support. Ces derniers mois, Microsoft a travaillé à développer l’ensemble des fonctionnalités directement dans le client Microsoft 365 Apps.
• Le composant additionnel pour Windows qui permet notamment d’avoir accès à la classification et au chiffrement via le clic droit et permet aussi de classifier des documents non Microsoft mais aussi la visionneuse Windows pour ces documents.
• Le composant PowerShell AIP qui permet notamment de faire des opérations d’administration localement comme l’étiquetage de documents en masse par PowerShell, etc.

Si vous souhaitez plus d’informations pour préparer ce changement, rendez-vous sur : https://aka.ms/AIP2MIP/HowTo/GetStarted

Que va-t-il se passer au-delà du 12 avril 2024 ?

• Les clients qui utilisent actuellement le complément AIP peuvent continuer à le faire sans impact.
• Les nouveaux clients qui utilisent AIP pour la première fois ne pourront pas télécharger la stratégie d'étiquette et ne pourront pas déployer de nouvelles instances du complément AIP.
• Les clients peuvent demander une extension pour utiliser le complément AIP après la date de retrait finale.

Cette fonctionnalité de blocage a été inclue dans la dernière version du client AIP UL (v2.16)

Source : Retirement notification for the Azure Information Protection Unified Labeling add-in for Office - Microsoft Community Hub

Microsoft a publié le correctif KB26129847 pour Microsoft Configuration Manager 2309 (MCM/SCCM). Il corrige un problème pour les clients cogérés qui se mettent à envoyer de manière incorrecte un enregistrement de données de découverte (DDR) après le redémarrage de l'ordinateur ou du service SMS Agent Host (CCMExe.exe). Dans les environnements de taille importante, cela entraîne une accumulation de DDR à traiter (backlog).

Un package téléchargeable à partir de cette adresse permet de rendre votre site éligible pour télécharger cette mise à jour.

Après avoir installé cette mise à jour sur un site primaire, les sites secondaires préexistants doivent être mis à jour manuellement. Pour mettre à jour un site secondaire dans la console Configuration Manager, sélectionnez Administration > Site Configuration > Sites > Recover Secondary Site, puis sélectionnez le site secondaire. Le site primaire réinstalle alors ce site secondaire en utilisant les fichiers mis à jour. Les configurations et les paramètres du site secondaire ne sont pas affectés par cette réinstallation. Les sites secondaires nouveaux, mis à niveau et réinstallés sous ce site primaire reçoivent automatiquement cette mise à jour. Vous pouvez exécuter la commande SQL Server suivante sur la base de données du site pour vérifier si la version de mise à jour d'un site secondaire correspond à celle de son site primaire parent :

select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')

Si la valeur 1 est renvoyée, le site est à jour, avec tous les correctifs appliqués sur son site primaire parent. Si la valeur 0 est renvoyée, le site n'a pas installé tous les correctifs appliqués au site primaire et vous devez utiliser l'option Récupérer le site secondaire pour mettre à jour le site secondaire.

Plus d’informations sur :  Client discovery data update for Microsoft Configuration Manager version 2309 - Configuration Manager | Microsoft Learn

L’équipe Compliance a publié un billet visant à créer une formation complète sur Microsoft Purview Data Lifecycle and Records Management allant jusqu’à un niveau d’expertise. On retrouve notamment :

• Débuter
• Conserver et supprimer vos données
• Autres utilisations des étiquettes de rétention
• Utilisez un plan de fichiers pour créer et gérer vos étiquettes de rétention
• Autres façons de créer et de gérer vos étiquettes de rétention
• Déclencher la rétention en fonction d'un événement
• Étiquette de conservation des enregistrements vs étiquette de conservation réglementaire
• Appliquer automatiquement une étiquette de rétention pour conserver ou supprimer du contenu
• Rétention ciblée auprès des utilisateurs, des groupes et des sites à l'aide de portées adaptatives
• Portée de l'administration de la gestion du cycle de vie des données
• Personnalisez ce qui se passe à la fin de la période de conservation
• Examinez et gérez la disposition de vos dossiers
• Exécuter un flux Power Automate à la fin de la période de rétention
• Surveillance de vos étiquettes et activités de rétention
• Quand utiliser des stratégies de rétention et des étiquettes de rétention au lieu d’anciennes fonctionnalités
• Intégration avec Microsoft Syntex

Accéder à Training | Microsoft Purview Data Lifecycle and Records Management

L’équipe Compliance a publié un billet visant à créer une formation complète sur Microsoft Priva allant jusqu’à un niveau d’expertise. On retrouve notamment :

Priva Risk Management

Débutant

1. Pour démarrer avec Priva, les informations ci-dessous incluent les prérequis, les rôles et autorisations d'administrateur, ainsi que les paramètres. 
   1. Get started with Priva - Document 
   2. Priva Adminstrator Experience - YouTube 
   3. Set user permissions and assign roles in Priva - Document 
   4. Configure Priva settings - Document 
2. Dans cette section, vous découvrirez comment évaluer les données et les risques de votre organisation dans les tableaux de bord Priva 
   1. Optimizing your initial setup - Document 
   2. Explore the Overview page - Document 
   3. Explore the data profile page - Document 

Intermédiaire

1. Découvrez comment créer et gérer des politiques au sein de Priva pour atténuer les risques
   1. Learn about key risk scenarios - Document 
2. Suivez ces liens pour savoir comment configurer les politiques Priva 
   1. Priva Risk Management policies - Document 
   2. Sending IW digest notification - Document 
   3. Managing your policies - YouTube 
   4. Live PII policy blocking in Teams - YouTube 
3. Assistant de stratégie pour configurer les stratégies à l'aide des modèles intégrés 
   1. Data overexposure policy setup - Document 
   2. Data transfer policy setup - Document 
   3. Data minimization policy setup - Document   

Avancé

1. Suivez ce lien pour savoir comment les administrateurs peuvent afficher et gérer les alertes de politique et créer des problèmes.  
   • Investigate and remediate alerts in Priva Risk Management- Document  
2. Maintenant que vous avez avancé votre apprentissage sur le module de gestion des risques Priva, utilisez le guide interactif ci-dessous pour une application pratique de vos nouvelles compétences et connaissances Priva. 

1. 1. Priva Risk Management Interactive Guide 

Priva Subject Rights Requests Module

Débutant

1. Priva Subject Rights Requests Module Overview - YouTube 
2. Découvrez comment contrôler l'accès dans les demandes de droits de sujet privés Set user permissions and assign roles in Microsoft Priva - Microsoft Priva | Microsoft Learn = Document 
   1. Subject Rights Request Administrator 
   2. Collaborator (Privacy Management Contributors) 
   3. Approver (Delete requests only) 
3. Découvrez les paramètres Priva liés aux demandes de droits du sujet Learn about Priva Subject Rights Requests - Microsoft Priva | Microsoft Learn - Document 
   1. Retention 
   2. Privacy Data Match Data matching for Subject Rights Requests - Microsoft Priva | Microsoft Learn -Document 
   3. Teams integration Learn about Priva Subject Rights Requests - Microsoft Priva | Microsoft Learn - Document 
4. Apprenez à comprendre chacune des étapes et à naviguer dans les détails du tableau de bord SRR 
   1. Understand the workflow and request details pages - Document  
5. Comment lancer une demande SRR dans Priva
   1. Create a request and define search settings - Document 

Intermédiaire

1. Etape du SRR 
   1. Date estimate and retrieval – Document 
   2. Review data and collaborate – Document 
   3. Generate reports and close a request – Document 
2. Tasks for reviewing data – Document  
   1. Import additional files - Document  
   2. Mark items as Include or Exclude – Document  
   3. Download files – Document  
   4. Apply data review tags – Document  
   5. Use Annotate command to redact text – Document 
   6. Enter notes about a file – Document  
3. Apprenez-en davantage sur le nouveau type de suppression SRR de Priva – fonctionnalité de droit à l’oubli  
   1. Create and manage a delete request – Document 
   2. Priva Right to Be Forgotten – YouTube 

Avancé

1. Integrate with Microsoft Graph API and Power Automate – Document  
2. 2. Maintenant que vous avez avancé votre apprentissage sur le module Demandes de droits de sujet Priva, utilisez le guide interactif ci-dessous pour une application pratique de vos nouvelles compétences et connaissances Priva. 
   1. Subject Rights Requests Interactive Guide 

Accéder à Become a Microsoft Priva Ninja - Microsoft Community Hub

Microsoft Defender for Endpoint est une solution de sécurité (EDR) puissante proposant des règles de sécurité et de détection sur étagère. Il se peut néanmoins que certains comportements génèrent des faux positifs et doivent être adaptés à la configuration spécifique d’un tenant. Je vous propose via cet article de faire un point sur les différentes options en place. On retrouve notamment :

• Les règles de suppression d’alertes permettent de cacher/résoudre automatiquement des alertes afin de gérer les détections.

• Les exclusions EDR permettent de contrôler la collection de données réalisée par MDE en offrant deux niveaux.
  1. « Low Fidelity » : MDE collecte les événements mais ne consomme pas de temps à calculer les identifiants de fichiers. Ceci engendre des événements à faible valeur qui ont une valeur d’exploitation moindre
  2. Non collecte / « Full Ignore » ignore complètement tout type d’événements (selon des règles) et ne collecte donc pas la donnée.
     Ceci est à utiliser en dernier recours puisque cela un impact sur la sécurité.

• Les indicateurs personnalisés (Custom Indicators) offrent une capacité de contrôler les mécanismes de blocage de l’Antivirus en proposant de bloquer ou autoriser (comprendre exclure) un fichier/URL/IP.

J’ai vu trop de mauvaises configurations qui ont un impact important sur la sécurité. La compréhension de ces mécanismes est essentielle afin de ne pas impacter le comportement du produit. Ainsi, il ne faut pas utiliser les exclusions EDR dans le but de ne plus détecter un faux positif. En lieu et place, vous devez utiliser les règles de suppression d’alertes et les indicateurs personnalisés.

En espérant que mes explications rendent les mécanismes plus claires, je vous recommande de suivre la procédure décrite dans cette article : Address false positives/negatives in Microsoft Defender for Endpoint | Microsoft Learn et plus globalement cet article qui revient sur la gestion des exclusions : Manage exclusions for Microsoft Defender for Endpoint and Microsoft Defender Antivirus | Microsoft Learn

J’ai rencontré un problème chez un client avec la configuration Autologon qui a été poussée sur des machines Windows 10/11 spécifiques via Microsoft Intune. Nous avons constaté que cette dernière n’était pas appliquée et que l’événement 5012 dans le journal Microsoft – Windows – Authentifcation User Interface :

Le paramètres autologon a été supprimée à cause de la stratégie EAS est définie
(vous apprécierez la traduction)
ou
The autologon setting has been removed because the EAS policy is set

C’est d’ailleurs officiellement décrit dans la documentation Microsoft via l’article : Configure Windows to automate logon - Windows Server | Microsoft Learn qui spécifie : « When Exchange Active Sync (EAS) password restrictions are active, the autologon feature does not work. This behavior is by design. This behavior is caused by a change in Windows 8.1 and does not affect Windows 8 or earlier versions. To work around this behavior in Windows 8.1 and later versions, remove the EAS policies in Control Panel.”
C’est aussi confirmé sur : Exchange ActiveSync Policy Engine Overview | Microsoft Learn

En creusant le sujet et bien qu’aucune stratégie EAS ait été déployée, on peut observer la clé de registre suivante dans HKLM\SYSTEM\CurrentControlSet\Control\EAS\Policies

Cette stratégie semblait être présente lorsque le poste était enregistré dans Microsoft Intune. Après avoir poussé les tests plus loin, nous avons isolé le poste de toutes les stratégies poussées par Intune et nous avons constaté que le problème n’apparaissait plus. Il s’avère que ce paramètre était créé lors du déploiement d’une stratégie de conformité. J’ai donc découvert que le CSP DeviceLock et notamment la stratégie de mot de passe, utilise le moteur de stratégie Exchange ActiveSync hérité. Ce CSP peut être utilisé par la stratégie de conformité, par des stratégies de configuration (de mot de passe, etc.) ou par la stratégie de conformité pour Windows.

Vous devez donc exclure ces postes où vous configurez l’Autologon de ces types de stratégies et éventuellement créer des stratégies dédiées qui ne font pas appel au CSP DeviceLock.