L’événement Microsoft Ignite 2022 s’apprête à démarrer le 12 et 13 octobre dans un format digital et de nombreuses annonces vont avoir lieu. Pour ceux qui veulent suivre l’événement en ligne, voici quelques sessions intéressantes :

Keynotes

• Protect everything, everyone, everywhere with comprehensive security

Les sessions

• Secure access and improve efficiency with Microsoft Entra innovations that span Azure AD, Permissions Management, and more
• Introducing Microsoft Entra Workload Identities
• Identity Journey from On-Premises to the Cloud
• Improving the security posture of your end users
• Zero Trust as Business Driver: 3 Discrete Scenarios
• Balance productivity and security across apps with identity governance
• How to achieve zero standing privileges in multicloud
• Migrating ADFS apps to Azure AD
• Role of IAM and Log forensics in thwarting insider threats

Ask the Experts

• Ask the Experts: Secure access and improve efficiency with Microsoft Entra innovations that span Azure AD, Permissions Management, and more

Les tables rondes

• Go Passwordless and embrace the future of Zero Trust for your External Identities
• Bring into Azure AD more sources of user identity with the new Provisioning API and upload capabilities
• Addressing challenges for multi-tenant organizations
• Azure AD Recoverability Futures
• Improving your DevOps/PowerShell experience with Azure AD
• Protect apps and services and secure their access to resources with Microsoft Entra Workload Identities
• Automate your complex user lifecycle processes with Azure AD Lifecycle Workflows and its extensibility capabilities to integrate custom logic and external systems
• Structuring and scaling your Azure AD app registrations throughout their lifecycle using templates
• Take control of monitoring your Azure AD environment using Scenario Health Monitoring & Guidance

S’inscrire gratuitement

L’événement Microsoft Ignite 2022 s’apprête à démarrer le 12 et 13 octobre dans un format digital et de nombreuses annonces vont avoir lieu. Pour ceux qui veulent suivre l’événement en ligne, voici quelques sessions intéressantes :

Keynotes

• TS03: Re-energize your workforce in the office, at home, and everywhere in between
• TS05: Protect everything, everyone, everywhere with comprehensive security

Les sessions

• BRK35: Secure your workforce with Windows + Intune
• BRK54: Strengthen security and cut costs with an endpoint management you can count on
• OD18: Microsoft makes endpoint management and protection easy – when it's consolidated across platfo...
• OD34: Empower frontline workers with Microsoft Endpoint Manager
• OD35: Unify Apple device management into Endpoint Manager
• OD36: Security best practices for managing across platforms with Endpoint Manager

Ask the Experts

• WACATE35: Ask the Experts: Windows 11, Windows 365, and Microsoft Intune
• WACATE54: Ask the experts: Strengthen security and cut costs with an endpoint management you can cou...
• WACEM11: Expert Meet-up: Windows update and device management
• WACEM21: Expert Meet-up: Unified Endpoint Management

Les tables rondes

• Linux Desktop Management
• Intelligent automation of endpoint management
• Working with data in Microsoft Endpoint Manager
• Store of Apple Automated Device Enrollment revampthe Future – Store Catalog
• Windows and BYO PC

S’inscrire gratuitement

Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

• Sysmon v14.1 :  Cette mise à jour de Sysmon, un outil avancé de surveillance de l’hôte, ajoute un nouveau type d’événement, FileBlockShredding qui empêche les outils d’effacement tels que Sysinternals SDelete de corrompre et de supprimer des fichiers.

• Coreinfo v3.6 : Cette mise à jour de Coreinfo, un utilitaire qui signale la topologie et les informations du processeur, de la mémoire et du cache du système, dispose désormais d’une option (-d) pour mesurer les latences entre les cpu dans les coches de compteur.

• AccessEnum v1.35 : Cette mise à jour d’AccessEnum, un outil qui résume les autorisations de compte sur les fichiers et les dossiers, corrige une incompatibilité de numéro de version dans ses informations de version.

• BgInfo v4.32 : Cette mise à jour de BgInfo, un outil permettant d’afficher les informations système sur le bureau à l’écran, signale correctement les versions de Windows 11 Insider.

• NotMyFault v4.21 : Cette mise à jour de NotMyFault, un outil utilisé pour planter, bloquer et provoquer des fuites de mémoire du noyau sous Windows, fonctionne désormais sur les systèmes ARM64.

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Azure Active Directory, Permissions Management, etc.) en septembre 2022.

Microsoft apporte les nouveautés suivantes :

• L’accès conditionnel basé sur les périphériques pour les PCs Linux est en disponibilité générale.  Cette fonctionnalité permet aux utilisateurs de clients Linux d'enregistrer leurs périphériques avec Azure AD, de s’enregistrer à la gestion Intune et de satisfaire aux stratégies d'accès conditionnel basées sur les périphériques lorsqu'ils accèdent aux ressources de leur entreprise.

• Disponibilité Générale d’Azure AD SCIM Validator. Les éditeurs de logiciels indépendants (ISV) et les développeurs peuvent tester eux-mêmes la compatibilité de leurs points de terminaison SCIM : Microsoft a donc facilité la validation par les éditeurs de logiciels indépendants de la compatibilité de leurs terminaux avec les services de provisionnement Azure AD basés sur SCIM.
• Microsoft a annoncé la disponibilité générale de la fonction de prévention des suppressions accidentelles dans le cadre du service de provisionnement Azure AD. Lorsque le nombre de suppressions à traiter dans un cycle de provisionnement unique dépasse un seuil défini par le client, le service de provisionnement Azure AD s'interrompt, vous offre une visibilité sur les suppressions potentielles et vous permet d'accepter ou de refuser les suppressions. Cette fonctionnalité a toujours été disponible pour Azure AD Connect et Azure AD Connect Cloud Sync. Elle est désormais disponible pour les différents flux de provisionnement, y compris le provisionnement axé sur les RH et le provisionnement des applications.
• 15 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : RocketReach SSO, Arena EU, Zola, FourKites SAML2.0 SSO for Tracking, Syniverse Customer Portal, Rimo, Q Ware CMMS, Mapiq (OIDC), NICE Cxone, dominKnow|ONE, Waynbo for Azure AD, innDex, Profiler Software, Trotto go links, AsignetSSOIntegration.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
• Disponibilité générale de la fonctionnalité Identity Protection Anonymous and Malicious IP for ADFS on-premises logins. La protection de l'identité étend ses détections d'IP anonyme et malveillante pour protéger les ouvertures de session ADFS. Ceci s'appliquera automatiquement à tous les clients qui ont déployé et activé AD Connect Health, et apparaîtra comme les détections existantes "IP anonyme" ou "IP malveillante" avec un type d'émetteur de jeton "AD Federation Services".

Microsoft a publié des mises à jour relatifs aux changements d'Azure AD : Microsoft Entra change announcements – September 2022 train - Microsoft Tech Community

Plus d’informations sur : What’s new Azure AD

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview vous permettant de définir la valeur d'un détail personnalisé apparaissant dans un incident comme condition d'une règle d'automatisation. Les détails personnalisés sont des points de données dans les enregistrements bruts du journal des événements qui peuvent être mis en évidence et affichés dans les alertes et les incidents générés par celles-ci. Grâce aux détails personnalisés, vous pouvez accéder au contenu pertinent réel de vos alertes sans avoir à chercher dans les résultats des requêtes.
• Preview de l’ajout de conditions OU/OR dans les règles d’automatisation. Ceci permet de créer des règles complexes permettant de répondre à de nouveaux enjeux du SOC.
• Preview de la création et la suppression d’incidents manuellement. Ceci peut être utile lorsque les données ne peuvent pas être généré à partir d’un système ou d’une source de données
• Preview de l’ajout d’entité à la Threat Intelligence comme indicateur de menaces. Microsoft Sentinel vous permet de signaler l'entité comme étant malveillante, directement dans le graphique d'investigation. Vous pourrez ensuite visualiser cet indicateur à la fois dans les journaux et dans la lame de renseignements sur les menaces de Sentinel.
• Vous pouvez désormais utiliser le nouveau connecteur Windows DNS Events via AMA pour diffuser et filtrer les événements provenant des journaux de vos serveurs Windows Domain Name System (DNS) vers la table à schéma normalisé ASimDnsActivityLog. L'agent Azure Monitor Agent (AMA) et son extension DNS sont installés sur votre serveur Windows pour télécharger les données de vos journaux analytiques DNS vers votre espace de travail Microsoft Sentinel avec pour avantages :
  • AMA est plus rapide que l'agent Log Analytics existant (MMA/OMS). AMA traite jusqu'à 5000 événements par seconde (EPS) contre 2000 EPS avec l'agent existant.
  • AMA permet une configuration centralisée à l'aide de règles de collecte de données (DCR), et prend également en charge plusieurs DCR.
  • AMA prend en charge la transformation du flux entrant en d'autres tableaux de données.
  • AMA prend en charge le filtrage de base et avancé des données. Les données sont filtrées sur le serveur DNS et avant que les données ne soient téléchargées, ce qui permet d'économiser du temps et des ressources.
• A partir du 30 septembre 2022, Microsoft a procédé à la suppression de champs de la table UEBA UserPeerAnalytics :
  • UserName
  • UserPrincipalName
  • PeerUserName
  • PeerUserPrincipalName

Le moteur UEBA n'effectuera plus de recherche automatique des identifiants d'utilisateurs et ne les transformera plus en noms. Les champs ID correspondants continuent à faire partie de la table, et toutes les requêtes intégrées et autres opérations exécuteront les recherches de noms appropriées d'une autre manière (en utilisant la table IdentityInfo), donc vous ne devriez pas être affecté par ce changement dans presque toutes les circonstances.

La seule exception à cette règle est si vous avez construit des requêtes ou des règles personnalisées faisant directement référence à l'un de ces champs de nom. Dans ce cas, vous pouvez incorporer les requêtes de consultation suivantes dans les vôtres, afin d'accéder aux valeurs qui se seraient trouvées dans ces champs de nom.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Général] Public Preview permettant de configurer les notifications d’enregistrement/inscription. Les notifications d'inscription informent les utilisateurs de périphériques, par e-mail ou par notification push, lorsqu'un nouveau périphérique a été enregistré dans Microsoft Intune. Vous pouvez utiliser les notifications d’enregistrement à des fins de sécurité pour informer les utilisateurs et les aider à signaler les appareils enregistrés par erreur, ou pour communiquer avec les employés pendant le processus d'embauche ou d'intégration. Les notifications d'inscription peuvent être essayées dès maintenant avec les périphériques Windows, Apple et Android. Cette fonctionnalité n'est prise en charge que par les méthodes d'inscription dirigées par l'utilisateur.

Gestion du périphérique

• [Général] Lors de l'affectation des stratégies dans le centre d'administration, vous pouvez maintenant voir le nombre d'utilisateurs et de périphériques dans un groupe. Ces deux informations vous aideront à identifier le bon groupe et à comprendre l'impact de l'affectation avant de l'appliquer.

• [iOS/iPadOS] Microsoft Intune requiert maintenant iOS/iPadOS 14+. Vous devez donc mettre à jour les périphériques utilisant un système antérieur avec une version plus récente.
• [macOS] Microsoft Intune requiert maintenant macOS 11.6+. Vous devez donc mettre à jour les machines utilisant un système antérieur avec une version plus récente.
• [Windows 10/11] Nouvelle version (4.0.1.13) de Remote Help pour résoudre un problème qui empêchait les utilisateurs d'avoir plusieurs sessions ouvertes en même temps. Ces correctifs ont également permis de résoudre un problème qui faisait que l'application se lançait sans qu'on lui accorde le focus, ce qui empêchait la navigation au clavier et les lecteurs.
• [Windows] La fin de support de Windows 8.1 est prévue pour le 21 octobre 2022.
• [Windows] Filtrer sur l'étendue de l'utilisateur ou du périphérique dans le catalogue de paramètres pour les appareils Windows. Lorsque vous créez une stratégie de catalogue de paramètres, vous pouvez utiliser Add settings > Add filter pour filtrer les paramètres en fonction de l'édition du système d'exploitation Windows (Devices > Configuration profiles > Create profile > Windows 10 and later pour plateforme > Settings Catalog (preview) pour le type de profil). Lorsque vous ajoutez un filtre, vous pouvez également filtrer sur les paramètres en fonction de l'étendue de l'utilisateur ou de l'étendue du périphérique.

• [Android] Sur les appareils Android Enterprise, vous pouvez créer un profil de configuration de restrictions d'appareils qui affiche un message d'assistance personnalisé (Devices > Configuration profiles > Create profile > Android Enterprise > Fully managed, dedicated, and corporate-owned work profile pour plateforme > Device restrictions comme type de profil > Custom support information). Il y a un nouveau paramètre que vous pouvez configurer : Lock screen message pour ajoutez un message qui s'affiche sur l'écran de verrouillage de l'appareil. Lorsque vous configurez le message de l'écran de verrouillage, vous pouvez également utiliser des jetons de périphérique pour afficher des informations spécifiques au périphérique : Nom de domaine, IMEI, etc.

Configuration du périphérique

• [Android] Disponibilité Générale de la plateforme Android Open Source Project (AOSP). Actuellement, Microsoft Intune ne prend en charge la nouvelle option de gestion Android (AOSP) que pour les appareils RealWear.

• [Windows] L'interface DFCI (Device Firmware Configuration Interface) prend désormais en charge les périphériques Acer. Pour les périphériques Windows 10/11, vous pouvez créer un profil DFCI pour gérer les paramètres UEFI (BIOS) (Devices > Configuration profiles > Create profile > Windows 10 and later comme plateforme > Templates > Device Firmware Configuration Interface pour type de profil). Les nouveaux appareils Acer fonctionnant sous Windows 10/11 seront activés pour DFCI au cours de l’année 2022. Les administrateurs peuvent donc créer des profils DFCI pour gérer le BIOS, puis déployer les profils sur ces appareils Acer.

• [iOS/iPadOS] De nouveaux paramètres disponibles dans le catalogue des paramètres iOS/iPadOS et macOS. Dans le centre d'administration de Microsoft Endpoint Manager, vous pouvez voir ces paramètres dans Devices > Configuration profiles > Create profile > iOS/iPadOS ou macOS pour plateforme > Settings catalog comme type de profil. Les paramètres concernent : LDAP, et Privacy Preferences Policy Control.

Gestion des applications

• [Général] Microsoft Intune supporte maintenant les applications protégées suivantes :
  • RingCentral for Intune par RingCentral, Inc.
  • MangoApps, Work from Anywhere par MangoSpring, Inc.
• [Général] Vous pouvez créer et assigner deux nouveaux types d’applications Intune fonctionnants de la même manière que le type d'application de lien Web existant, mais ils ne s'appliquent qu'à leur plateforme spécifique, alors que les applications de lien Web s'appliquent à toutes les plateformes. Avec ces nouveaux types d'applications, vous pouvez assigner à des groupes et aussi utiliser des filtres d'affectation pour limiter la portée de l'affectation. Vous trouverez cette fonctionnalité dans le centre d'administration de Microsoft Endpoint Manager, en sélectionnant Apps > All Apps > Add.:
  • iOS/iPadOS web clip
  • Windows web link

Sécurité du périphérique

• [Général] L'option All Devices est désormais disponible pour les affectations de stratégie de conformité. Grâce à cette option, il est possible d’affecter une stratégie de conformité à tous les périphériques enregistrés qui correspondent à la plate-forme de la stratégie, sans avoir à créer un groupe Azure Active Directory contenant tous les périphériques. Lorsque vous incluez le groupe All Devices, vous pouvez ensuite exclure des groupes de périphériques individuels pour affiner le champ d'application de l'attribution.
• [Général] Le statut de la période de grâce est visible sur le site Web du portail d'entreprise Intune. Le site Web du portail d'entreprise Intune affiche désormais un statut de période de grâce pour tenir compte des périphériques qui ne répondent pas aux exigences de conformité mais qui sont encore dans leur période de grâce donnée. Les utilisateurs sont informés de la date à laquelle ils doivent se mettre en conformité et des instructions pour le faire. S'ils ne mettent pas leur appareil à jour à la date indiquée, leur statut devient non conforme.
• [Général] Vous pouvez désormais utiliser Trend Micro Mobile Security as a Service comme partenaire intégré de Mobile Threat Defense (MTD) avec Intune. En configurant le connecteur Trend MTD dans Intune, vous pouvez contrôler l'accès des périphériques mobiles aux ressources de l'entreprise à l'aide d'un accès conditionnel basé sur l'évaluation des risques.

Supervision et Dépannage

• [Général] Vous pouvez maintenant utiliser l'icône ? dans le centre d'administration de Microsoft Endpoint Manager pour ouvrir une session d'aide et de support sans perdre le focus actuel dans le centre d'administration. L'icône ? est toujours disponible dans le coin supérieur droit de la barre de titre du centre d'administration. Cette modification ajoute une méthode supplémentaire pour accéder à l'aide et au support.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Security Center et Azure Defender). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Vous pouvez désormais supprimer les alertes basées sur ces entités Kubernetes afin d'utiliser les détails de l'environnement du conteneur pour aligner vos alertes sur la stratégie de l’entreprise et ne plus recevoir d'alertes indésirables :
  • Container Image
  • Container Registry
  • Kubernetes Namespace
  • Kubernetes Pod
  • Kubernetes Service
  • Kubernetes Secret
  • Kubernetes ServiceAccount
  • Kubernetes Deployment
  • Kubernetes ReplicaSet
  • Kubernetes StatefulSet
  • Kubernetes DaemonSet
  • Kubernetes Job
  • Kubernetes CronJob
• Defender for Servers prend en charge la surveillance de l'intégrité des fichiers avec Azure Monitor Agent. La surveillance de l'intégrité des fichiers (FIM) examine les fichiers et les registres du système d'exploitation à la recherche de modifications qui pourraient indiquer une attaque.
• Les recommandations de Defender for Cloud pour améliorer la gestion des utilisateurs et des comptes.
  • Extension du champ d'évaluation - La couverture a été améliorée pour les comptes d'identité sans MFA et les comptes externes sur les ressources Azure (au lieu des abonnements uniquement), ce qui permet aux administrateurs de sécurité de visualiser les affectations de rôles par compte.
  • Intervalle de rafraîchissement amélioré - Les recommandations d'identité ont désormais un intervalle de rafraîchissement de 12 heures.
  • Capacité d'exemption de compte - Defender for Cloud dispose de nombreuses fonctionnalités que vous pouvez utiliser pour personnaliser l’expérience et assurer que le score de sécurité reflète les priorités de sécurité de l’organisation. Par exemple, vous pouvez exempter des ressources et des recommandations du score de sécurité. Cette mise à jour vous permet d'exempter des comptes spécifiques de l'évaluation.Typiquement, vous exempteriez les comptes d'urgence "break glass" des recommandations MFA, car ces comptes sont souvent délibérément exclus des exigences MFA d'une organisation. Il se peut également que vous souhaitiez autoriser l'accès à certains comptes externes pour lesquels la fonction MFA n'est pas activée.
• Dépréciation des APIs suivantes : Security Tasks, Security Statuses, Security Summaries remplacées par Assessmentsand SubAssessments.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Microsoft a ajouté un nouveau point de terminaison dont le service Windows 365 a besoin pour être accessible : *.infra.windows365.microsoft.com". Ceci fait partie du travail de consolidation des points de terminaison en cours afin de réduire le nombre de FQDNs nécessaires pour être accessible au service.

Provisionnement de périphériques

• Support de Windows 365 Cloud PC pour Windows 11 Enterprise 22H2. De nouvelles images de la galerie sont maintenant disponibles et incluent la prise en charge de Windows 11 version 22H2. Les images de galerie suivantes peuvent être utilisées pour les Cloud PCs nouvellement approvisionnés :
  • Win11 22H2 + Apps M365
  • Win11 22H2 + Optimisations

Gestion des périphériques

• Preview de la capacité de réduction de la taille des PCs Cloud. Vous pouvez maintenant réduire la RAM et les spécifications d'un PC cloud (à l'exception de la taille du disque).

Supervision et Dépannage

• Preview des alertes système et notifications par email. Vous pouvez désormais configurer des alertes système et des emails automatisés pour être informé lorsque certains événements, avertissements ou erreurs se produisent dans le service Windows 365. Un sous-ensemble de problèmes critiques liés aux Cloud PCs sera envoyé automatiquement aux administrateurs. En outre, vous pouvez définir des règles d'alerte, telles que le public cible (appareils, groupes d'utilisateurs, locataires), les seuils, la fréquence et les canaux de notification.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Plus d'activités sont disponible pour déclencher des alertes honeytoken notamment via toute requête LDAP ou SAMR. De plus, si l'événement 5136 est audité, une alerte sera déclenchée lorsqu'un des attributs du honeytoken a été modifié ou si l'appartenance au groupe du honeytoken a été modifiée. Pour rappel, Microsoft Defender for Identity offre la possibilité de définir des comptes honeytoken, qui sont utilisés comme pièges pour les acteurs malveillants.
• L'évaluation des configurations de domaine non sécurisées disponible via Microsoft Secure Score évalue désormais la configuration de la stratégie de signature LDAP du contrôleur de domaine et émet une alerte si elle trouve une configuration non sécurisée.
• Les versions 2.189, 2.190, 2.191 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft a publié la nouvelle version de SQL Server 2022 Reporting Service. Parmi les nouveautés, on retrouve :

• Un rafraîchissement du graphisme du portail pour être plus moderne et inclusif.
• Prise en charge améliorée de Windows Narrator pour le nouveau système d'exploitation Windows et Windows Server.
• Améliorations de la sécurité.
• Amélioration des performances du navigateur avec Angular.
• Correction des bugs d'accessibilité.
• Prise en charge du catalogue du serveur de rapports des instances SQL Server 2022.
• Mises à jour de la fiabilité.

Outre ces nouveautés, Microsoft a retiré les fonctionnalités suivantes : Mobile Reports and Mobile Report Publisher et Pin to Power BI.

Plus d’informations sur : Get more out of SSRS with improved user experience - Microsoft SQL Server Blog

Télécharger SQL Server 2022 Reporting Services

Comme vous le savez, il existe une version spécifique au monde de l’éducation pour Microsoft Endpoint Manager / Intune. Microsoft a travaillé plusieurs scénarios spécifiques pour la rentrée 2202 / 2023.

• Microsoft a ajouté une vérification pour n’autoriser que les utilisateurs avec les rôles Intune administrator, Cloud device administrator, et Password administrator de créer des tokens de provisionnement en masse. Microsoft a créé un workflow permettant d’assigner ces rôles aux administrateurs qui doivent avoir la permission de créer un package de provisionnement en proposant aussi une option de spécifier une unité administrative.
• Microsoft a intégré l’expérience guidée pour Windows Autopilot en créant d’abord un groupe avec un tag puis l’expérience qui découlera de l’enregistrement.
• Une nouvelle façon d'effectuer facilement des actions en masse avec un scanner de codes-barres ou un fichier CSV de numéros de série sur des groupes de périphériques avec une expérience guidée dans Intune for Education est disponible. Vous pouvez utiliser l'une ou l'autre méthode pour :
  • Ajouter des appareils à un groupe
  • Synchroniser
  • Redémarrer
  • Renommer des appareils
  • Autopilot reset
  • Réinitialisation d'usine
• La configuration des paramètres du navigateur Google Chrome est directement dans Intune for Education ! Les paramètres de Chrome sont combinés avec ceux de Microsoft Edge afin que vous puissiez gérer tous les paramètres du navigateur en un seul endroit.

Source : Back to School 2022-23 - Intune for Education - Microsoft Tech Community

Je vous en parlais il y a quelques semaines, après plusieurs mois de travail, Microsoft prépare l’arrivée d’Unified Update Platform (UUP) sur les services On-Premises inclus Microsoft Endpoint Configuration Manager (MECM) et Windows Server Update Services (WSUS). Pour rappel, Unified Update Platform (UUP) est un mécanisme d’évolution du système de mise à jour sous-jacent permettant de prendre en compte de nombreux scénarios qui n’étaient pas pris en compte. Parmi les bénéfices, on retrouve : la réduction du poids de mise à jour, les mises à jour de build incluant le dernier niveau de mises à jour de sécurité, l’inclusion des fonctionnalités à la demande (FOD) ou les packs de langues, etc. UUP dans Windows 11 apporte aussi la réparation de corruption automatique, une réduction encore plus importante de la taille de téléchargement des mises à jour, etc.

Il semble qu’il y ait d’autres prérequis à l’utilisation avec l’ajout de certains types MIME sur le serveur web (IIS) du serveur WSUS afin de prendre en charge UUP.  Vous devez donc ajouter les types .wim et .msu.

Ceci peut être réalisé graphiquement ou via des cmdlets PowerShell :

# Remove msu and wim if added previously to IIS server

& $Env:WinDir\system32\inetsrv\appcmd.exe set config /section:staticContent /-"[fileExtension='.msu']"

& $Env:WinDir\system32\inetsrv\appcmd.exe set config /section:staticContent /-"[fileExtension='.wim']"

# Add msu and wim to IIS server

& $Env:WinDir\system32\inetsrv\appcmd.exe set config /section:staticContent /+"[fileExtension='.msu',mimeType='application/octet-stream']"

& $Env:WinDir\system32\inetsrv\appcmd.exe set config /section:staticContent /+"[fileExtension='.wim',mimeType='application/x-ms-wim']"

Plus d’informations sur : Adding file types for Unified Update Platform on premises - Microsoft Tech Community

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v105. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations. Notez que la version 98 continue d’être la version recommandée par Microsoft.

Cette version comprend 6 nouveaux paramétrages utilisateurs et 6 nouveaux paramétrages ordinateurs. Pour résumé, voici les nouveaux paramétrages :

• Disable download file type extension-based warnings for specified file types on domains
• JavaScript setTimeout will not be clamped until a higher nesting threshold is set (deprecated)
• Spell checking provided by Microsoft Editor
• Synonyms are provided when using Microsoft Editor spell checker
• Wait for Internet Explorer mode tabs to completely unload before ending the browser session
• Configure the default paste format of URLs copied from Microsoft Edge and determine if additional formats will be available to users

Voici les différences avec la version 104 : https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-for-microsoft-edge-v105/ba-p/3615904?attachment-id=55072&WT.mc_id=EM-MVP-4028970

Vous pouvez retirer la liste de toutes les stratégies sur : Microsoft Edge Browser Policy Documentation | Microsoft Docs

Plus d’informations sur l’article suivant : Security baseline for Microsoft Edge v105 - Microsoft Tech Community

Télécharger Security Compliance Toolkit

L’équipe du support Intune a publié un billet à propose d’un problème connu concernant Microsoft Endpoint Manager (Intune). Les périphériques iOS/iPadOS 15 enregistrés dans un mode User Enrollment sont concernés et ne peuvent se mettre à jour avec succès vers iOS 16.

Microsoft s’est préparé dans le cadre de la bêta d’iOS 16 mais un problème a été découvert récemment. Microsoft et Apple travaille à résoudre le problème.

Dans l’attente les périphériques impactés sont les suivants :

• Enregistrés avec User Enrollment, et sur iOS 15 ou iPadOS 15.
• Les périphériques enregistrés par l'utilisateur dans Intune entre le 16 septembre 2021 (version de service 2109 d'Intune) et les versions d'août (2208) d'Intune. Vous pouvez voir la date d'inscription de l'appareil dans le centre d'administration de Microsoft Endpoint Manager en allant sur Devices > iOS/iPadOS, sur la page OVerview voir la colonne enrollment date. Si vous regardez sur un périphérique iOS, vous pouvez voir la date d’enregistrement sous Paramètres -> Général > Gestion du VPN et des appareils -> Profil de gestion -> puis regardez la date d'expiration du certificat d'identité de l'appareil - si elle se situe entre septembre 2022 et septembre 2023, il est probable qu'il soit affecté, car la plupart des clients utilisent un certificat d'un an.

Si le périphérique est mis à jour d'iOS/iPadOS 15 à iOS/iPadOS 16, l'utilisateur verra apparaître une erreur " new MDM payload does not match the old payload". Au niveau du périphérique, les périphériques enregistrés ne sont pas en mesure de mettre à jour leur profil de gestion. Lorsque les profils de gestion ne sont pas mis à jour, le périphérique peut perdre sa conformité, ce qui, en fonction de vos stratégies, peut bloquer l'accès aux ressources de l'entreprise.

Un périphérique peut être désenrôlé puis réenrôlé, ce qui appliquera un nouveau profil de gestion et le nouveau système d'exploitation. Microsoft travaille sur une solution de contournement qui vous évitera d'avoir à passer par cette étape. Celui-ci est attendu pour le 16 septembre.

En parallèle, Apple travaille sur une mise à jour pour iOS/iPadOS 16, mais sans savoirs si elle sortira avec la 16 ou la 16.x (une prochaine version).

.

Plus d’informations sur : iOS/iPadOS 15 devices enrolled with User Enrollment are unable to successfully update to iOS 16 - Microsoft Tech Community

L’équipe du support Intune a publié un billet à propose d’un problème connu concernant Microsoft Endpoint Manager (Intune). Les périphériques Windows 10/11 sont concernés concernant les détails de non-conformité qui apparaissent dans le portail d’entreprise.

Lorsqu'un périphérique est identifié comme non conforme en raison d'une version de Windows ne correspondant pas aux plages spécifiées par l'administrateur dans la stratégie de conformité Intune, un message de remédiation s'affiche dans le portail de l'entreprise indiquant que le système d'exploitation (OS) doit être mis à jour, ainsi qu'une plage valide de versions. Toutefois, lorsque plusieurs plages de systèmes d'exploitation sont spécifiées dans la stratégie en configurant le paramètre de conformité Valid operating system builds, le message du portail de l'entreprise n'affiche que la première plage de constructions de systèmes d'exploitation et non toutes les plages acceptables.

La stratégie de conformité est appliquée correctement malgré les plages manquantes dans le message de remédiation. Pour rendre le périphérique conforme, mettez à jour le système d'exploitation du périphérique avec une version comprise dans la plage acceptable spécifiée dans la politique de conformité.

Plus d’informations sur : Known Issue: Remediation message doesn't list all valid builds in Company Portal for Windows 10/11 - Microsoft Tech Community

Je vous propose un petit aperçu des nouveautés en août 2022 autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, etc.).

On retrouve notamment :

Général

• Gestion des changements dans Microsoft 365 - nouveau sujet d'assurance qui couvre les changements de code et de non-code dans les services Microsoft.
• Sujet relatif à l'offre Japan CS Gold Mark - retiré, certification non renouvelée.

Classification des données

• Le plugin Microsoft PurView Information Protection (MIP) d’Adobe Acrobat ou Reader fait maintenant partie de l’installer et il n’est ainsi plus nécessaire de l’installer séparément. Vous devez utiliser pour cela la version 22.001.20142 ou ultérieure.

Notez que vous devez désinstaller le plugin précédent avant de mettre à jour le client Adobe vers cette nouvelle version incluant les fonctionnalités.

Pour rappel, Microsoft a annoncé le support des scénarios de protection sur les PDFs générés depuis les applications Office en juin dernier avec une disponibilité pour septembre.

• Public Preview de la classification documentaire avec un label par défaut sur les librairies de documents dans SharePoint Online. Une fois que la bibliothèque est configurée avec une étiquette par défaut, SharePoint garantit que tous les "nouveaux" fichiers enregistrés ou téléchargés dans cette bibliothèque qui n'ont pas d'étiquette ou même une étiquette de faible priorité (appliquée auparavant par automatisation ou par défaut) seront étiquetés avec l'étiquette de bibliothèque configurée. En d'autres termes, il faut considérer cette fonction comme un étiquetage automatique par emplacement, l'emplacement étant ici une bibliothèque. Notez que si le document téléchargé est étiqueté manuellement, il ne sera pas touché. De plus, s'il y a des documents existants dans la bibliothèque, ils ne seront pas touchés non plus, sauf si un utilisateur modifie le fichier. Le marquage de l'étiquette est effectué dans un fil asynchrone après le téléchargement du document, ce qui signifie qu'il y aura un délai de quelques minutes avant que l'étiquette ne soit appliquée automatiquement. Si vous créez le document via l'application Office sur les périphériques Windows, Mac ou mobiles et que vous effectuez directement un "enregistrement tel quel" dans SharePoint, l'application automatique de l'étiquette de bibliothèque attendra que vous fermiez l'application. Cette fonctionnalité demandera un niveau de licence supplémentaire au niveau E5. Plus d’informations sur Configure a default sensitivity label for a SharePoint document library - Microsoft Purview (compliance) | Microsoft Docs
• Microsoft ajoute près de 42 nouveaux types d’informations sensibles permettant d’identifier, classifier et protéger des identifiants trouvés dans des documents à travers OneDrive, SharePoint, Teams, Office Web Apps, Outlook, Exchange Online, Defender for Cloud Apps, et Windows. Ces SIT peuvent être inclus dans les stratégies d'étiquetage automatique de protection des informations et de prévention des pertes de données pour découvrir un large éventail de types de justificatifs d'authentification numérique (" secrets "), tels que les identifiants (nom d'utilisateur et mots de passe), les mots de passe par défaut et les ressources du cloud Azure (par exemple, les clés de compte de stockage, les chaînes de connexion SQL Server et SAS). Vous trouverez également de nouveaux SIT pour la clé d'accès secrète du client Amazon S3, la clé privée du certificat X.509, le jeton d'accès personnel GitHub, la clé machine ASP.NET, le jeton d'accès Slack, l'API Google, Ansible Vault, etc. Il est à noter que ces SITs supportent : Information Protection, Data Loss Prevention (DLP),Exact Data Match SITs avec Insider Risk Management, Data Lifecycle Management, Records Management, eDiscovery, Microsoft Priva

Etiquettes de confidentialité (Sensitivity Labels)

• Disponibilité Générale de la coédition de fichiers avec une étiquette de sensibilité sur les périphériques iOS et Android lors de l’utilisation de Word, Excel, PowerPoint et office Mobile. Ainsi, les modifications apportées aux documents sont sauvegardées automatiquement et partagées avec d'autres collaborateurs en temps réel, tandis que les protections appliquées par l'étiquette sont correctement honorées sur ces terminaux. Pour cela, vous devez activer l’option sur votre tenant et utiliser Office Mobile, Word, Excel ou PowerPoint en version 16.0.14931 ou ultérieure sur Android ou en version 2.58.207 ou ultérieure sur iOS.
• Disponibilité Générale avec Current Channel 2208+ pour Word, Excel, PowerPoint sur Windows : Prise en charge de PDF. La prise en charge d'Outlook pour bloquer l'impression au format PDF lorsque cela est nécessaire, est en cours de déploiement dans le canal bêta.
• Disponibilité Générale avec Current Channel 2208+ pour Windows, et 16.63+ pour macOS : Étiquette par défaut pour les documents existants.
• Preview des classificateurs entrainés comme conditions pour les stratégies de classification automatique (Auto-Labeling)

Prévention de fuite de données (DLP)

• Public Preview du support des classificateurs entraînables (Trainable Classifiers), les types d'informations sensibles (SIT) et les domaines de services sensibles dans les stratégies de prévention de fuite de données (DLP).
• Disponibilité Générale de la capacité de cloner une stratégie de prévention de fuite de données (DLP)

Gestion des enregistrements et de la rétention

• La configuration d'Exchange (héritée) passe du centre d'administration Exchange classique (EAC) au portail de conformité Microsoft Purview, sous Data lifecycle management. Les fonctionnalités existantes de gestion du cycle de vie des données se trouvent dans un nouveau sous-nœud, Microsoft 365.
• Nouvelle fonctionnalité pour les pièces jointes dans le Cloud (en Preview) permettant la conservation automatique et temporaire des fichiers supprimés dans la bibliothèque Preservation Hold pour éviter que le fichier original ne soit supprimé par les utilisateurs avant que la copie puisse être créée et étiquetée.

Advanced eDiscovery

• Disponibilité Générale des nouvelles APIs Graph pour Microsoft PurView eDiscovery afin d’automatiser des tâches répétitives et communes qui peuvent demander beaucoup d’actions manuelles.

Gestion de la conformité

• Mise à jour des actions d'amélioration et transfert des données de conformité dans Compliance Manager. Cette fonctionnalité permet de mettre à jour plusieurs actions d'amélioration à la fois, ce qui permet également aux entreprises de transférer les travaux de conformité réalisés dans d'autres systèmes dans Compliance Manager pour en assurer le suivi.
• Les utilisateurs peuvent maintenant inclure un lien/URL comme élément de preuve pour la mise en œuvre d'une action d'amélioration ou le travail de test.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft vient de mettre à disposition une nouvelle version (1.2.3496) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Retour à la version 1.2.3401 pour éviter un problème de connectivité avec les anciennes piles RDP.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft a publié le correctif KB14955905 de Microsoft Endpoint Configuration Manager 2207 (MECM/SCCM) pour les plateformes qui ont installé la version Early Adopter. Ce correctif est applicable si vous avez installé les packages suivants (GUIDs) :

• 91959D25-96B7-47FA-A36E-E958F2454CE3

Il corrige les problèmes suivants :

• Les administrateurs disposant de périphériques tenant-attach ne sont pas en mesure de gérer les mises à jour logicielles lorsque le contrôle d'accès basé sur les rôles (RBAC) d'Intune est utilisé.
• La console Configuration Manager se termine de manière inattendue lorsqu'elle sort de veille ou d'attente.
• Une règle de déploiement automatique (ADR) peut ne pas être visible après avoir été déplacée vers un dossier dans la console Configuration Manager.

Plus d’informations sur :  Update for Microsoft Endpoint Configuration Manager version 2207, early update ring - Configuration Manager | Microsoft Docs

Microsoft a publié un Management Pack (1.0.67.00) pour la supervision des certificats et CRLs en version CTP. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système. Il est à noter que cette version supporte System Center Operations Manager 2019 et 2022.

Ce Management Pack permet de :

• Surveiller de manière proactive l'expiration des certificats PKI.
• Surveiller la validité des certificats de la PKI par la vérification de la chaîne de certificats.
• Surveiller de manière proactive la mise à jour des listes de révocation de certificats (CRL).
• Recevoir les alertes et les erreurs liées à l'expiration et à la vérification des certificats, ainsi qu'à la mise à jour des CRL, sous forme d'alertes Operations Manager.
• Visualiser la santé des certificats et des CRL et les alertes correspondantes via les tableaux de bord et les vues d'alerte, y compris le tableau de bord HTML5.

 Télécharger  Microsoft System Center Operations Manager Management Pack for Certificates Monitoring (CTP) from Official Microsoft Download Center

Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

• Sysmon v14.0 : Cette mise à jour majeure de Sysmon, un outil avancé de surveillance des hôtes, ajoute un nouveau type d'événement, FileBlockExecutable, qui empêche les processus de créer des fichiers exécutables dans des emplacements spécifiés. Elle comprend également plusieurs améliorations des performances et des corrections de bug..
• AccessEnum v1.34 : un outil permettant d'énumérer les autorisations du système de fichiers et du registre, prend désormais en charge les chemins d'accès d'une longueur supérieure aux caractères MAX_PATH.
• Coreinfo v3.53 : Cette mise à jour de Coreinfo, un utilitaire qui présente la topologie et les informations relatives au processeur, à la mémoire et au cache du système, gère désormais les nœuds NUMA comportant plus de 64 processeurs.

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Disponibilité Générale de Microsoft Sentinel Solution for SAP. Celle-ci est gratuite jusqu’en février 2023 où un coût additionnel sera ajouté sur celui de l’ingestion de données.
• Des nouveautés sont apportées sur la Threat intelligence incluant :
  • Microsoft threat intelligence matching analytics : Cette règle analytique fait correspondre vos logs avec la Threat Intelligence de Microsoft et génère des alertes et des incidents de haute fidélité avec une gravité appropriée en fonction du contexte du log. Par exemple, si une correspondance est reçue avec des journaux de pare-feu et qu'il s'agit de trafic "autorisé", une gravité élevée est attribuée à l'incident et s'il s'agit de trafic "bloqué", une faible gravité est attribuée à l'incident. Une fois qu'une correspondance est générée, l'indicateur est publié dans le référentiel de threat intelligence dans Microsoft Sentinel.
  • Il est maintenant possible d’importer des indicateurs à partir d’un fichier plat en CSV ou JSON.
• Preview de la page d’entité pour les ressources Azure, conçue pour aider le SOC à enquêter sur les incidents impliquant des ressources Azure dans l’environnement, à rechercher des attaques potentielles et à évaluer les risques. Elle fournit quelques détails de base sur la ressource : où elle se trouve, quand elle a été créée, à quel groupe de ressources elle appartient, les balises Azure qu'elle contient, etc. Ensuite, elle fournit des informations sur la gestion des accès : combien de propriétaires, de contributeurs et d'autres rôles sont autorisés à accéder à la ressource, et quels réseaux peuvent y accéder ; quel est le modèle d'autorisation de Key Vault, l'accès public aux blobs est-il autorisé dans le compte de stockage, etc. Enfin, la page comprend également certaines intégrations, telles que Microsoft Defender for Cloud, Defender for Endpoint et Purview, qui enrichissent les informations sur la ressource.
• Preview de nouvelles sources de données pour User and entity behavior analytics (UEBA) avec maintenant les événements de sécurité suivants :
  • 4625: An account failed to log on.
  • 4648: A logon was attempted using explicit credentials.
  • 4672: Special privileges assigned to new logon.
  • 4688: A new process has been created.
• Nouvelle solution SOC Process Framework dans le Content Hub permettant de construire un Framework de procédures et processus standards pour le SOC

Note : Microsoft a partagé une solution permettant d’ingérer des données de démonstration dans Sentinel.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Azure Active Directory, Permissions Management, etc.) en août 2022.

Microsoft apporte les nouveautés suivantes :

• Disponibilité Générale de Microsoft Entra Verified ID. Ce nouveau service se base sur le principe de la blockchain pour fournir un nouveau moyen de partager et vérifier l’identité des utilisateurs en respectant la vie privée. Cette technologie représente l’avenir de l’authentification.
• Disponibilité Générale du Time-based one-time passcode (TOTP) comme option d’authentification à facteurs multiples dans Azure Active Directory B2C.
• Disponibilité Générale de la capacité de forcer la réauthentification sur certains scénarios comme l’enregistrement dans Intune, les connexions à risque ou les utilisateurs à risque. Cette fonctionnalité s’ajoute à l’accès conditionnelle et permet de demander une nouvelle authentification sur certaines actions.

• 40 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Albourne Castle, Adra by Trintech, workhub, 4DX, Ecospend IAM V1, TigerGraph, Sketch, Lattice, snapADDY Single Sign On, RELAYTO Content Experience Platform, oVice, Arena, QReserve, Curator, NetMotion Mobility, HackNotice, ERA_EHS_CORE, AnyClip Teams Connector, Wiz SSO, Tango Reserve by AgilQuest (EU Instance), valid8Me, Ahrtemis, KPMG Leasing Tool Mist Cloud Admin SSO, Work-Happy, Ediwin SaaS EDI, LUSID, Next Gen Math, Total ID, Cheetah For Benelux, Live Center Australia, Shop Floor Insight, Warehouse Insight, myAOS, Hero, FigBytes, VerosoftDesign, ViewpointOne - UK, EyeRate Reviews, Lytx DriveCam.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Ideagen Cloud
  • Lucid (All Products)
  • Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service
  • SuccessFactors Writeback
  • Tableau Cloud
• Disponibilité Générale de la capacité de voir et restaurer les service principales qui ont été supprimés dans les 30 derniers jours. Il est même possible de les supprimer définitivement. Ceci peut se faire via l’API Graph.
• Public Preview permettant aux administrateurs de restreindre l’accès en libre-service aux clés BitLocker des périphériques associés à un utilisateur. L’option permet via des cmdlets PowerShell de bloquer l’accès à cette fonctionnalité aux utilisateurs
• Disponibilité Générale d’Entra Workload Identity Federation permettant aux développeurs d'échanger des tokens émis par un autre fournisseur d'identité avec des tokens Azure AD, sans avoir besoin de secrets. Ceci élimine la nécessité de stocker, et de gérer, les informations de connexion à l'intérieur du code ou des magasins de secrets pour accéder aux ressources protégées d'Azure AD, telles qu'Azure et Microsoft Graph. En supprimant les secrets nécessaires pour accéder aux ressources protégées d'Azure AD, la fédération d'identité de charge de travail peut améliorer la posture de sécurité de l’entreprise. Cette fonctionnalité réduit également la charge de la gestion des secrets et minimise le risque d'interruption de service en raison d'informations d'identification expirées.
• Public Preview de l’intégration des alertes de détections de risques d'Identity Protection dans Microsoft 365 Defender pour offrir une expérience d'investigation unifiée.

• Public Preview des paramétrages permettant de configurer la fonctionnalité permettant à un utilisateur externe de quitter une organisation. Grâce à cette fonctionnalité, les administrateurs peuvent désormais autoriser ou restreindre les identités externes à quitter une entreprise par des contrôles en libre-service fournis par Microsoft via Azure Active Directory dans le portail Microsoft Entra. Afin d'empêcher les utilisateurs de quitter une organisation, les entreprises doivent inclure "Global privacy contact" et "Privacy statement URL" dans les propriétés du tenant.

On retrouve les modifications de service suivantes :

• Disponibilité Générale de la fonctionnalité de revue des accès en plusieurs étapes (Access Reviews) afin de prendre en compte des prérequis de re certification et d’audit complexes.
• Dans Azure AD entitlement management, une nouvelle forme de stratégie d'affectation des packages d'accès est ajoutée. La stratégie d'attribution automatique comprend une règle de filtrage, similaire à un groupe dynamique, qui spécifie les utilisateurs du tenant qui devraient avoir des attributions. Lorsque les utilisateurs correspondent aux critères de la règle de filtrage, une affectation est automatiquement créée et lorsqu'ils ne correspondent plus, l'affectation est supprimée.
• Une nouvelle version du Health Agent a été publiée. Aucune action n’est nécessaire car elle se met à jour automatiquement tant que vous utilisez Azure AD Connect v2.
• Microsoft a mis à jour Azure AD Connect en version 2.1.16.0.

Plus d’informations sur : What’s new Azure AD

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Security Center et Azure Defender). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Les vulnérabilités des images en cours d'exécution sont désormais visibles avec Defender for Containers sur vos conteneurs Windows. Lorsque des vulnérabilités sont détectées, Defender for Cloud génère la recommandation de sécurité suivante, qui répertorie les problèmes détectés : Les images de conteneurs en cours d'exécution devraient avoir les vulnérabilités détectées résolues.
• Preview du déploiement automatique de l’agent Azure Monitor. L'agent Azure Monitor Agent (AMA) collecte les données de surveillance du système d'exploitation invité des machines virtuelles Azure et hybrides et les transmet à Azure Monitor pour qu'elles soient utilisées par des fonctionnalités, des aperçus et d'autres services, tels que Microsoft Sentinel et Microsoft Defender for Cloud. L'agent Azure Monitor est désormais intégré à Microsoft Defender for Cloud. Vous pouvez fournir automatiquement l'agent Azure Monitor à tous vos serveurs Cloud et On-Prem avec Defender for Cloud. En outre, les protections de Defender for Cloud peuvent utiliser les données collectées par l'Azure Monitor Agent.
• L'évaluation de la vulnérabilité (VA) de Defender for Container comprend désormais des informations détaillées sur les packages pour chaque découverte, notamment : le nom du package, le type de package, le chemin d'accès, la version installée et la version corrigée. Les informations sur les packages vous permettent de trouver les packages vulnérables afin que vous puissiez remédier à la vulnérabilité ou supprimer le paquet.

• Plusieurs alertes VM sont dépréciées concernant une activité suspecte liée à un cluster Kubernetes

Microsoft a partagé un workbook permettant de suivre de manière centralisée l’onboarding dans Microsoft Defender for Cloud.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve :

• Disponibilité Générale de Microsoft Defender Experts for Hunting. Si vous êtes un client Microsoft 365 Defender avec un SOC efficace mais que vous souhaitez que Microsoft vous aide à rechercher de manière proactive les menaces sur les terminaux, Office 365, les applications cloud et l'identité en utilisant les données Microsoft Defender, alors apprenez-en plus sur la demande, la configuration et l'utilisation du service. Defender Experts for Hunting est un service vendu séparément des autres produits Microsoft 365 Defender.
• Preview du mode guidé de l’Advanced Hunting. Les analystes peuvent désormais commencer à interroger leur base de données pour les données relatives aux terminaux, aux identités, à la messagerie et à la collaboration, ainsi qu'aux applications cloud, sans connaître le langage de requête Kusto (KQL). Le mode guidé présente un style de construction de requêtes convivial, facile à utiliser, à travers des menus déroulants contenant les filtres et les conditions disponibles.
• Public Preview des APIs Microsoft 365 Defender dans Microsoft Graph. On retrouve notamment :
  • Alerts (alerts_v2) : L'API des alertes unifiées de Microsoft 365 Defender sert les alertes de Microsoft 365 Defender, Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps et Microsoft Purview Data Loss Prevention (et tout nouveau signal futur intégré à M365D). L'intégration avec cette API prendra en charge toute la portée de Microsoft 365 Defender. Dans le cadre du schéma d'alertes, en plus de la gravité de l'alerte, Microsoft a ajouté le contenant - cela permet à l'équipe SOC d'être consciente de la gravité globale de l'incident lors du triage d'une alerte, afin qu'elle puisse établir des priorités efficacement. Le nouveau schéma d'alerte élargit et enrichit les entités de preuve prises en charge à parité et au-delà avec les API d'alerte du service natif.
  • Incidents : Contient les métadonnées des incidents et une collection des nouvelles alertes unifiées de Microsoft 365 Defender. Cette API est à parité avec l'API Incidents existante et, combinée à la nouvelle API d'alertes, elle fournit des informations beaucoup plus riches et exploitables pour les automatisations.
  • Hunting : est identique à l'API existante, mais elle est désormais disponible dans MS Graph.

Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Les versions 232, 233, et 234 apportent les changements suivants :

• Protection des applications qui utilisent des ports non standard avec des contrôles de session : Cette fonctionnalité en Preview permet à Microsoft Defender for Cloud Apps d'appliquer des politiques de session pour les applications qui utilisent des numéros de port autres que 443. Splunk et les autres applications qui utilisent des ports autres que 443 sont désormais éligibles au contrôle de session.
• Techniques MITRE : Les détections d'anomalies de la protection contre les menaces de Defender for Cloud Apps incluront désormais les techniques et sous-techniques MITRE le cas échéant, en plus de la tactique MITRE qui existe déjà. Ces données seront également disponibles dans le volet latéral de l'alerte dans Microsoft 365 Defender. Pour plus d'informations, voir Defender for Cloud Apps anomaly detection alerts investigation guide | Microsoft Docs.
• Parité des fonctionnalités entre les offres commerciales et gouvernementales. Microsoft a consolidé le flux qui permet aux données de Microsoft Defender for Cloud Apps d'être consommées via Microsoft 365 Defender. Pour consommer ces données dans Microsoft Defender for Cloud, il faut utiliser Microsoft 365 Defender.

Le 18 septembre 2022, Microsoft va mettre à jour les adresses IP relatives aux connecteurs d’applications et aux intégrations DLP tierces. Pour ce faire, reportez- vous à  Network requirements | Microsoft Docs

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs