L’équipe Azure Sentinel a publié un billet visant à donner des instructions permettant l’ingestion de données provenant de plusieurs tenants Office 365 et Azure Active Directory dans Azure Sentinel. Nativement, ceci n’est pas possible mais l’article revient sur l’utilisation de playbook via Logic App et Azure Function pour aller lire les données dans les différentes APIs et les écrire dans des tables.

Plus d’informations sur : O365 & AAD Multi-Tenant Custom Connector - Azure Sentinel - Microsoft Tech Community

Pouyan Khabazi (MSFT) a publié un billet que je trouve très intéressant. Avec la montée en puissance d’Azure Sentinel chez les clients, l’utilisation d’une approche DevOps pour déployer et maintenir Azure Sentinel est clairement une belle opportunité. Son article revient sur l’utilisation d’Infrastructure as Code, d’Azure DevOps, etc.

Je vous recommande de lire : Deploying and Managing Azure Sentinel - Ninja style - Microsoft Tech Community

Microsoft vient de réaliser plusieurs annonces qui concernent son programme de certification. Auparavant, quand vous procédiez à l’acquisition d’une certification basée sur un rôle, vous deviez repasser un examen afin de vous recertifier car ce dernier avait une durée de validité de 2 ans.

A partir de février 2021, il sera possible de renouveler vos certifications basées sur des rôles en passant une évaluation gratuite sur Microsoft Learn. Ceci pourra se faire en ligne sans avoir à planifier un examen dédié dans les 6 mois précédent l’expiration de votre certification. Après le passage avec succès, votre certification se voit étendue d’une année à partir de la date courante d’expiration. Microsoft fournira des modules permettant de se préparer à chaque renouvellement.

A partir de juin 2021, Microsoft mettra à jour la durée de validité des certifications basées sur des rôles et de spécialité à un an à partir de la date d’obtention (contre deux). Ceci concerne toutes les nouvelles applications acquises. Le but est de permettre de plus facilement aligner les changements liés au Cloud avec le renouvellement des certifications et l’évaluation des compétences.

Source : Stay current with in-demand skills through free certification renewals - Microsoft Tech Community

L’équipe Intune a publié un billet à propos d’un problème concernant l’application de stratégies de protection applicatives (APP/MAM) qui ne sont pas délivrées aux périphériques Windows dû à une adresse IP manquante. Si votre organisation utilise un pare-feu ou network protection qui cible ou restreint les adresses IP accessibles, Microsoft recommande de mettre à jour votre configuration réseau pour permettre le trafic réseau vers et depuis toutes les plages d'IP MAM, comme indiqué dans Network endpoints for Microsoft Intune.

Pour ce faire, vous pouvez créer une stratégie de type :

• Ouvrez le centre d’administration MEM
• Cliquez sur Endpoint Security puis naviguez dans Firewall.
• Sélectionnez Create Policy puis Windows 10 and later et Microsoft Defender Firewall rules
• Spécifiez un nom puis ajoutez les règles pour les adresses IP spécifiées dans l’URL : Network endpoints for Microsoft Intune

Plus d’informations : Support Tip: Devices not receiving APP/MAM policies due to missing IP addresses - Microsoft Tech Community

Microsoft a introduit un ensemble de nouveautés dans Azure Defender (anciennement Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Disponibilité Générale d’Azure Defender for SQL permettant la protection des serveurs SQL Server On-Premises. Ceci couvre aussi les serveurs SQL hébergés dans d’autres Clouds (AWS, GCP, etc.). Cette disponibilité générale apporte notamment le support pour des pools SQL dédiés Azure Synapse Analytics
• Preview d’Azure Defender pour Azure Resource Manager permettant la supervision de toutes les opérations de gestion des ressources réalisées dans l’organisation au travers du portail Azure, des APIs REST Azure, d’Azure CLI, ou des clients programmatiques Azure. Vous obtiendrez des informations sur les opérations suspicieuses (depuis des adresses IP ou désactivation d’anti-malware, de scripts, etc.), l’utilisation de kit d’exploitation (Microburst ou PowerZure) ou les mouvements latéraux entre couches de gestion Azure.
• Preview d’Azure Defender pour DNS pour permettre la protection en supervisant toutes les requêtes DNS depuis des ressources Azure. Ceci permet de couvrir l’exfiltration de données depuis des ressources Azure en utilisant DNS tunneling, la communication de malware avec des serveurs de Command et Control, les communications avec des domaines malicieux, les attaques DNS.
• Les administrateurs globaux peuvent désormais s'accorder des autorisations au niveau des tenants. En effet, un utilisateur ayant le rôle d'administrateur global d'Azure Active Directory peut avoir des responsabilités au niveau du tenant, mais n'a pas les permissions Azure pour voir les informations de l’entreprise dans Azure Security Center.
• Previex d’une nouvelle page d’alertes de sécurité dans le portail Azure ayant été revue pour :
  • Améliorer de l'expérience de triage des alertes - pour réduire la fatigue des alertes et se concentrer plus facilement sur les menaces les plus pertinentes, la liste comprend des filtres personnalisables et des options de regroupement
  • Donner plus d'informations dans la liste des alertes - telles que les tactiques de MITRE ATT&ACK
  • Offrir un bouton de création d'alertes types - pour évaluer les capacités d'Azure Defender et tester la configuration de vos alertes (pour l'intégration SIEM, les notifications par courrier électronique et les automatismes de flux de travail), vous pouvez créer des alertes types à partir de tous les plans d'Azure Defender
  • S’aligner sur l'expérience d'Azure Sentinel en matière d'incidents - pour les clients qui utilisent les deux produits, passer de l'un à l'autre est désormais une expérience plus simple et il est facile d'apprendre l'un de l'autre
  • Offrir de meilleures performances pour les listes d'alerte volumineuses
  • Permettre la navigation au clavier dans la liste d'alerte
• L’expérience a été revue pour Azure SQL Database et SQL Managed Instance avec les recommandations de sécurité, les alertes de sécurité, les trouvailles (findings).

• La page d'inventaire dans Azure Security Center a été rafraîchie avec les changements suivants :

• • Guides and feedback a été ajouté à la barre d'outils et ouvre un volet contenant des liens vers des informations et des outils connexes.
  • Un filtre d'abonnement a été ajouté aux filtres par défaut disponibles pour vos ressources.
  • Un lien Open query permet d’ouvrir les options du filtre actuel en tant que requête de graphique de ressources Azure (anciennement appelé "View in resource graph explorer").
  • Options de l'opérateur pour chaque filtre. Vous pouvez maintenant choisir parmi des opérateurs logiques supplémentaires autres que "=". Par exemple, vous pourriez vouloir trouver toutes les ressources avec des recommandations actives dont les titres comprennent la chaîne "encrypt".

• La recommandation "Web apps should request an SSL certificate for all incoming requests" a été déplacée de security control Manage access and permissions (qui vaut un maximum de 4 points) à Implement security best practices (qui ne vaut aucun point).

• Les outils d'exportation continue d'Azure Security Center vous permettent d'exporter les recommandations et les alertes du Security Center pour les utiliser avec d'autres outils de surveillance dans votre environnement. Ces outils ont été améliorés et développés de la manière suivante :
  • Amélioration des stratégies de d’export continu deployifnotexist.
  • Ajout de données d'évaluation de la conformité réglementaire (Preview). Vous pouvez désormais exporter en continu les mises à jour des évaluations de conformité réglementaire, y compris pour toute initiative personnalisée, vers un espace de travail Log Analytics ou un Event Hub.

Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Cloud App Security. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve :

• Il est maintenant possible de recevoir des emails de notifications pour la création ou la mise à jour d’un incident. Cette notification contient ensuite le nom de l’incident, sa sévérité et sa catégorie.
• Microsoft a réalisé des changements dans les tables EmailEventset EmailAttachmentInfo concernant les données Office 365 avec deux nouvelles colonnes pour l’émetteur. On retrouve de nouvelles colonnes qui se mappent sur d’ancienne colonnes. Pour avoir l’exhaustivité des changements : Additional email data in advanced hunting - Microsoft Tech Community
• Microsoft harmonise les valeurs des sources de service (ServiceSource) et les sources de détection (DetectionSource) pour faire correspondre les changements de nom des différents produits (Microsoft Defender for Endpoint, Microsoft Defender for Office 365, etc.)
• On retrouve la public preview avec de nouvelles sources de données fournissant les journaux d’audit Azure Active Directory dans la fonctionnalité Advanced Hunting. Pour l’instant, l’ingestion a une dépendance sur MCAS et le connecteur Office 365 mais Microsoft a pour objectif de l’étendre à d’autres clients.
• Microsoft publie un article pour détailler comment utiliser Microsoft 365 Defender pour détecter Solorigate : Le 28 décembre, Microsoft complète ses recommandations par un article pour investiguer Solorigate avec Microsoft 365 Defender : Using Microsoft 365 Defender to protect against Solorigate - Microsoft Security

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Ajout d’une nouvelle alerte pour les investigations d’email exécutées par un administrateur. Ceci permet de voir les investigations dans Microsoft 365 Defender. Ces alertes seront corrélées dans les incidents pour les associées à une attaque.
• Ajout d’un nouveau type d’entité Mailbox Configuration permettant de clairement voir les éléments de configuration de boite aux lettres suspicieux depuis les onglets évidences, et investigation d’un incident. Vous pouvez par exemple voir les éventuelles règles de redirection, les délégations suspicieuses, etc.
• La vue des entités sur l’incident levé lors qu’une suspicion de compromission d’un utilisateur a été mise à jour pour inclure un onglet Email Clusters permettant de lister les emails similaires à des messages malicieux.
• Microsoft a supprimé l’action redondante Block URL. Cette action apparaît quand l’investigation trouve une URL malicieuse. Comme la stack de protection d'Office 365 bloquera l'URL au moment de la livraison et des clics via Safe Links, l'action d'enquête n'est plus nécessaire.  Il y aura à l'avenir des utilisations d'actions dans la partie Hunting et de l'explorateur pour des actions de correction de faux positifs et faux négatifs liés à l'administration.
• La Public Preview des trainings de simulation d’attaque délivré en partenariat avec Terranova Security est maintenant disponible pour tous les clients Microsoft 365 E3 en plus des clients Microsoft Defender for Office 365 P2, Microsoft 365 E5 et Microsoft Security E5. Ce service permet de découvrir, quantifier et remédier les risques social engineering à travers tous les utilisateurs.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Azure Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft annonce l’arrivée de Sixgill TAXII Server permettant d’obtenir les données Threat Intelligence à partir de Sixgill dans Azure Sentinel en utilisant le connecteur Threat Intelligence – TAXII Data.
• On retrouve 80 nouvelles requêtes d’investigation (Hunting) sur étagère.  Ces requêtes sont rassemblées au travers des 10 catégories du Framework MITRE ATT&CK.
• La sauvegarde d’un workbook comme workbook privé va être déprécié à partir de Janvier 2021. Ce sera possible d’accéder à ces workbooks privés mais les éditions et les sauvegardes ne pourront plus être possibles.
• Microsoft a ajouté un flag New à côté des nouveaux modèles de règles d’analytique.
• Microsoft a fait des améliorations sur l’agent Log Analytics afin de rendre plus facile son utilisation à travers des plateformes. On retrouve notamment : CentOS 8, RedHat 8, SUSE Linux 15 mais aussi le support de Python 3.

Microsoft Endpoint Manager (Intune) propose une stratégie de connexion de données qui est utilisée pour collecter les données nécessaires à Endpoint Analtyics et d’autres services. Sur les postes Windows 10 Pro, la stratégie peut remonter en erreur.

En réalité, Windows 10 Pro requiert le correctif cumulatif de Novembre 2020 pour que la stratégie fonctionne :

• Windows 10 Pro 1903 et 1909 nécessite KB4577062 ou un correctif cumulatif ultérieur.
• Windows 10 Pro 2004 et 20H2 nécessite  KB4577063 ou un correctif cumulatif ultérieur.

Avec la crise sanitaire, les entreprises ont fait face à un changement dans la façon de devoir administrer leurs périphériques. En effet, ces derniers ne sont plus présents physiquement dans l’entreprise et il peut devenir difficile d’assurer les opérations de mise à jour ou de déploiement des applications. Beaucoup d’entreprises ont implémenté des Cloud Management Gateway avec l’outil d’administration Microsoft Endpoint Configuration Manager. La puissance de cette passerelle n’est plus à démontrer mais il existe quelques astuces qui peuvent permettre d’en optimiser le coût. Le client Microsoft 365 Apps n’échappe pas à la règle. La taille de cette application peut être conséquente notamment dans des contextes internationaux avec de nombreux packs de langues (plusieurs giga-octets).  Martin Nothnagel (MSFT) a publié un billet détaillant la capacité de déployer le client Microsoft 365 Apps avec ConfigMgr tout en limitant l’impact réseau avec la récupération des sources sur l’Office CDN.

La technique revient à retirer les sources du packages et modifier le fichier de configuration pour que le client se procure les sources depuis l’Office CDN.

Je vous invite à lire son article : Deploy Microsoft 365 Apps to remote workers - Microsoft Tech Community

J’en profite de cette période pour dépiler des retours d’expérience sur certains sujets et notamment Windows Autopilot. A partir de Windows 10 2004, il est possible d’utiliser le profil Autopilot pour configurer la langue (région) et le clavier de la machine.

Ces paramètres ne peuvent pour l’instant pas être défini lorsque vous utilisez le scénario de préprovisionnement (White Glove).

En effet, la définition de ces deux paramétrages ne permet pas d’appuyer 5 fois sur la touche Windows sur ces écrans afin de lancer le processus White Glove.

Microsoft travaille à corriger ce problème qui requiert à la fois un changement dans Windows mais aussi sur la page de connexion Azure AD.

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en décembre 2020.

Microsoft apporte les nouveautés suivantes :

• 18 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : AwareGo, HowNow SSO, ZyLAB ONE Legal Hold, Guider, Softcrisis, Pims 365, InformaCast, RetrieverMediaDatabase, vonage, Count Me In - Operations Dashboard, ProProfs Knowledge Base, RightCrowd Workforce Management, JLL TRIRIGA, Shutterstock, FortiWeb Web Application Firewall, LinkedIn Talent Solutions, Equinix Federation App, KFAdvance.
• Nouveau partenariat avec Aquera pour automatiser le provisionnement d’utilisateur à partir de plus de 25 applications RH vers plus de 300 applications.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :

• Bizagi Studio for Digital Process Automation
• CybSafe
• GroupTalk
• PaperCut Cloud Print Management
• Parsable
• Shopify Plus

• Microsoft propose une nouvelle expérience personnalisée pour la découverte des applications proposées aux utilisateurs finaux dans le portail My Apps. Les collections d’applications permettent aux administrateurs de construire des regroupements sur la base de rôles ou de types ou fonctions.
• Public Preview de la gestion des mots de passe et du remplissage automatique via l’application Microsoft Authenticator pour tous les sites ou applications utilisés sur le périphérique mobile. Ces mots de passe peuvent ensuite être synchronisés sur tous les périphériques desktop (via l’extension Google Chrome adéquate) et mobile. La fonctionnalité est pour l’instant disponible uniquement pour les comptes Microsoft mais la roadmap cible aussi les comptes Azure AD.
• Public Preview des stratégies par défaut d’enregistrement et de connexion par téléphone d’Azure AD B2C.

On retrouve les modifications de service suivantes :

• A partir du 1^er Avril 2021, Microsoft passe le niveau de service (SLA) d’Azure AD de 99,9% à 99,99% pour les authentifications d’utilisateurs Azure AD. Ceci est le résultat d’un programme d’amélioration de la résilience du service Azure AD. Microsoft s’apprête à lancer d’autres chantiers pour améliorer la résilience d’Azure AD B2C ou proposer d’autres axes sur Azure AD en 2021.
• Disponibilité Générale de l’activation par défaut de Security Defaults sur l’ensemble des nouveaux tenants créés après le 11 novembre. Ceci permet de demander à tous les utilisateurs et administrateurs d’enregistrer du MFA avec l’application Microsoft Authenticator. La stratégie demande aussi aux administrateurs critiques d’utiliser du MFA toutes les fois où ils se connectent. Enfin, l’authentification héritée est bloquée au travers du tenant.
• Disponibilité Générale du support des groupes avec plus de 250 000 membres dans Azure AD Connect. Ceci est rendu possible par le déploiement d’une nouvelle API afin d’améliorer les performances et les opérations sur le service.
• Disponibilité Générale du service Entitlement Management pour les tenants dans Azure China.

Plus d’informations sur : What’s new Azure AD

A l’occasion de cette fin d’année, Microsoft a annoncé deux Preview autour de Windows Virtual Desktop. Pour rappel, Windows Virtual Destkop est un service de VDI/Bureau à distance hébergé dans Microsoft Azure. Il permet d’héberger des machines virtuelles Windows 10 Enterprise ou Windows 7 SP1 Enterprise (avec support étendu) afin notamment d’exécuter des applications soit pour des problèmes de compatibilité soit pour donner accès à des ressources à distance. Les entreprises qui ont acheté Windows 10 Enterprise peuvent toutes bénéficier de ce service sans surcout de licences. Le seul coût est au niveau du calcul, du stockage et de la bande passante généré par ces machines virtuelles.

On retrouve notamment :

• L’intégration de MSIX App Attach dans le portail Azure. Précédemment, vous deviez utilise des scripts PowerShell pour activer MSIX App Attach. Maintenant, l’intégration peut se faire dans le portail avec Azure Resource Manager rendant possible de publier des applications packagées ciblées sur des groupes d’applications en quelques clics.
• La protection contre la capture de l’écran est disponible empêchant que des informations sensibles puissent être extraites. Ceci bloque donc les screenshots, le partage d’écran, etc.

Microsoft a publié la première itération du module PowerShell pour Azure Sentinel. Le module Az.SecurityInsights est disponible en version 0.1.0 et donne accès aux cmdlets suivantes :

• Get-AzSentinelAlertRuleAction
• New-AzSentinelAlertRuleAction
• Remove-AzSentinelAlertRuleAction
• Update-AzSentinelAlertRuleAction
• Get-AzSentinelAlertRule
• New-AzSentinelAlertRule
• Remove-AzSentinelAlertRule
• Update-AzSentinelAlertRule
• Get-AzSentinelAlertRuleTemplate
• Get-AzSentinelBookmark
• New-AzSentinelBookmark
• Remove-AzSentinelBookmark
• Update-AzSentinelBookmark
• Get-AzSentinelDataConnector
• New-AzSentinelDataConnector
• Remove-AzSentinelDataConnector
• Update-AzSentinelDataConnector
• Get-AzSentinelIncidentComment
• New-AzSentinelIncidentComment
• Get-AzSentinelIncident
• New-AzSentinelIncident
• New-AzSentinelIncidentOwner
• Remove-AzSentinelIncident
• Update-AzSentinelIncident

Pour l’installer : Install-Module -Name Az.SecurityInsights

Pour plus de details sur son utilisation : New Year - New Official Azure Sentinel PowerShell Module! - Microsoft Tech Community

Accéder au module : PowerShell Gallery | Az.SecurityInsights 0.1.0

Avec les récentes cyberattaques, Microsoft publie un article visant à rassembler toutes les bonnes pratiques pour sécuriser Microsoft 365 et Azure AD des attaques qui peuvent avoir lieu On-Premises. Il y a plusieurs basics et éléments de bon sens mais qui font toujours défaut chez les clients. Par exemple, il est primordial que les comptes ayant des privilèges dans Azure AD (Global Admin, Exchange Admin, etc.) soient des comptes Cloud Only et qu’ils ne soient pas issus de comptes synchronisés qui pourraient être compromis dans le cadre de l’attaque de l’annuaire On-Premises.

On pense aussi au fait de ne pas baser l’authentification sur de la fédération ou à minima d’activer les mécanismes de synchronisation de mot de passe (PHS) pour assurer une redondance en cas de perte de son annuaire On-Prem.

Mais, on retrouve bien entendu tous les autres concepts : Authentification à facteurs multiples, station de travail d’administration, de provisionnement des utilisateurs depuis le Cloud, de stratégies d’accès conditionnel, etc.

Je vous invite à lire l’article qui donne une feuille de route assez précise des actions à réaliser :  Protecting Microsoft 365 from on-premises attacks - Microsoft Tech Community

L’équipe Exchange vient de publier le 8ème Cumulative Update (CU8) pour Exchange Server 2019. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

Il apporte les changements suivants :

• 4588297Attachments can’t be downloaded or previewed from Outlook Web App
• 4583531Design change about inline images will be forced to download but not open in a new tab of OWA in Exchange Server 2019
• 4583532ELC MRM archiving fails due to DomainName in AuthServer in Exchange Server 2019
• 4583533Exchange Server 2019 installation fails with error "The user has insufficient access rights" 
• 4583534Event ID 65535 System.Runtime.Serialization errors in Application log in Exchange Server 2019
• 4583535New-Moverequest, Resume-Moverequest, and Remove-Moverequest not logged in Audit logs in Exchange Server 2019
• 4583536Set-MailboxFolderPermission is included in Mail Recipient Creation in Exchange Server 2019
• 4583537Update Korean word breaker in Exchange Server 2019
• 4583538Microsoft Teams REST calls exceed the default value of maxQueryStringLength in Exchange Server 2019
• 4583539Non-breaking space is visible in message body in Outlook in Exchange Server 2019
• 4583542Server assisted search in Outlook doesn't return more than 175 items in Exchange Server 2019
• 4583544Lots of LDAP requests for FE MAPI w3wp lead to DDoS on DCs in Exchange Server 2019
• 4583545Make DomainName in Authserver a multivalued parameter in Exchange Server 2019
• 4593465Description of the security update for Microsoft Exchange Server 2019 and 2016: December 8, 2020

Plus d’informations sur :

• Cumulative Update 8 for Exchange Server 2019 (microsoft.com)
• Released: December 2020 Quarterly Exchange Updates - Microsoft Tech Community

Pour télécharger le Correctif Cumulatif, vous devez passer par le portail Microsoft Volume Licensing Center.

L’équipe Exchange vient de publier le 19ème Cumulative Update (CU19) (15.01.2176.002) pour Exchange Server 2016. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

Il apporte les changements suivants :

• 4588297Attachments can't be downloaded or previewed from Outlook Web App
• 4583531Design change about inline images will be forced to download but not open in a new tab of OWA in Exchange Server 2016
• 4583532ELC MRM archiving fails due to DomainName in AuthServer in Exchange Server 2016
• 4583533Exchange Server 2016 installation fails with error "The user has insufficient access rights" 
• 4583534Event ID 65535 System.Runtime.Serialization errors in Application log in Exchange Server 2016
• 4583535New-Moverequest, Resume-Moverequest, and Remove-Moverequest not logged in Audit logs in Exchange Server 2016
• 4583536Set-MailboxFolderPermission is included in Mail Recipient Creation in Exchange Server 2016
• 4583537Update Korean word breaker in Exchange Server 2016
• 4583538Microsoft Teams REST calls exceed the default value of maxQueryStringLength in Exchange Server 2016
• 4583539Non-breaking space is visible in message body in Outlook in Exchange Server 2016
• 4583545Make DomainName in Authserver a multivalued parameter in Exchange Server 2016
• 4593465Description of the security update for Microsoft Exchange Server 2019 and 2016: December 8, 2020

Plus d’informations sur : Cumulative Update 19 for Exchange Server 2016 (microsoft.com)

Télécharger :

• Cumulative Update 19 for Exchange Server 2016 (KB4588884)
• Exchange Server 2016 CU19 UM Language Packs

Microsoft met à disposition des icônes qui peuvent être utilisées pour construire vos schémas d’architecture selon les services Microsoft Azure utilisés.

Pour les télécharger : Azure Icons - Azure Architecture Center | Microsoft Docs

Depuis plusieurs années, je profite de ce billet sur les vœux pour faire un bilan de l’année. Nul doute que cette année a marqué un tournant sur de nombreux sujets de par la crise que nous sommes en train de vivre. Microsoft continue sa transformation et accélère pour offrir une nouvelle approche autour de l’environnement utilisateur, du Cloud et de la sécurité !

Les sujets sont nombreux :

• Modern Workplaceavec Microsoft Endpoint Manager qui prend une part très importante mais aussi et toujours Microsoft Endpoint Configuration Manager et une adoption massive du Co-Management et de la Cloud Management Gateway. La crise sanitaire a fait apparaître les premières implémentations globalisées et à grande échelle de Windows Autopilot.
• Sur la sécurité, Microsoft a tapé fort avec l’arrivée de nombreuses fonctionnalités sur Microsoft Defender for Endpoint (ex MD ATP) et le support d’IOS, Android et Linux. Ceci en fait une des solutions leaders. En parallèle, on retrouve un travail similaire pour le SIEM de Microsoft : Azure Sentinel. La solution fait l’objet de tous les intérêts auprès des entreprises et ce à peine un an après sa mise à disposition. Les autres services tels que Microsoft Cloud App Security, Microsoft Defender for Identity, Microsoft Defender for Office 365, continuent leur mutation.
• Sur la gouvernance et la protection de l’information, Microsoft propose là aussi une offre cohérente avec Microsoft Information Protection, le récent Azure PurView, Microsoft 365 Endpoint Data Loss Prevention, Compliance Manager, etc. Ces solutions offrent une vraie réponse aux enjeux de réglementations et législations (RGPD, etc.).
• Sur le Cloud, Microsoft Azure continue de fournir une quantité phénoménale de service accélérant toujours plus l’adoption des clients.

Je me permets de vous faire passer mes meilleurs vœux pour cette année 2021. Je vous souhaite beaucoup de réussite personnelle et professionnelle.

Stay Tuned !

Je vous propose un petit aperçu des nouveautés en décembre 2020 autour de la gouvernance, de la conformité et de la protection de données (MIP, etc.).

On retrouve notamment :

• Début décembre, Microsoft annonce la disponibilité générale de Microsoft 365 Endpoint Data Loss Prevention (DLP). Ce service permet d’étendre les capacités d’étiquetage et de classification aux périphériques afin d’assurer la prévention et la fuite de données (extraction clé USB, extraction via le navigateur Web, etc.). Endpoint DLP utilise les capacités du service Microsoft Defender for Endpoint (MD ATP) présent nativement sur les machines Windows 10 pour assurer les mécanismes de protection visant à brider les capacités du système vis-à-vis d’un fichier donné.
• Toujours sur Microsoft 365 Endpoint DLP, Microsoft a annoncé les Previews des fonctionnalités suivantes :
  • Les étiquettes de sensibilité sont maintenant incluses comme condition des stratégies DLP.
  • Un nouveau tableau de bord dans le centre de conformité Microsoft 365 permet de gérer les alertes DLP.
  • De nouvelles conditions et exception permettent de mieux prédire via des conditions d'"inclusion" et d'"exclusion" applicables dans les politiques DLP afin de garantir que des stratégies spécifiques sont appliquées aux courriers électroniques qui correspondent uniquement aux conditions définies.
• L’annonce de la Preview du service Azure PurView offrant un outil de cartographie, gestion et de gouvernance de la donnée qu’elle soit dans le Cloud ou On-Premises. Azure PurView utilise les capacités de Microsoft Information Protection (Labeling, types d’information sensibles, etc.) afin de les étendre vers différentes sources de données dont SQL Server, SAP, Teradata, Azure Data Services, et Amazon AWS S3. Azure PurView est un service dont le coût dépend de la consommation. Plus d’informations sur : https://aka.ms/AzurePurview et Microsoft Information Protection and Microsoft Azure Purview: Better Together - Microsoft Tech Community
• Disponibilité Générale de l’interface utilisateur permettant la gestion et la configuration d’Exact Data Match (EDM) dans le centre de conformité Microsoft 365. EDM C'est une méthode de classification qui vous permet de créer des types d'informations sensibles personnalisés qui utilisent des valeurs de données exactes. Vous commencez par configurer le type d’information sensible personnalisé de l'EDM et uploader un fichier CSV des données spécifiques à protéger, qui peuvent comprendre des informations sur les employés, les patients ou d'autres informations spécifiques aux clients.
• Disponibilité générale des correspondance configurable (la normalisation). Cette fonction apporte une souplesse supplémentaire dans la définition des correspondances, vous permettant de protéger plus largement vos données confidentielles et sensibles. Par exemple, vous pouvez choisir d'ignorer la casse afin que l'adresse électronique du client corresponde, qu'elle soit en majuscule ou non. De même, vous pouvez choisir d'ignorer les signes de ponctuation tels que les espaces ou les tirets dans les données, par exemple pour le numéro de sécurité sociale.
• Il est maintenant possible d’appliquer des étiquettes de sensibilité à une équipe Teams ou un site SharePoint afin de restreindre l’accès à des périphériques ou des cas d’usages. Cela permet de sécuriser de manière globale les contenus sensibles, qu'ils se trouvent dans un fichier ou dans un chat, en gérant l'accès à une équipe ou à un site spécifique.
• En lien avec la fonctionnalité précédente, les étiquettes peuvent être associées à une stratégie de partage externe afin de sécuriser la collaboration externe (en Public Preview).
• La Public Preview du support de la clé client pour Microsoft Teams permettant de contrôler la clé qui est utiliser pour chiffrer ou déchiffrer les données et répondre ainsi à des enjeux de conformité.
• Microsoft étend le support des étiquettes/labels de sensibilité à l’application Power BI Desktop (PBIX) en plus du service Power BI qui avait déjà été annoncé en juin dernier. Vous pouvez donc appliquer une étiquette à un fichier PBIX avec le client. En outre, Microsoft a annoncé une API qui permet aux administrateurs d’obtenir les informations de sensibilité appliquées à un contenu dans le service Power BI.
• Le client Azure Information Protection Unified Labeling propose la fonctionnalité de Suivi et Révocation (Track & Revoke) en Public Preview. La fonctionnalité est activée sur le client en dernière version (Public Preview) et permet à l’administrateur de traquer et révoquer un document en PowerShell. L’utilisateur peut quant à lui révoquer l’accès à document depuis le bouton de Sensibilité.

Plus d’informations sur : Announcing new Microsoft Information Protection capabilities to know and protect your sensitive data - Microsoft Tech Community

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

• Microsoft Defender for Endpoint ajoute maintenant le support d’iOS avec des fonctionnalités d’anti-phishing, de blocage des connexions non sécurisées, de l’ajout d’indicateurs de compromission (IoC).
• Microsoft Defender for Endpoint sur Android se voit complété avec le support des périphériques Android Enterprise dans un mode Fully Managed (COBO).
• Le processus d’onboarding sur Android a été simplifié permettant aux administrateurs de pousser la configuration VPN sur les périphériques et notamment les permissions associées qui devaient auparavant être configurées par l’utilisateur.
• Disponibilité Générale de la fonction Block Mode permettant aux détections de fonctionner dans un mode blocage. La fonctionnalité est principalement à destination des entreprises qui utilisent Microsoft Defender for Endpoint avec un autre antivirus. Il permet à Microsoft Defender for Endpoint de bloquer des menaces qui n’auraient pas été bloqué par l’antivirus tiers. Par exemple, Microsoft a réussi à bloquer la campagne IceID.
• Frontline Active Threat Sweep s’intègre avec Microsoft Defender for Endpoint pour identifier les malwares qui tentent d’échapper aux solutions EDR. Plus d’informations sur : Digital Defense integrates with Microsoft to detect attacks missed by traditional endpoint security - Microsoft Security

Plus d’informations sur : What’s new in Microsoft Defender for Endpoint

A partir du 1^er Avril 2021, Microsoft passe le niveau de service (SLA) d’Azure Active Directory de 99,9% à 99,99% pour les authentifications d’utilisateurs Azure AD. Ceci est le résultat d’un programme d’amélioration de la résilience du service Azure AD. Microsoft s’apprête à lancer d’autres chantiers pour améliorer la résilience d’Azure AD B2C ou proposer d’autres axes sur Azure AD en 2021.

Parmi les progrès réalisés, on retrouve :

• Les services d’authentification ont été améliorés pour aller vers un modèle d’isolation granulaire du domaine de défaillance avec une architecture cellulisée “cellularized architecture”. Cette architecture est conçue pour évaluer et isoler l'impact de nombreuses catégories de défaillances pour un petit pourcentage de l'ensemble des utilisateurs du système. Au cours de l'année dernière, Microsoft a multiplié par plus de 5 le nombre de domaines de défaillance et Microsoft continuera à faire évoluer ce système au cours de l'année prochaine.
• Microsoft a démarré le déploiement du service Azure AD Backup Authentication qui peut s’exécuter avec des modes d’échec décorrélés du système Azure AD principal. Ce service de sauvegarde traite de manière transparente et automatique les authentifications des charges de travail participantes, ce qui constitue une couche de résilience supplémentaire en plus des multiples niveaux de redondance de l'AD Azure. Vous pouvez considérer ce service comme un générateur de secours conçu pour fournir une tolérance supplémentaire aux pannes tout en restant complètement transparent et automatique. Actuellement, Outlook Web Access et SharePoint Online sont intégrés à ce système. Microsoft déploiera les protections sur les applications et services Microsoft essentiels au cours des prochains trimestres.
• Pour l'authentification de l'infrastructure Azure, les capacités de gestion de l'identité pour les ressources Azure sont désormais intégrées de manière transparente aux points de terminaison d'authentification régionaux. Ils fournissent des niveaux supplémentaires importants de résilience et de protection, même en cas de panne du système d'authentification Azure AD principal.
• Microsoft a continué à investir dans l'extensibilité et l'élasticité du service. Ces investissements ont fait leurs preuves dans les premiers jours de la crise COVID, lorsque Microsoft a constaté une forte croissance de la demande. Microsoft a été en mesure de faire évoluer de manière transparente et sans impact ce qui est déjà le plus grand système d'authentification d'entreprise au monde. Il s'agissait non seulement d'une croissance globale, mais aussi d'une montée en charge très rapide, des nations entières ayant mis en ligne leur système scolaire (des millions d'utilisateurs) du jour au lendemain.
• Microsoft s’apprête aussi à innover avec le protocole d'évaluation d'accès continu pour les services critiques de Microsoft 365 (CAELe CAE améliore à la fois la sécurité en permettant l'application instantanée des changements de politique et la résilience en prolongeant la durée de vie des jetons en toute sécurité.

Plus d’informations sur : 99.99% uptime for Azure Active Directory - Microsoft Tech Community

Azure ATP étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.135 intègre une amélioration sur l’alerte de reconnaissance des attributs d’Active Directory (LDAP) (ID externe 2210) pour prendre en charge de nouveaux attributs liés à la récente campagne Solorigate. L'alerte détectera désormais également l'utilisation de l'outil ADFSDump, qui était l'outil initial utilisé dans la campagne Solorigate.
• La version 2.134 intègre une amélioration sur le détecteur NetLogon pour fonctionner également lorsque la transaction du canal Netlogon se fait sur un canal chiffré.

• Les versions 2.133, 2.134, 2.135 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft a communiqué un problème connu (MC230744) dans le centre de messages de Microsoft 365 concernant le problème d’autorisation biométrique sur les Samsung A10 équipés d’Android 10 et gérés par Microsoft Endpoint Manager. Lorsque vous lancez des applications avec des stratégies de protection applicatives (APP/MAM), le périphérique crash lors de l’utilisation de la reconnaissance faciale ou de l’empreinte digitale.
Microsoft a déposé une requête auprès de Google et de Samsung, mais n’a pas reçu de solution. Dans la version de janvier du portail d’entreprise, nous allons désactiver l'authentification biométrique sur les appareils concernés et ces appareils utiliseront plutôt un code PIN.

Pour contourner le problème, vous pouvez éditer vos stratégies de protection applicatives Android et passer le paramétrage Block for device biometrics à Block pour un groupe de périphériques Sansung A10.

Plus d’informations sur : Known Issue: Android 10 Samsung A10 Biometric Authentication - Microsoft Tech Community

Avec la multiplication des services et produits proposés au travers des différents bundles d’abonnements et suites de produits, cela devient de plus en plus compliqué de savoir dans quel bundle, on retrouve un service ou quels services sont proposés dans un bundle d’abonnements que vous auriez pu souscrire.  Aaron Dinnage offre des diagrammes présentant les licences/abonnements et les services associés avec une vue relativement facile à comprendre. Une nouvelle version de ses diagrammes a été publiée sur GitHub afin de répondre aux récents changements. On retrouve des diagrammes pour :

• EMS Enterprise
• Microsoft 365 Business Basic
• Microsoft 365 Business Premium
• Microsoft 365 Business Standard
• Microsoft 365 Business
• Microsoft 365 Eduction
• Microsoft 365 Enterprise (E3, E5, F1, F3, etc.)
• Office 365 Education
• Office 365 Education (E3, E5, F1, F3, etc.)
• Windows 10 Enterprise
• Windows 10 Pro
• Windows 10 VL

Télécharger Release December 2020 Release · AaronDinnage/Licensing · GitHub