Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Cloud App Security. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve :

• Acquisition de RiskIQ par Microsoft.

• Public Preview des paramétrages pour Microsoft Defender for Identity dans le portail Microsoft 365 Defender. Les paramètres se retrouvent dans la partie Identities. On y retrouve les paramètres des capteurs, des comptes de service, du VPN, des balises d’entités (honeytoken, Exchange Server, etc.).
• Les alertes de Microsoft Defender for Office 365 sont maintenant intégrées dans Microsoft 365 Defender

• Microsoft a ajouté un catalogue de services professionnel au portail.

Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

C’est l’été et c’est une bonne occasion de se former ou de se mettre à jour sur de nouvelles technologies ! Microsoft vient de publier une mise à jour de ses guides de formation (Ninja) pour ses solutions de sécurité incluant :

• Microsoft 365 Defender
• Microsoft Defender for Office / MDO
• Microsoft Defender for Endpoint / MDE
• Microsoft Cloud App Security / MCAS
• Microsoft Defender for Identity / MDI
• Azure Defender

Bonne Lecture !

Microsoft propose une nouvelle version (1.2021.709.0) de son outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Concernant les changements relatifs à cette version, on retrouve

• Correction de la version minimale requise pour les packages avec les services
• Corrections de bugs

Plus d’informations sur : MSIX Packaging Tool July 2021 Release is now available! - Microsoft Tech Community

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Microsoft a publié un Management Pack (10.1.100.0) pour Microsoft 365 en version finale. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système. Il est à noter que cette version supporte System Center Operations Manager 2019.

Ce Management Pack permet de :

• Surveiller de manière proactive le niveau de service fourni par les services Microsoft 365, notamment la messagerie, Teams et SharePoint (qui comprend OneDrive), en effectuant des transactions synthétiques sécurisées à l'aide de Graph API.
• Superviser l'utilisation des licences Microsoft 365 et émettre une alerte lorsque l'utilisation répond à certains critères.
• Monitorer les transactions de messagerie vers et depuis le serveur Exchange On-Prem.
• Surveiller la santé des connexions entre divers sites et le service Microsoft 365.
• Refléter les messages d'incidents, de centre de messages et de maintenance planifiée de Microsoft 365 pour l'abonnement dans les alertes de SCOM.
• Visualiser l'état de santé des abonnements et les alertes correspondantes via les tableaux de bord et les vues d'alerte, y compris les tableaux de bord HTML5 (nécessite Operations Manager 2019).

Microsoft prévoit d’ores et déjà des mises à jour pour adresser les éléments suivants :

• Mécanisme d'alerte amélioré à partir de Microsoft 365 Service Communications.
• Authentification moderne supplémentaire avec certificat.
• Surveillance de plusieurs SKUs avec un seul nœud de surveillance.
• Amélioration de la surveillance de la connectivité du réseau M365 et des tableaux de bord.

Plus d’informations sur : Announcement: New SCOM Management Pack for Microsoft 365 - Microsoft Tech Community

Télécharger Microsoft System Center Operations Manager Management Pack for Microsoft 365

Microsoft a communiqué un problème touchant les périphériques iOS/iPadOS provisionnés au travers du mode Automated Device Enrollment (ADE) d’Apple avec Microsoft Endpoint Manager. Dans ce cas de figure, l’écran de configuration du code de verrouillage sur la phase initiale n’était pas affiché sur les versions 14.5 et 14.6.

A date, le problème a été résolu avec l’arrivée d’iOS/iPadOS 14.7. Vous devez donc vous assurer que les périphériques utilisent bien cette version.

Plus d’informations sur : Resolved - Support Tip:Users unable to view passcode setup screen when enrolling devices through ADE - Microsoft Tech Community

Microsoft a publié le correctif KB10372804 de Microsoft Endpoint Configuration Manager 2103 (MECM/SCCM). Ce correctif n’est applicable que si vous avez déjà installé l’Update Rollup KB10036164.

Il corrige un problème lors de l'utilisation du script PowerShell Invoke-MbamClientDeployment.ps1 ou d'autres méthodes qui utilisent l'API de l'agent MBAM pour enregistrer les clés de récupération vers un Management Point. Ceci génère une grande quantité de stratégies ciblant tous les périphériques, ce qui peut provoquer des stratégies de politiques. Cela entraîne une grave dégradation des performances dans Configuration Manager, principalement avec SQL et les Management Points.

Pour savoir si vous êtes affecté par ce problème, vous pouvez exécuter la requête SQL suivante :

SELECT PA.PolicyID, RPM.* FROM PolicyAssignment PA JOIN ResPolicyMap RPM ON PA.PADBID = RPM.PADBID

WHERE PA.PolicyID like 'TPM%' AND RPM.MachineID = 0 AND RPM.IsTombstoned = 0

Cette mise à jour empêche la création de politiques excessives, mais elle ne supprime pas celles qui ont été créées précédemment. Si la requête ci-dessus renvoie un grand nombre de lignes, contactez le support Microsoft pour obtenir de l'aide sur la suppression de ces politiques.

Plus d’informations sur :  Using the MBAM Agent to escrow BitLocker recovery keys generates excessive policies in Configuration Manager version 2103 - Configuration Manager | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

• Microsoft propose de nouveaux mécanismes pour protéger les périphériques amovibles et les imprimantes :
  • Le contrôle d’accès au stockage amovible est en disponibilité générale sur Windows à partir de Microsoft Defender 4.18.2106+. Elle permet de définir les actions d’accès Lecture, Ecriture, exécution sur des périphériques amovibles en fonction de propriétés comme l’identifiant du vendeur, le numéro de série, le nom commun, etc.
  • La protection du stockage amovible est en disponibilité générale sur mac à partir de Microsoft Defender 101.34.20+. De la même façon vous pouvez contrôler l’accès en auditant ou en bloquant. Les périphériques USB proposent les permissions de lecture, d’écriture, d’exécution ou de non accès.
  • La protection d’imprimante est en Public Preview sur Windows. Ceci permet de bloquer les utilisateurs d’imprimer via des imprimantes réseaux ou USB ne faisant pas partie de l’entreprise.
• De nouveaux mécanismes
• Public Preview d’une fonction permettant de télécharger très simplement les fichiers qui ont été mis en quarantaine. Pour en bénéficiez, vous devez remplir les conditions suivantes : Utiliser Microsoft Defender Antivirus avec un moteur 1.1.17300.4 dans un mode actif avec la protection cloud, la soumission de fichiers sur des périphériques Windows 10 1703+ ou Windows Server 2016/2019.
• Les labs d’évaluation dans Microsoft Defender for Endpoint peuvent maintenant être renouvelés une fois par mois.
• Microsoft propose deux nouvelles simulations dans les labs d’évaluation dont notamment Carbanak & FIN7, et SolarWinds (via SafeBreach).
• Public Preview de l’API pour Live Response permettant d’automatiser de manière programmer aux fonctions Live Response (envoi ou téléchargement de fichiers, exécution de scripts, etc.) L’API supporte pour l’instant Windows 10 et Windows Server 2019. Les autres systèmes sont attendus très prochainement.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Azure Defender (anciennement Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview de la synchronisation bidirectionnelle des alertes via le connecteur Azure Defender de Azure Sentinel.
• Disponibilité Générale de la fonctionnalité d’export continu des données de conformité réglementaire et du Secure Score. Ces dernières peuvent être utilisées avec d’autres outils de supervision de votre environnement.
• Disponibilité Générale de l’option de déclenchement de l’automatisation des Workflows (Workflow Automation) par des changements dans les évaluations de la conformité.
• Ajout du modèle de Workbook 'Compliance over time' à la galerie de Workbooks Azure Monitor.
• Réorganisation logique des alertes Azure Defender pour Resource Manager. Certaines alertes ont été déplacées d’Azure Defender for Resource Manager vers Azure Defender for servers. Les alertes sont organisées selon deux grands principes :
  • Les alertes qui assurent la protection du plan de contrôle - sur de nombreux types de ressources Azure qui font partie d'Azure Defender for Resource Manager.
  • Les alertes qui protègent des charges de travail spécifiques se trouvent dans le plan Azure Defender qui se rapporte à la charge de travail correspondante.
• Changement du nom de la recommandation pour activer Azure Disk Encryption (ADE). Elle est renommée de Disk encryption should be applied on virtual machines à Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources.
• Ajout de deux champs dans l’API Assessment : FirstEvaluationDate et StatusChangeDate.

Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Amélioration de l'analyse des e-mails dans les enquêtes automatisées. Au cours de l'analyse de clustering d'e-mails, toutes les requêtes de clustering ignorent les boîtes aux lettres de sécurité configurées comme boîtes aux lettres des opérations de sécurité dans la stratégie Advanced Delivery. De même, les requêtes de clustering d'e-mails ignoreront les messages de simulation de phish (éducation) qui sont configurés dans la stratégie Advanced Delivery.
• Advanced Delivery  : Introduction d'une nouvelle fonctionnalité permettant de configurer la distribution de simulations tierces de phishing aux utilisateurs et de messages non filtrés aux boîtes aux lettres des opérations de sécurité.
• Disponibilité Générale de Safe Links pour Microsoft Teams permettant d’empêcher les alertes basées sur les URLs. Le mécanisme analyse les URLs avec du contenu potentiellement malicieux et les réévaluent lorsque l’utilisateur clique sur le lien. Ceci permet d’éviter des attaques de plus en plus complexes.
• Nouvelles stratégies d'alerte pour les scénarios suivants : boîtes aux lettres compromises, hameçonnage par formulaires, courriers malveillants délivrés en raison de surcharges ZAP
  • Activité suspecte de transfert d'e-mails
  • L'utilisateur ne peut pas partager les formulaires et recueillir les réponses
  • Formulaire bloqué en raison d'une tentative potentielle de phishing
  • Formulaire signalé et confirmé comme étant du phishing
  • Nouvelles stratégies d'alerte ZAP
• Les alertes de Microsoft Defender for Office 365 sont maintenant intégrées dans Microsoft 365 Defender
• Les étiquettes d'utilisateur (User Tags) sont désormais intégrées dans les expériences d'alerte de Microsoft Defender for Office 365, notamment : la file d'attente des alertes et les détails dans Office 365 Security & Compliance, et l'attribution de stratégies d'alerte personnalisées aux étiquettes d'utilisateur pour créer des stratégies d'alerte ciblées. Les étiquettes sont également disponibles dans la file d'attente des alertes unifiées dans le centre Microsoft 365 Defender (Microsoft Defender for Office 365 Plan 2).

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a annoncé le support des périphériques équipés d’Android 12 par Microsoft Endpoint Manager / Microsoft Intune. Ce support est effectif dès la mise à disposition de cette nouvelle version. Toutes les fonctionnalités existantes (MDM/MAM) qui ciblaient Android 11 et inférieures sont supportées.

Google a procédé à des changements sur les capacités de gestion avec Android 12 incluant :

• La suppression de la capacité de collecte du numéro de série, IMEI, MEID sur les périphériques Android Enterprise Personally-Owned Work Profile (BYOD). Ainsi :
  • Ces informations ne seront plus visibles dans le centre d’administrateur.
  • Il ne sera plus possible de les utiliser pour identifier les périphériques comme étant d’entreprise
  • Les certificats ne pourront être déployés si ces informations sont utilisés comme variables du sujet et SAN.
  • Le contrôle d’accès réseau (NAC) avec certains fournisseurs ou certains VPNs tiers peuvent être affectés aussi. Plus d'informations sur : Support Tip: Android 12 upgrade can affect NAC-enabled network access - Microsoft Tech Community
• La dépréciation des paramétrages de configuration Safe boot et Debugging features. Ceci affecte le mode Fully Managed, Dedicated et Corporate-owned work profile. Microsoft va ajouter un paramétrager Developer Settings dans la version 2109 de Intune.

En outre, Android 12 apporte de nombreux changements à l'apparence et à la convivialité des applications, notamment en ce qui concerne les animations de défilement et le comportement de lancement des applications. Le portail de l'entreprise et l'application Intune adopteront ces changements visuels, donnant aux utilisateurs un aspect et une sensation cohérents sur la plate-forme.

Microsoft recommande la mise à jour avec les dernières versions du portail d’entreprise, Intune, Microsoft Edge et toutes applications utilisant les stratégies de protection applicatives.

Source : Android 12 Day Zero Support with Microsoft Endpoint Manager - Microsoft Tech Community

Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Desktop Analytics prend désormais en charge la nouvelle configuration du processeur de données de diagnostic Windows. Cette configuration offre un meilleur contrôle des données de diagnostic Windows. Microsoft agit en tant que processeur de données et traite les données de diagnostic Windows pour vous, en tant que contrôleur. Vous continuerez à obtenir des informations pour planifier vos déploiements et pourrez répondre aux demandes des personnes concernées. Ces demandes concernent généralement l'accès ou l'exportation des données de diagnostic Windows pour un utilisateur particulier. Pour prendre en charge ceci :
  • Vous devez utiliser Configuration Manager 2006 avec l’update rollup (4575789) ou plus.
  • Vous devez utiliser une version de Windows 10 1809 ou plus incluant une mise à jour cumulative de Juillet 2021 avec des éditions Pro, Education, Enterprise.

Notez que les périphériques dotés d'une version plus ancienne du système d'exploitation, comme Windows 7, continueront d'apparaître dans Desktop Analytics jusqu'au 31 janvier 2022. Vous devez utiliser Desktop Analytics pour mettre à jour ces périphériques vers une version prise en charge de Windows 10. Après cette date, Desktop Analytics n'affichera que les périphériques avec des versions prises en charge de Windows 10.

Plus d’informations sur : What’s new in Desktop Analytics

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v92. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

Cette version comprend 11 nouveaux paramétrages utilisateurs et 11 nouveaux paramétrages ordinateurs :

• Allow unconfigured sites to be reloaded in Internet Explorer mode
• Configure Automatic HTTPS
• Control use of the Headless Mode
• Single sign-on for work or school sites using this profile enabled
• Specifies whether SharedArrayBuffers can be used in a non cross-origin-isolated context
• Specify the number of days that a site remains on the local IE mode site list
• Allow unconfigured sites to be reloaded in Internet Explorer mode
• Configure Automatic HTTPS
• Single sign-on for work or school sites using this profile enabled
• Allow the listed sites to make requests to more-private network endpoints from insecure contexts
• Specifies whether to allow insecure websites to make requests to more-private network endpoints.

Microsoft supprime le paramétrage suivant :  Allow certificates signed using SHA-1 when issued by local trust anchors.

Plus d’informations sur l’article suivant :  Security baseline for Microsoft Edge v92 - Microsoft Tech Community

Télécharger Security Compliance Toolkit

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version inclut une nouvelle alerte de sécurité : Suspected Windows Print Spooler service exploitation attempt (CVE-2021-34527 exploitation) (external ID 2415). Dans cette détection, Defender for Identity déclenche une alerte de sécurité lorsqu'un attaquant tente d'exploiter le service Windows Print Spooler contre le contrôleur de domaine. Ce vecteur d'attaque est associé à l'exploitation du spouleur d'impression, et est connu sous le nom de PrintNightmare.
• À partir de la version 2.156, Microsoft ajoute l'exécutable du pilote Npcap au paquet d'installation du capteur.
• Les versions 2.153, 2.154, 2.155, 2.156 et 2.157 apportent des améliorations et des corrections de bugs sur les capteurs.
• Public Preview des paramétrages pour Microsoft Defender for Identity dans le portail Microsoft 365 Defender.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft a rappelé la fin de support dans moins d’un an pour System Center 2012 Configuration Manager. En effet, le 12 juillet 2022, les produits suivants ne seront plus supportés :

• System Center 2012 Configuration Manager(ConfigMgr 2012)
• System Center 2012 R2 Configuration Manager(ConfigMgr 2012 R2)
• System Center 2012 Endpoint Protection(SCEP 2012)
• System Center 2012 R2 Endpoint Protection(SCEP 2012 R2)

Cela signifie que Microsoft ne fournira plus de support technique en cas de problème, de mises à jour de sécurité ou de correctifs. Plus important, Microsoft ne fournira plus de mises à jour de définition, de moteur ou de plateforme pour SCEP 2012.

En outre, les add-ons suivants seront surement retirés :

• System Center Monitoring Pack for Configuration Manager
• System Center Configuration Manager Cmdlet Library
• SCAP Extensions for System Center Configuration Manager
• System Center Configuration Manager - Clients for Additional Operating Systems
• Configuration Manager 2012 R2 Toolkit
• Vulnerability Assessment Configuration Pack

Il vous reste donc un an pour migrer vers System Center Configuration Manager Current Branch.

Source : One year of support remaining for System Center 2012 Configuration Manager - Microsoft Tech Community

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement du périphérique

• [Windows 10] Disponibilité Générale de Windows Autopilot pour HoloLens 2.

Gestion du périphérique

• [Windows 10] Le service Windows 365 est en disponibilité générale. Il permet de créer automatiquement des PCs Cloud. Les administrateurs peuvent utiliser Microsoft Endpoint Manager pour définir les configurations et les applications qui sont provisionnées pour le Cloud PC de chaque utilisateur. Les utilisateurs finaux peuvent accéder à leur PC Cloud depuis n'importe quel périphérique et n'importe où. Windows 365 stocke le Cloud PC et les données de l'utilisateur final dans le Cloud, et non sur l'appareil, offrant ainsi une expérience sécurisée.
• [Windows 10] Public Preview permettant d’utiliser des filtres pour assigner des stratégies Windows 10 Update Rings. Il est donc possible de filtrer les périphériques sur des propriétés telles que la version du système d’exploitation, le fabricant du périphérique, etc.

• [Windows 10] L’action à distance de collecte des journaux de diagnostique est en disponibilité générale. Les journaux incluent la partie MDM, Autopilot, les journaux d’événements, les clés de registre, les journaux du client ConfigMgr, les journaux réseaux, etc.:

Configuration du périphérique

• [Général] Microsoft a publié le Certificate Connector pour Microsoft Intune remplaçant les connecteurs séparés pour SCEP, PKCS. Il inclut les fonctionnalités suivantes :
  • La configuration de chaque instance du connecteur pour prendre en charge une ou plusieurs des capacités suivantes : SCEP, PKCS, Certificats importés PFX.
  • La révocation de certificats
  • L’utilisation d’un compte Active Directory normal ou le compte système pour le service du connecteur.
  • La sélection du type d’environnement pour le tenant.
  • Supprime la nécessité de sélectionner un certificat client pour l'intégration SCEP avec NDES.
  • Mise à jour automatique de la dernière version du connecteur. La mise à jour manuelle de ce connecteur est également prise en charge.
  • Amélioration de la journalisation.
• [iPadOS] Public Preview du support des stratégies améliorés permettant de les cibler à l’utilisateurs pour des périphériques iPadOS enregistrés comme iPads for Business partagés. Grâce à ce changement, les réglages tels que la disposition de l'écran d'accueil et la plupart des restrictions affectées aux groupes d'utilisateurs s'appliquent aux iPad partagés lorsqu'un utilisateur appartenant aux groupes d'utilisateurs affectés est actif sur l'appareil.
• [Windows 10] Public Preview de nouveaux paramétrages sur la page d’état de l’enregistrement (ESP) de Allow users to collect logs about installation errors à Turn on log collection and diagnostics page for end users pour supporter la page de diagnostique Windows Autopilot proposée par Windows 11.

Gestion des applications

• [Général] De nouvelles applications supportent les stratégies de protection applicatives :
  • Webex for Intune par Cisco Systems, Inc.
  • LumApps for Intune par LumApps
  • ArchXtract (MDM) par CEGB CO., Ltd..
• [MacOS] Microsoft a amélioré l'écran d'authentification du portail d'entreprise Intune qui invite les utilisateurs de macOS à se connecter à leur compte à l'aide de l'authentification unique (SSO). Les utilisateurs peuvent désormais voir les applications qui demandent du SSO et sélectionner « Don’t ask me again » afin d’éviter d’avoir à sélectionner à nouveau.

Sécurité du périphérique

• [Windows 10] Endpoint Analytics propose un nouveau rapport intitulé Work from anywhere. Le rapport Work from anywhere est une évolution du rapport Recommended software. Le nouveau rapport contient des mesures pour Windows 10, la gestion à partir de cloud, l'identité cloud et le provisionnement à partir du cloud.

• [macOS] Support des catalogues de paramétrages (Settings Catalog) pour Microsoft Defender for Endpoint. Ceci permet de configurer les éléments suivants :
  • Microsoft Defender - Antivirus engine : Allowed threats, Enable passive mode, Enable real-time protection, Scan exclusions, et Threat type settings
  • Microsoft Defender - Cloud delivered protection preferences: Diagnostic collection level, Enable - disable automatic sample submissions, Enable - disable cloud delivered protection
  • Microsoft Defender - EDR preferences: Device tags, Enable - disable early preview
  • Microsoft Defender - User interface preferences: Show - hide status menu icon

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

• ProcDump v10.1 : Cette mise à jour de ProcDump, un utilitaire en ligne de commande pour générer des vidages de mémoire à partir de processus en cours d'exécution, ajoute une nouvelle option (-dc) pour spécifier un commentaire de fichier de vidage et supporte les vidages de "triage" (-mt).
• RDCMan v2.82 : Cette mise à jour de RDCMan ajoute une option pour la mise en cache des bitmaps et corrige une série de plantages.
• Sigcheck v2.82 : Cette mise à jour de Sigcheck corrige un crash survenant lors de l'analyse de fichiers non signés sur VirusTotal.
• Sysmon v13.23 : Cette mise à jour de Sysmon corrige un bug où les règles avec de longs noms étaient incorrectement traitées et un rare plantage de mémoire survenant sur les systèmes 32-bit.

Microsoft vient de mettre à disposition la Technical Preview 2107 (5.0.9059.1000) de Microsoft Endpoint Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2010 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

Microsoft Endpoint Configuration Manager TP 2017 comprend les nouveautés suivantes :

Administration

• Vous pouvez désormais publier une requête CMPivot sur Community hub directement depuis la fenêtre CMPivot. La soumission de vos requêtes directement par CMPivot facilite la contribution au Community hub.

Tenant-Attach

• Il y a une nouvelle page de mises à jour logicielles pour les périphériques tenant-attach. Cette page affiche le statut des mises à jour logicielles sur un périphérique. Vous pouvez consulter les mises à jour qui ont été installées avec succès, celles qui ont échoué et celles qui ont été attribuées mais pas encore installées. L'utilisation de l'horodatage pour l'état de la mise à jour facilite le dépannage.  

Plus d’informations sur : Technical preview 2107 - Configuration Manager | Microsoft Docs

Microsoft a communiqué un changement prévu en janvier 2022 sur l’API serviceEndpoints de Microsoft Endpoint Manager (Intune). Cette dernière demandera des permissions spécifiques pour toutes les applicaitons Azure AD qui feront des appels sur ces points de terminaison :

• https://graph.windows.net/servicePrincipals/0000000a-0000-0000-c000-000000000000/serviceEndpoints
• https://graph.microsoft.com/v1.0/servicePrincipals/0000000a-0000-0000-c000-000000000000/serviceEndpo...

Ceci peut vous concerner si vous utiliser les solutions suivantes :

• Telecom Expense Management
• Mobile Threat Defense
• Network Access Control
• De la conformité de périphérique tierce
• Les services SCEP

Une des permissions suivantes sera requise :

• Read.All (Préférence pour cette dernière)
• ReadWrite.All
• OwnedBy
• Read.All

L’article du blog de l’équipe Intune décrit les actions à entreprendre : Support Tip: Intune service discovery API endpoint will require specific permissions - Microsoft Tech Community

L’équipe du support Intune a publié un excellent article vous donnant des éléments pour voir comment assigner des balises d’étendues (scope tags) sur des périphériques en fonction de leur région sur Microsoft Endpoint Manager (Intune).

L’article revient sur 3 options en décrivant la procédure à adopter, les avantages et les inconvénients :

• Les groupes assignés ou groupes manuels
• Les groupes dynamiques en utilisant des catégories de périphériques ou des profils d’enregistrement
• Des scripts pour peupler des groupes

Plus d’informations sur : Microsoft Endpoint Manager RBAC – Auto assign scope tags to devices based on their region - Microsoft Tech Community

Microsoft a introduit un ensemble de nouveautés dans Azure Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft a annoncé un changement dans le prix d’Azure Sentinel et d’Azure Monitor Log Analytics permettant des économies.
  • Le nom des réservations a changé pour Commitment tiers (niveau d’engagement).
  • On retrouve aussi de nouveaux niveaux d’ingestion : 1 TB/Day, 2 TB/Day, et 5 TB/Day.
  • Outre ces niveaux, Microsoft change la façon dont les données ingérées au-delà des réservations seront facturées en utilisant le taux du niveau d’engagement effectif au lieu d’une facturation pay-as-you-go.
• Le module PowerShell Azure Sentinel (Az.SecurityInsights) est en disponibilité Générale afin de vous permettre de réaliser vos tâches opérationnelles sur les incidents, la création ou la configuration de règles d’analyse, de connecteurs ou de bookmarks. Vous pouvez le télécharger à partir de ce lien et accéder à la documentation à partir de ce lien.
• Plus de 15 nouveaux connecteurs de données ont été ajoutés incluant : Zscaler ZPA, Cognni, Cyberpion Security Logs, Darktrace, Forcepoint Cloud Security Gateway, Morphisec UTPP, NXLog BSM MacOS, WatchGuard, Apache Tomcat, Atlassian, Exabeam User Behavior Analytics, NGINX http Server, Oracle WebLogic Server, OSSEC, SentineOne, Workplace from Facebook, et Zoom.
• Preview d’un nouveau connecteur Windows Security Events permettant de filtrer les événements collectés. Ceci est particulièrement intéressant pour limiter le coût d’ingestion.
• Les Watchlist d’Azure Sentinel supporte les modèles ARM. Voici par exemple un exemple permettant d’importer toutes les adresses IP Global Azure : How to Deploy the Azure Global IP Services List to an Azure Sentinel Watchlist – Azure Cloud & AI Domain Blog (azurecloudai.blog)
• L’interface des Watchlists a été mis à jour avec les éléments suivants permettant de :
  • Ajouter de nouveaux éléments de Watchlists ou mettre à jour les éléments existants.
  • Sélectionner et mettre à jour plusieurs éléments de Watchlists à la fois via Excel.
  • Ajouter/supprimer des colonnes dans l'interface utilisateur de mise à jour de Watchlists pour une meilleure utilisation.
• Microsoft a annoncé une intégration avancée entre Azure Sentinel et Azure Firewall pour surveiller et visualiser des activités d’Azure Firewall, de détecter les menaces et exploiter les capacités d'investigation assistées par l'IA, et d’automatiser la réponse et la corrélation avec d'autres sources.
• Microsoft permet maintenant la personnalisation de la chronologie de la page d’entité. Azure Sentinel peut désormais corréler les données de n'importe quelle table à une entité spécifique, et ces données apparaîtront dans la page de l'entité.
• Microsoft a ajouté ou mis à jour des règles d’analyse pour fonctionner avec le modèle d’information Azure Sentinel (ASIM) (qui s’aligne sur Open-Source Security Events Metadata) lui-même retravaillé pour DNS.
• On retrouve un nouveau notebook intégré permettant de détecter les fuites d’identifiants s’ils sont mal stockés dans Azure Log Analytics, Azure Data Explorer ou Azure Blob Storage.
• Une nouvelle capacité en Preview permet de grouper les alertes par tous les types d’entités V3, custom fields, par sévérité dynamique et état. Vous pouvez accéder à l’option depuis la page Incident Settings de l’assistant de règle d’analyse.

L’équipe du support Intune a publié un article vous donnant des éléments pour aborder le sujet de la conformité pour des périphériques Hololens 2 gérés par Microsoft Endpoint Manager (Intune). Seul un sous ensemble des paramètres de conformité Windows 10, peuvent être utilisés avec Hololens 2 :

• Device Properties :
  • Operating System Version
  • Minimum OS Version
  • Maximum OS Version
  • Valid operating system builds
• Password :
  • Require a password to unlock mobile devices
  • Simple passwords
  • Password type
  • Minimum password length
  • Password expiration (days)
  • Number of previous passwords to prevent reuse
  • Require password when device returns from idle state (Mobile and Holographic)
• Device Security
  • Trusted Plateform Module (TPM)

Vous pouvez ensuite utiliser la nouvelle fonctionnalité de filtre pour cibler votre stratégie de conformité sur ces périphériques Hololens 2.

Pour plus d’informations, je vous invite à lire l’article : Intune Support Tip: Managing Compliance on HoloLens 2 with Microsoft Endpoint Manager - Microsoft Tech Community

Microsoft a publié la Public Preview (v2.12.62) du client et du scanner Unified Labeling d’Azure Information Protection.  Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée.  

Pour les fonctionnalités proposées par le client, on retrouve :

• Support des étiquettes DKE avec des permissions définies par l'utilisateur. Cette version du client Unified Labeling et du scanner prend en charge les étiquettes DKE avec des autorisations définies par l'utilisateur dans Word, Excel et PowerPoint.
• Journalisation de l'utilisation du client dans le journal des événements de Windows. Le client Unified Labeling consigne désormais l'activité des utilisateurs dans le journal des événements local de Windows.

On retrouve les correctifs et améliorations suivants :

• Correction d'erreurs pour lesquelles AIP peut ne pas se charger si l'analyse syntaxique d'une politique échoue.
• Correction des valeurs de méthode éventuellement incorrectes dans les journaux d'audit de nouvelle étiquette pour les événements Outlook.
• Corrections des valeurs éventuellement incorrectes de label et de labelBefore dans les journaux d'audit de la protection des changements.
• Corrections pour les erreurs où les documents peuvent ne pas être enregistrés en raison des modifications apportées dans les métadonnées d'étiquetage et le manque de permissions.
• Corrections pour des plantages possibles lors de l'exécution de cmdlets PowerShell.
• Correction d'erreurs où les messages popup de justification peuvent ne pas apparaître dans Outlook.
• Correction d'erreurs où le complément AIP dans Outlook peut provoquer l'affichage d'un message d'erreur, si un fichier de message qui a été enregistré localement a été ouvert, fermé, puis rouvert.
• Correction d'erreurs pour lesquelles les marques visuelles peuvent ne pas être rafraîchies comme prévu après avoir changé l'étiquette d'un fichier en une étiquette sans marque de contenu.
• Correction d'erreurs pour lesquelles les journaux d'audit peuvent ne pas être envoyés lorsqu'une étiquette par défaut est appliquée à un document.
• Correction des problèmes pour lesquels les marquages de contenu dans Outlook peuvent être dupliqués.
• Correction des problèmes pour lesquels les messages différés peuvent ne pas être envoyés dans Outlook lorsqu'un ensemble de règles de différé est défini et que le client AIP est installé.
• Correction des problèmes où les messages popup personnalisés d'Outlook peuvent ne pas s'afficher correctement lorsqu'une image est trouvée dans la signature de l'e-mail.
• Correction des problèmes pour lesquels les journaux d'audit de protection contre les changements peuvent ne pas être envoyés comme prévu lorsqu'une étiquette est supprimée dans Outlook.

Télécharger Azure Information Protection unified labeling

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Les versions 2.150, 2.151, et 2.152 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft a introduit un ensemble de nouveautés dans Azure Defender (anciennement Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Public Preview de l’intégration de Microsoft Defender for Endpoint pour Linux avec Azure Defender. Dans ce cas de figure, Microsoft Defender for Endpoint sera déployé automatiquement sur les serveurs si la configuration le permet.
• Microsoft propose un workbook permettant de faciliter le déploiement d’Azure Defender for Storage avec un tableau de bord fournissant une estimation du prix.
• Nouvelle alerte pour Azure Defender for Key Vault : Access from a suspicious IP address to a key vault (KV_SuspiciousIPAccess). Cette règle correspond à un Key Vault qui a été accédée avec succès par une adresse IP qui a été identifiée par Microsoft Threat Intelligence comme une adresse IP suspecte. Cela peut indiquer que l’infrastructure a été compromise.
• Les recommandations pour chiffrer les clés gérées par le client sont désactivées par défaut.
• Le prefix pour les alertes Kubernetes ont changé de « AKS_ » à « K8S_ »
• Dépréciation de deux recommandations du contrôle de sécurité « Apply System updates » :
  • OS version should be updated for your cloud service roles
  • Kubernetes Services should be upgraded to a non-vulnerable Kubernetes version

Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Note : Microsoft a communiqué sur le fait qu'à partir de Janvier 2022, l'API ServiceEndpoints demandera des permissions spécifiques.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Android] Disponibilité Générale du mode d’enregistrement des périphériques appartenant à l’entreprise avec un profil professionnel (COPE).
• [Android] L’accès au navigateur est automatiquement activé dans les enregistrements d’entreprise Android ceci inclut :
  • Android Enterprise dedicated enregistré avec Azure AD Shared device mode
  • Android Enterprise fully managed
  • Android Enterprise corporate-owned work profile

Gestion du périphérique

• [Général] Il est maintenant possible de faire l’offboarding de la fonctionnalité attachement du tenant (Tenant Attach). Ceci permet de couvrir les rares cas où vous pouvez avoir besoin de retirer une hiérarchie. Par exemple, vous pouvez avoir besoin de supprimer une hiérarchie à la suite d'un scénario de reprise après sinistre dans lequel l'environnement sur site a été supprimé. Pour retirer votre hiérarchie Configuration Manager du centre d'administration de Microsoft Endpoint Manager, sélectionnez Tenant administration, Connectors and tokens puis Microsoft Endpoint Configuration Manager. Choisissez le nom du site que vous souhaitez supprimer, puis sélectionnez Delete.

• [Général] Il est maintenant possible d’utiliser les filtres sur les profils de configuration de catalogue de paramétrages, sur les paramétrages de conformité de score de risque et de menaces.

• [Android] Vous pouvez créer un filtre qui utilise le nom du profil d’enregistrement pour des périphériques Android Enterprise.
• [iOS/iPadOS] Une nouvelle action à distance (Update cellular data plan) permet d’activer le plan d’abonnement eSIM. 

Configuration du périphérique

• [iOS/iPadOS] Il est maintenant possible de gérer les cookies et les paramétrages de pistage à travers les sites en créant une stratégie de restriction dans : Devices > Configuration profiles > Create profile > iOS/iPadOS comme plateforme > Device restrictions pour profil > Built-in Apps.

Gestion des applications

• [Général] On retrouve diverses améliorations pour voir l’état d’applications gérées. Intune n'affiche désormais que les applications spécifiques à la plate-forme du périphérique que vous consultez. Microsoft a également introduit des améliorations de performance et un support supplémentaire pour les plateformes Android et Windows.
• [Général] On retrouve de nouvelles applications protégées :
  • Secrets Confidential File Viewer by Hitachi Solutions, Ltd.
  • AventX Mobile Work Orders by STR Software
  • Slack for Intune by Slack Technologies, Inc.
  • Dynamics 365 Sales by Microsoft
  • Leap Work for Intune by LeapXpert Limited
  • iManage Work 10 For Intune by iManage, LLC
  • Microsoft Whiteboard by Microsoft (Android version)
• [Android] L'application Android Company Portal et l'application Android Intune prennent désormais en charge le portugais du Portugal (code langue pt-PT). Intune prend déjà en charge le portugais du Brésil. 

• [iOS/iPadOS] Lorsque vous créez un nouveau déploiement pour une application Apple Volume Purchase Program (VPP), le type de licence par défaut est désormais "device". Les déploiements existants restent inchangés.

Sécurité du périphérique

• [Android] Disponibilité Générale de la fonctionnalité Microsoft Tunnel de l’application Microsoft Defender for Endpoint sur Android :
  • Vous n'avez plus besoin de vous connecter pour utiliser Defender of Endpoint comme application tunnel sur Android.
  • L'application autonome pour Android est désormais obsolète et sera supprimée du store d'applications Google lorsque l'assistance prendra fin le 14 août 2021. Vous devez planifier de télécharger et utiliser la nouvelle version d’application Microsoft Defender for Endpoint comme application Microsoft Tunnel.

Supervision et Dépannage

• [Général] Une option d’export est disponible pour les remédiations proactives afin de vous aider à identifier et analyser les retours des scripts.
• [Général] Mise à jour du rapport Certificate pour fournir des capacités de recherches, de pagination, d’ordonnancement et d’export. Vous pouvez y accéder en naviguant dans : Devices > Monitor > Certificates.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs