Il y a plusieurs jours, l’annonce d’une cyberattaque d’ampleur est apparue. Solorigate correspond à l’attaque de la société SolarWinds et de la plateforme Orion. En effet, les attaquants ont intégré l’entreprise et ont réussi à entrer dans le système de gestion de développement et des versions. Pendant plusieurs mois, une DLL utilisée dans plusieurs applications Solarwinds légitimes, a été manipulée afin d’y inclure du code malveillant permettant la prise de contrôle des machines. Des entreprises partout dans le monde (FireEye, etc.) mais aussi des agences gouvernementales (Department of State, etc.) utilisent les applications de Solarwinds. Cette attaque permet à des attaquants de rentrer dans le réseau des entités utilisant ces outils initialement légitimes. L’ampleur de l’attaque et sa sophistication porte à croire qu’elle n’a pu être réalisée que par une organisation puissante telle qu’un état.

Microsoft a fourni une réponse rapide à cette annonce via plusieurs éléments :

1. Le 13 décembre, Microsoft a supprimé le certificat numérique utilisé par les fichiers afin que Windows ne fasse plus confiance aux fichiers.
2. Le 15 décembre, Microsoft et plusieurs autres acteurs, ont agi pour prendre la main sur le domaine qui était utilisé pour la partie Command and Control (C2)
3. Depuis le 16 décembre, Microsoft Defender Antivirus a commencé à bloquer le processus des applications légitimes de Solarwinds afin d’empêcher le code malicieux de pouvoir s’exécuter. Si pour une raison particulière, vous devez continuer d’autoriser les outils Solarwinds, Microsoft donne des éléments pour réaliser les exclusions nécessaires en attendant que vous trouviez des solutions : Ensuring customers are protected from Solorigate - Microsoft Security
4. Si vous utilisez Azure Sentinel, Microsoft fournit des requêtes, un workbook, un notebook pour détecter les machines concernées. En outre, Microsoft fournit une règle d’analyse comme détection directement dans la console Azure SentineL. Plus d’informations sur : How to Use Azure Sentinel to Detect SolarWinds SUNBURST – Azure Cloud & AI Blog ou SolarWinds Post-Compromise Hunting with Azure Sentinel - Microsoft Tech Community
5. On retrouve le rapport d’analyse dans les consoles Microsoft Defender for Endpoint et Microsoft 365 Defender pour vous informer : New Threat analytics report shares the latest intelligence on recent nation-state cyber attacks - Microsoft Tech Community
6. Le 21 décembre, Microsoft publie la liste des indicateurs de compromission (IoC) caractéristique de l'attaque : Solorigate AzureAd IOCs (microsoft.com)
7. Le 28 décembre, Microsoft complète ses recommandations par un article pour investiguer Solorigate avec Microsoft 365 Defender : Using Microsoft 365 Defender to protect against Solorigate - Microsoft Security
8. Le 31 décembre, Microsoft communique plus en détail l'investigation sur son réseau : Microsoft Internal Solorigate Investigation Update – Microsoft Security Response Center
9. Le 4 février 2021, Microsoft répond à certaines questions relatives à l'attaque : Sophisticated cybersecurity threats demand collaborative, global response - Microsoft Security
10. Microsoft a communiqué le rapport final de l'attaque. Ce dernier est consultable sur : Microsoft Internal Solorigate Investigation – Final Update – Microsoft Security Response Center

L’équipe de sécurité Microsoft a fourni une analyse poussée de la DLL utilisée pour l’attaque : Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers - Microsoft Security

Voici un centre de ressources mis à disposition par Microsoft : December 21st, 2020 – Solorigate Resource Center – Microsoft Security Response Center

Plus d’informations sur l’attaque :

• A moment of reckoning: the need for a strong and global cybersecurity response - Microsoft On the Issues
• Advice for incident responders on recovery from systemic identity compromises - Microsoft Security

Les migrations vers Microsoft Endpoint Manager (Intune) ont commencé il y a quelques années et elles s’accélèrent depuis plusieurs mois déjà. Une question récurrente revient autour de la migration des périphériques iOS enregistrés dans un autre MDM au travers du programme Automated Device Enrollment (ADE) (anciennement Device Enrollment Program) et d’Apple Business Manager (ABM) vers Microsoft Intune. La procédure est presque toujours la même mais voici un billet de l’équipe du support Intune qui résume les grandes étapes/options disponibles.

Lire : Migrating ADE iOS Devices to Intune

Microsoft a publié un billet à propos d’un changement de comportement dans iOS 14 lorsque vous avez défini une expiration du mot de passe et la vérification de ce prérequis dans une stratégie de conformité de Microsoft Endpoint Manager (Intune). Avant iOS 14, l’utilisateur était invité à changer son mot de passe et la stratégie était ensuite de nouveau conforme sans empêcher l’accès aux ressources. Avec iOS 14+, le périphérique ne demande plus à l’utilisateur de changer son mot de passe et le périphérique devient ainsi non conforme et fini par bloquer l’accès aux ressources.

Apple a corrigé le problème dans iOS 14.3.

Sinon, deux solutions sont possibles :

• Demander à l’utilisateur de changer son mot de passe et d’aller vérifier le statut de conformité de son périphérique dans le portail d’entreprise.
• Utiliser la fonction Remove passcode du centre d’administration MEM pour demander à l’utilisateur de configurer un nouveau mot de passe.

Plus d’informations : Resolved - Support Tip: iOS 14 fails compliance check when passcode expires - Microsoft Tech Community

Microsoft a publié un billet donnant des astuces pour garder le portail d’entreprise à jour sur les périphériques Android. En effet, le portail d’entreprise est un point d’entrée primordial qui doit être garder à jour pour bénéficier des nouveautés et permettre la continuité de service.

Un des conseils est de créer une stratégie de configuration visant à configurer le comportement de mise à jour automatique des applications sur Always. Une autre piste vise à configurer une stratégie de protection applicative avec une condition de lancement.

Plus d’informations sur l’article : Support Tip: Keeping your Company Portal app up-to-date on Android devices - Microsoft Tech Community

Microsoft a publié un guide de déploiement pour la fonctionnalité de VPN : Microsoft Tunnel de Microsoft Endpoint Manager (Intune). Le guide revient sur les grandes étapes du déploiement :

• Un déploiement basic (minimal)
• Un guide avancé pour ajouter une seconde carte réseau, le service Azure Network Load Balancing, de l’Express Route ou l’accès conditionnel.

Télécharger Microsoft Tunnel Deployment Guide

L’équipe Cloud App Security a publié un billet visant à créer une formation complète sur Microsoft Cloud App Security allant jusqu’à un niveau d’expertise. On retrouve notamment :

Level: Beginner  (Fundamentals) (Video Introduction)

1. Community Information
   1. MCAS Tech Community
2. Understanding CASBs
   1. Top 20 Use Cases for CASBs (D)
   2. What is a CASB and Why Do I need one? (B)
3. MCAS Best Practices (D)
4. MCAS Introduction
   1. MCAS Licensing (V)*subject to change*

• MCAS License Datasheet(D)
• Differences between MCAS and OCAS(D)
• Differences between MCAS and CAD(D)

1. 1. Microsoft Cloud App Security Introduction (V)

1. Initial Settings
   1. Configure IP Addresses (V)
   2. Import User Groups (V)
   3. Configure Admin Roles (V)
   4. Configure MSSP Access (V)
2. Cloud Discovery
   1. Dashboard Basics (D)
   2. Discovered Apps (D)
   3. App Risk Scoring (V)
   4. MCAS App Connectors (V)
   5. Using the Cloud App Discovery Feature (V)
3. Information Protection and Real-time Controls
   1. Connect Office 365 (V)
   2. Configure AAD with MCAS Conditional Access App Control (V)
   3. What is Conditional Access App Control? (V)
   4. Block Sensitive Information Downloads (D)
4. Threat Detection
   1. Threat Detection Overview (V)
   2. User and Entity Behavior Analytics (V)
   3. Discover and Mange risky OAuth applications (V)

Level: Beginner (Fundamentals) Knowledge Check

Level: Intermediate (Associate) (Video Introduction) 

1. Overview
   1. Microsoft Cloud App Security: Overview (V)
2. Cloud Discovery
   1. Cloud Discovery Interactive Guide (V)
   2. Cloud Discovery Policies (D)
   3. MCAS and MDATP Integration (V)
   4. Log Collector Configuration (V)
   5. Integrate with Zscaler (D)
   6. Integrate with iboss (D)
   7. Integrate with Corrata (D)
3. Information Protection and Real-Time Controls
   1. Connect Box, Salesforce, and GitHub to MCAS (B)
   2. Secure and Connect Github (B)
   3. Protecting Storage Apps and Malware Detection (V)
   4. Configuring a read-only mode for external users (V)
   5. Block unauthorized browsers form accessing corporate web apps (V)
   6. Using Admin Quarantine to investigate files (D)
   7. Automatically apply labels to your sensitive files (D)
   8. Information Protection Policies (D)
4. Threat Detection
   1. Threat Policies (D)
   2. Azure Advanced Threat Protection Integration
      1. How Azure ATP integrates with MCAS (D)
   3. Detect Threats and Manage Alerts (V)
   4. Malware Hunting and Automatic Remediation (V)

Level: Intermediate (Associate) Knowledge Check

Level: Advanced (Expert) (Video Introduction)

1. Power Automate Blog Series (B)
   1. Triage Infrequent Country Alerts using Power Automate and MCAS  (V)
   2. Request user validation to reduce your SOC workload  (V)
   3. Request for Manager Action (V)
   4. Auto-disable malicious inbox rules using MCAS & Power Automate (V)
2. 3^rd Party IdP Configuration 
   1. PingOne (D)
   2. ADFS (Coming soon!)
   3. Okta (Coming soon!)
3. Conditional Access App Control steps for non-Microsoft SAAS applications
   1. Workplace for Facebook (V)
   2. Box (V)
   3. Slack (V)
4. SIEM Integrations
   1. Connect Azure Sentinel (V)
   2. Azure Sentinel Entities Enrichment (Users) (V)
   3. Microsoft CAS Infrequent Country triage with Azure Sentinel and Logic Apps (V)
   4. Connect a 3^rd Party SIEM (V)
5. Advanced Scenarios and Guidance
   1. Indicators of Compromise  (V)
   2. MCAS and Microsoft Threat Protection  (V)
   3. Block Apps/Sites on iOS (Defender for Endpoint + MCAS) (V)
   4. MCAS API Documentation (D)
   5. Configuring a Log Collector behind a Proxy (D)
6. Additional Blogs and Series
   1. Ninja Training Blog Series (B)
   2. MCAS Data Protection Blog Series (B)
   3. Securing Administrative Access to Microsoft Cloud App Security and Defender for Identities (B)
   4. Limiting Inherited Roles from Azure Active Directory in MCAS (B)
7. Important Announcements
   1. Unified Data Loss Prevention Post Announcement (B)
   2. MCAS is removing non-secure cipher suites (B)
   3. Unified Labeling is now generally available in GCC and GCC-H environments (B)

Level: Advanced (Expert) Knowledge Check

Plus d’informations sur : The Microsoft Cloud App Security (MCAS) Ninja Training is Here! - Microsoft Tech Community

Microsoft vient de publier une nouvelle version (7.0.26.0) du Management Pack (MP) pour Azure SQL Database. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack fournit les fonctionnalités suivantes :

• Un assistant pour découvrir les serveurs Microsoft Azure SQL Database.
• Plusieurs abonnements et plusieurs serveurs Microsoft Azure SQL Database sont pris en charge.
• Deux options pour obtenir des informations sur la santé de la base de données Azure SQL : Azure Resource Manager (Azure REST API) et les requêtes T-SQL vers les vues système du serveur SQL.
• L'authentification Azure AD est prise en charge.
• Collecte et contrôle la santé des bases de données Microsoft Azure SQL Database :
• Collecte et contrôle de l'état de santé des serveurs Microsoft Azure SQL Database.
• Surveillance de l'état de santé des Elastic Pools.
• Surveillance de l'état de santé des bases de données géorépliquées.
• Possibilité de définir des seuils personnalisés pour chaque moniteur afin de configurer les alertes d'avertissement et les alertes critiques.
• Support des Run-as profile pour se connecter en toute sécurité à la base de données Microsoft Azure SQL.
• Tâches personnalisées pour rediriger l'utilisateur vers le portail en ligne de Microsoft Azure SQL Database.
• Support de requêtes personnalisées pour permettre la surveillance de la disponibilité et des performances de l'application.
• Des tableaux de bord.

Cette version corrige :

• Ajout d'une liste de filtrage pour les serveurs et bases de données SQL Server au modèle "Add Monitoring Wizard
• Suppression des workflows obsolètes
• Correction d'un problème avec les données de performance d'Elastic Pool sur les niveaux de prix basés sur vCore
• Ajout de la prise en charge de la tarification basée sur vCore
• Mise à jour de l'algorithme de renouvellement des jetons pour se débarrasser des réponses 401
• Mise à jour du Management Pack Core Library et du tableau de bord "Summary »
• Mise à jour des chaînes d'affichage
• Correction d'un problème avec un symbole d’antislash inutile dans certaines demandes adressées à Azure REST API
• Correction des problèmes de monitoring pour les bases de données qui sont reproduites par des groupes de basculement et des pools élastiques

Télécharger Microsoft System Center Management Pack for Microsoft Azure SQL Database

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

• Microsoft Defender for Endpoint ajoute maintenant le support des serveurs Linux avec les fonctionnalités Endpoint Detection and Response (EDR) en Public Preview. Les distributions suivantes sont supportées : RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS ou plus, SLES 12+, Debian 9+, et Oracle Linux 7.2.

Plus d’informations sur : What’s new in Microsoft Defender for Endpoint

L’équipe Microsoft Information Protection a publié un guide très complet regroupant les bonnes pratiques pour le déploiement et l’utilisation du scanner Unified Labeling d’Azure Information Protection.

On retrouve les parties suivantes :

• Terminology
• Architecture
• Implementation strategy
• Deploying and running the AIP scanner
  • Capacity planning
  • Accounts and permissions
  • Installing an AIP scanner node
  • Network scan job
  • Content scan job
  • Keeping scanners up to date
• Reporting
• Frequently asked questions

Télécharger IP_UL_scanner_calculator.zip

Lire Best practices for deploying and using the AIP UL scanner

Je suis passé à côté de l’annonce mais Splunkbase a annoncé un add-on gratuit créé par Microsoft et permettant l’interconnexion d’Azure Sentinel à Splunk. Le connecteur permet d’ingérer les données de Splunk dans Azure Sentinel et notamment de réaliser des requêtes sur les données avec le langage KQL.

Plus d’informations et télécharger l’Add-on sur : Azure Sentinel Add-On for Splunk | Splunkbase

Cela fait plusieurs mois que le problème est connu, si vous utilisez SQL Server 2019 pour la base de données de site de Microsoft Endpoint Configuration Manager, vous pouvez avoir des problèmes pour vous connecter à la console d’administration. A l’époque, la solution était de désactiver la fonctionnalité Scalar UDF inlining pour contourner le problème

ALTER DATABASE SCOPED CONFIGURATION SET TSQL_SCALAR_UDF_INLINING = OFF

En mission, chez un client, il s’apprêtait à désactiver la fonctionnalité ; néanmoins cette solution de contournement n’est plus nécessaire si vous installez le Cumulative Update 5 de SQL Server 2019 (ou une version ultérieure)

Dans tous les projets qui gravitent autour du provisionnement de Windows Autopilot, il y a certaines questions relatives à la personnalisation qui reviennent. Michael Niehaus a fait une longue série de billet sur des demandes très fréquentes :

• Installing Windows updates during a Windows Autopilot deployment
• Run a ConfigMgr task sequence via Windows Autopilot and Intune
• Configuring Windows 10 defaults via Windows Autopilot using an MSI
• Configuring more Windows 10 stuff via Windows Autopilot using an MSI
• Configuring time zones, part 1
• Configuring time zones, part 2
• Deploying Edge without a desktop shortcut, the easier (but not easiest) way
• Outlook and Azure AD Join: Automatically configuring the user’s mailbox
• Configure language settings for any scenario – Out of Office Hours (oofhours.com)

Globalement, le blog de Michael Niehaus est une mine d’or sur Windows Autopilot.

Microsoft a introduit un ensemble de nouveautés dans Azure Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Public Preview du connecteur Microsoft 365 Defender pour Azure Sentinel. Ceci permet l’ingestion des données brutes d’événements provenant de Microsoft 365 Defender et tous les services sous-jacents : Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Office, etc.
• Il est désormais possible de sélectionner plusieurs playbooks pour une règle d’analyse. Ceci permet donc de lancer plusieurs actions d’automatisation selon vos besoins (par exemple avec la création d’un ticket dans l’outil d’helpdesk, l’ajout d’un IoC à un outil, le blocage d’un compte, etc.)
• On retrouve un nouveau Workbook de sécurité autour d’Azure Kubernetes Services (AKS) donnant la visibilité sur la création des conteurs, les opérations sur les secrets dans les clusters, les bindings des cluster-admin, et les images avec plusieurs alertes de sécurité.
• Mise à jour du connecteur Logic Apps d’Azure Sentinel avec les éléments suivants :
  • Une seule action Update Incident remplace les actions: Change Incident Severity, Change Incident Status, Change Incident Title, Change Incident Description, Add/Remove Labels. Ces actions fonctionnent toujours dans les anciens playbooks mais Microsoft pourra un jour les supprimer de la galerie.
  • L’action Update Incident permet maintenant d’assigner un propriétaire à un incident. Vous pouvez alors renseigner un Object ID ou un UPN.
  • L’action Add Comment to Incident a été mis à jour pour inclure l’éditeur HTML.
  • Précédemment, il y avait 4 champs permettant d’identifier un incident à mettre à jour. Il existe maintenant un seul champ Incident ARM ID qui peut être utilisé.
  • Get-Incident utilise maintenant la mise à jour de l’API Sentinel. Les actions en entrée n’ont pas changée mais les réponses fournies pour chaque contenu sont plus riches.
  • Les actions Alert – Get IPs/Accounts/URLs/Hosts/Filehashes ont été changes en Entities - Get IPs/Accounts/URLs/Hosts/Filehashes.

Notez que les playbooks existants ne sont pas affectés par ces changements.

• Mise à jour du connecteur CEF d’Azure Sentinel et notamment la ligne de commande d’installation qui devient : sudo wget -O cef_installer.py. Par conséquent, cette version supporte CentOS 8, RedHat 8, SUSE Linux 15. Le support de Python version 3 a aussi été ajouté.
• Un Workbook Playbooks health monitoring permet d’obtenir l’état de santé des playbooks.

On retrouve aussi un très bon article sur l’utilisation d’Azure Data Explorer pour garder plusieurs années de rétention : Using Azure Data Explorer for long term retention of Azure Sentinel logs - Microsoft Tech Community

Enfin, Forrester a publié une étude mandatée par Microsoft pour évaluer le ROI de la solution : Forrester TEI study: Azure Sentinel delivers 201 percent ROI over 3 years and a payback of less than 6 months - Microsoft Security

Microsoft vient de mettre à disposition la Technical Preview 2012 (5.0.9043.1000) de Microsoft Endpoint Manager Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2010 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 2012 comprend les nouveautés suivantes :

Administration

• A partir de cette version, il est possible de désactiver le(s) déploiement(s) d’une application. Pour les déploiements ciblant des périphériques, lorsque vous désactivez le déploiement ou l'objet, vous devez utiliser l'action de notification client pour télécharger la stratégie. Cette action indique immédiatement au client de mettre à jour sa stratégie depuis le site. Si le déploiement n'a pas encore commencé, le client reçoit la stratégie mise à jour indiquant que l'objet est maintenant désactivé.
• Le hub communautaire supporte le partage des extensions de la console ConfigMgr. Lorsque vous obtenez une extension du hub, elle est disponible dans un nouveau Console extensions de la console. L'obtention d'une extension à partir du hub ne la rend pas immédiatement disponible. Tout d'abord, un administrateur doit approuver l'extension pour le site. Ensuite, les utilisateurs de la console peuvent installer l'extension sur leur console locale. Après avoir approuvé une extension, lorsque vous ouvrez la console, vous verrez une notification de la console. À partir de cette notification, vous pouvez lancer l'installateur de l'extension. Une fois l'installateur terminé, la console redémarre automatiquement, et vous pouvez alors utiliser l'extension.
• Avec cette version, le hub communautaire comprend une extension pour vous aider à tester la fonctionnalité précédente : Show all status messages for a task sequence deployment. Cette extension est basée sur UserVoice. Lorsque vous installez cette extension, elle ajoute une action de clic droit aux déploiements de séquences de tâches pour afficher tous les messages d'état.
• Cette version continue d'itérer sur le scénario de partage des applications via le hub communautaire. Auparavant, il était possible de partager uniquement la définition de l'application. Un autre utilisateur du hub pouvait télécharger les métadonnées XML de l'application et les créer sur son site. Mais pour déployer réellement l'application, il lui faudrait ensuite localiser son contenu. Vous pouvez maintenant télécharger le contenu lié aux applications Windows Installer dans le hub. Cette amélioration vous permet d'obtenir facilement une application pleinement fonctionnelle de la part de la communauté Configuration Manager. Le hub fournit un lien intégré vers le contenu de l'application accessible au public. Lorsque vous téléchargez une application avec du contenu à partir du hub, celui-ci télécharge à la fois les métadonnées de l'application à partir du hub et le MSI à partir de son emplacement partagé à l'extérieur du hub communautaire. Une fois que la console a téléchargé le fichier, elle valide le hash. Cette vérification permet de s'assurer que le contenu n'a pas changé pendant le téléchargement. Elle valide ensuite la signature numérique du fichier MSI. Si elle ne peut pas vérifier la signature, elle vous demande si vous voulez toujours importer le fichier. Pour vous aider à tester cette nouvelle fonctionnalité, System Center Updates Publisher est disponible sous la forme d'une application dont le contenu se trouve dans le hub communautaire. Lorsque vous téléchargez SCUP à partir du hub communautaire, la console télécharge le contenu du programme d'installation à partir du centre de téléchargement de Microsoft.
• Vous pouvez désormais accéder aux principales requêtes CMPivot partagées dans le hub communautaire à partir de CMPivot On-Premises.
• Depuis ConfigMgr 1906, vous pouvez ajouter jusqu'à cinq onglets personnalisés au Software Center. Auparavant, pour afficher les sites web, le Software Center utilisait le contrôle intégré du navigateur Internet Explorer de Windows. À partir de cette version, le Software Center peut désormais utiliser le contrôle du navigateur Microsoft Edge WebView2. Le contrôle du navigateur WebView2 offre une sécurité et une expérience utilisateur améliorée. Par exemple, davantage de sites web devraient fonctionner avec ces onglets personnalisés sans afficher d'erreurs de script ou d'avertissements de sécurité.
• Le Support Center OneTrace supporte maintenant les jump lists pour les fichiers récemment ouverts et accéder rapidement aux fichiers précédemment ouverts.

Tenant-Attach

• Le volet des applications dans le centre d'administration de Microsoft Endpoint Manager affichera une description de l'erreur si le statut de l'application est Échec.

Windows 10 Servicing

• Microsoft a revu le tableau de bord Windows 10 Servicing avec un nouveau tableau Quality Update Versions pour afficher le TOP 5 des révisions de Windows 10 à travers les périphériques. Le tableau Latest Feature Update indique le nombre de périphériques qui ont installé la dernière mise à jour des fonctionnalités. Le tableau Windows 10 Usage, qui montre la distribution des principales versions de Windows 10, a été renommé Feature Update Versions. Le informations Servicing plan and Windows 10 ring ont été supprimés du tableau de bord.

Déploiement de système d’exploitation

• Sur la base de UserVoice, la progression de la séquence des tâches peut maintenant afficher plus d'informations sur les contrôles de validation. Si une séquence de tâches échoue parce que le client ne satisfait pas aux exigences configurées dans l'étape Check Readiness, l'utilisateur peut maintenant voir plus de détails sur les conditions préalables qui ont échoué. Il voit toujours le message commun "erreur de séquence de tâches", mais il peut maintenant sélectionner une option Inspect. Cette action montre les contrôles qui ont échoué sur le périphérique.

 PowerShell

• Si la console Configuration Manager n'est pas encore connectée à un site, si vous importez manuellement le module ConfigurationManager, il crée un lecteur PowerShell pour le site basé sur le SMSProvider par défaut.
• De nouvelles Cmdlets sont disponibles
  • Get-CMDuplicateHardwareIdGuid
  • Get-CMDuplicateHardwareIdMacAddress
  • Sync-CMCloudManagementGateway
• Les cmdlets suivantes ont été modifiées :
  • New-CMApplication
  • New-CMCertificateProfileScep
  • New-CMOperatingSystemImage
  • New-CMOperatingSystemInstaller
  • New-CMTSRule
  • New-CMTSStepConditionVariable
  • Set-CMTSStepConditionVariable
  • Set-CMTSStep*
  • New-CMSoftwareUpdateAutoDeploymentRule
  • Set-CMCertificateProfileScep
  • Set-MSoftwareUpdateAutoDeploymentRule

Plus d’informations sur : Technical preview 2012 - Configuration Manager | Microsoft Docs

Avec la dépréciation prochaine du mode de gestion Device Administrator à partir d’Android 10+, Microsoft a communiqué sur la gestion des périphériques où Android Enterprise et Google Mobile Services (GMS) ne sont pas disponibles (en Chine par exemple).

Dans ces environnements, Microsoft recommande pourtant l’usage du mode Device Administrator. Ainsi, il y a plusieurs changements au mode Device Administrator si vous utilisez Android 10 et plus. Ces changements affecteront les périphériques nouvellement enregistrés, les éléments suivants seront impactés :

• Bloquer la caméra*
• Le contrôle d’accès réseau pour le VPN*
• Marquer les périphériques comme appartenant à l’entreprise avec l’IMEI où le numéro de série*
• La visibilité du numéro IMEI ou du numéro de série*
• La capacité à déployer de certificats racine de confiance*.
• Il y a eu des modifications sur les paramètres des mots de passe et un nouveau paramètre Password Complexity est apparu.
• L'expérience de l'utilisateur pour les profils Wi-Fi.
• Les profils Wi-Fi personnalisés avec des clés pré-partagées.

* Sauf pour les périphériques Samsung KNOX.

Je vous recommande fortement de lire les informations de cet article : Use Intune to manage Android devices in China (microsoft.com)

Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Les tableaux de bord de mises à jour de sécurité sont dépréciés et seront retirés à partir de Mars 2021. Microsoft recommande l’usage d’Update Compliance présent dans Azure Log Analytics. La solution est gratuite et ne requiert pas de coût ou de crédit quelque soit la durée de rétention des données.
• La version Windows 10 20H2 est maintenant disponible parmi les versions cibles d’un plan de déploiement.

Plus d’informations sur : What’s new in Desktop Analytics

Le certificat utilisé pour l’authentification avec le service System Center Online utilisé par la fonctionnalité Asset Intelligence dans System Center Configuration Manager 2012 SP2/R2 SP1 ou Microsoft Endpoint Configuration Manager, arrive à expiration à partir du 7 Janvier 2021. Ce dernier a été renouvelé le 11 novembre 2020. Si vous utilisez un ancien certificat, on retrouve deux scénarios :

• Scénario 1 : Vous essayez d'installer le rôle Asset Intelligence synchronization point, et il fait sa première tentative de connexion au service System Center Online.
• Scénario 2 : L’Asset Intelligence synchronization point existant essaie d'utiliser le certificat d'authentification publique pour renouveler le certificat spécifique à chaque installation.

Dans l'un ou l'autre de ces scénarios, le service System Center Online rejette le certificat d'authentification publique et vous recevez le message d'erreur suivant dans le volet Asset Intelligence de la console : Expired credentials/certificate/token. Need to re-provision online account.

Vous pouvez observer les messages suivants dans le journal Aiupdatesvc.log :

Asset Intelligence Catalog Sync Service Warning: 0 :Log_Date:WebException trying to enroll: Status = ProtocolError
Asset Intelligence Catalog Sync Service Error: 0 :Log_Date:Exception attempting sync - The request failed with HTTP status 403: Forbidden.

Pour résoudre le problème, Microsoft recommande la mise à niveau vers Microsoft Endpoint Configuration Manager 2010 ou une version ultérieure. Le certificat inclut dans cette version est valide jusqu’au 26 octobre 2021.

Pour les versions antérieure, Microsoft fournit un correctif que vous pouvez trouver dans l’article.

Plus d’informations : November 2020 Update for Asset Intelligence authentication certificate in Configuration Manager (microsoft.com)

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

• Microsoft Defender for Endpoint ajoute maintenant le support des serveurs Linux avec les fonctionnalités Endpoint Detection and Response (EDR) en Public Preview. Les distributions suivantes sont supportées : RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS ou plus, SLES 12+, Debian 9+, et Oracle Linux 7.2.

Plus d’informations sur : What’s new in Microsoft Defender for Endpoint

Microsoft met à jour la pile de maintenance utilisée pour mettre à jour les autres composants, ces mises à jour Servicing Stack Update (SSU) doivent être passée avant les mises à jour cumulatives (LCUs). Les entreprises avaient tendance parfois à oublier de déployer les SSUs bloquant ainsi le déploiement des mises à jour cumulatives. Microsoft avait annoncé un travail visant à créer un seul package contenant à la fois la mise à jour de pile de maintenance (SSU) et la mise à jour cumulative (LCU), il y a quelques mois. C’est chose faite pour Windows 10 2004 ou plus avec la mise à jour de décembre 2020.

Vous pouvez le tester en ajoutant la catégorie Windows Insider Pre-Release dans Windows Server Update Services (WSUS) ou Microsoft Endpoint Configuration Manager. La mise à jour apparaîtra ainsi à la prochaine synchronisation sous le nom :

• 2020-12 Cumulative Update for Windows 10 Version 2004
• 2020-12 Cumulative Update for Windows 10 Version 20H2

Si vous rencontrez des problèmes, Microsoft fournit un formulaire permettant de faire une demande de support (sans surcoût). Microsoft planifie de rendre ce mécanisme disponible pour Windows 10 1903 ou plus dans les prochains mois.

Plus d’informations sur : Deploy Windows SSUs and LCUs together with one cumulative update - Microsoft Tech Community

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en novembre 2020.

Microsoft apporte les nouveautés suivantes :

• 52 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Travel & Expense Management, Tribeloo, Itslearning File Picker, Crises Control, CourtAlert, StealthMail, Edmentum - Study Island, Virtual Risk Manager, TIMU, Looker Analytics Platform, Talview - Recruit, Real Time Translator, Klaxoon, Podbean, zcal, expensemanager, Netsparker Enterprise, En-trak Tenant Experience Platform, Appian, Panorays, Builterra, EVA Check-in, HowNow WebApp SSO, Coupa Risk Assess, Lucid (All Products), GoBright, SailPoint IdentityNow,Resource Central, UiPathStudioO365App, Jedox, Cequence Application Security, PerimeterX, TrendMiner, Lexion, WorkWare, ProdPad, AWS ClientVPN, AppSec Flow SSO, Luum, Freight Measure, Terraform Cloud, Nature Research, Play Digital Signage, RemotePC, Prolorus, Hirebridge ATS, Teamgage, Roadmunk, Sunrise Software Relations CRM, Procaire, Mentor® by eDriving: Business, Gradle Enterprise
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Adobe Identity Management
  • Blogin
  • Clarizen One
  • Contentful
  • GitHub AE
  • Playvox
  • PrinterLogic SaaS
  • Tic - Tac Mobile
  • Visibly
• Support par Azure AD Application Proxy de l’accès en SSO aux applications qui utilisent des entêtes pour l’authentification (headers). Vous pouvez configurer les valeurs d'en-tête requises par votre application dans Azure AD. Les valeurs d'en-tête seront envoyées à l'application par le biais d'Application Proxy.
• Disponibilité Générale de l’enregistrement et la connexion par téléphone dans Azure AD B2C en utilisant des stratégies personnalisées. Grâce à l'inscription et à l'enregistrement des numéros de téléphone, les développeurs et les entreprises peuvent permettre à leurs clients de s'inscrire et de s'enregistrer en utilisant un mot de passe unique envoyé par SMS au numéro de téléphone de l'utilisateur. Cette fonction permet également au client de changer son numéro de téléphone s'il perd l'accès à son téléphone. Grâce à la puissance des stratégies personnalisées, les développeurs et les entreprises peuvent communiquer leur marque par la personnalisation des pages.

• Public Preview des rôles RBAC personnalisés pour la gestion des applications d’entreprises déléguée. Ces nouvelles autorisations s'appuient sur les rôles personnalisés pour la gestion de l'enregistrement des applications, ce qui permet un contrôle précis de l'accès de vos administrateurs. Au fil du temps, des autorisations supplémentaires pour déléguer la gestion d'Azure AD seront publiées.
• Public Preview de la connexion par email avec adresses proxy via la fonctionnalité Staged Rollout. Les administrateurs du tenant peuvent désormais utiliser Staged Rollout pour déployer la connexion par email avec des adresses proxy à des groupes Azure AD spécifiques. Cela peut être utile lors de l'essai de la fonctionnalité avant de la déployer à l'ensemble du tenant via la politique de découverte du Home Realm.
• Limited Preview de Sign-in Diagnostic permettant aux administrateurs de réviser les connexions des utilisateurs. Les administrateurs peuvent recevoir des détails contextuels, spécifiques et pertinents ainsi que des conseils sur ce qui s'est passé lors d'une connexion et sur la manière de résoudre les problèmes.

On retrouve les modifications de service suivantes :

• Dépréciation de TLS 1.0, TLS 1.1 et 3DES par Azure Active Directory dès le 30 juin 2021.
• Mise à jour des outils de gestion des méthodes d'authentification MFA pour les utilisateurs.On retrouve notamment une interface graphique, et de nouvelles méthodes dans GraphAPIs pour gérer les clés FIDO2, les identifications téléphones pour l'authentification sans mot de passe, et les adresses email d'utilisateur pour le SSPR.
  Il est à noter que le numéro peuplé dans l'AD ne pourra plus être utilisé pour prépeupler les téléphones utilisés par le MFA !
• Public Preview du nouveau service de groupe dynamique amélioré. Les nouveaux clients qui créent des groupes dynamiques dans leurs tenants utiliseront le nouveau service. Le temps nécessaire à la création d'un groupe dynamique sera proportionnel à la taille du groupe qui est créé plutôt qu'à celle du tenant. Cette mise à jour permettra d'améliorer considérablement les performances des grands tenants lorsque les clients créent des groupes plus petits.Le nouveau service vise également à compléter l'ajout et la suppression de membres en raison de changements d'attributs en quelques minutes. De plus, les échecs de traitement unique ne bloqueront pas le traitement des tenants.
• Disponibilité générale du support d’Application Proxy pour le client Web HTML5 Remote Desktop Services.
• La détection des propriétés de connexion non commune/familière a été mise à jour et les clients peuvent constater plus de haut risque.
• Public Preview Refresh de l’agent Cloud Provisionning disponible en version 1.1.281.0. Cette version contient plusieurs améliorations, notamment la prise en charge des GMSA pour les domaines, qui offre une meilleure sécurité, l'amélioration des cycles de synchronisation initiaux et la prise en charge des gros groupes.
• L’API des clés de restauration BitLocker est maintenant sous le point de terminaison InformationProtection en lieu et place de bitlocker.

Plus d’informations sur : What’s new Azure AD

Microsoft Defender for Identity (anciennement Azure ATP) étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.131 ajoute une nouvelle alerte de sécurité : Nouvelle alerte de sécurité : exposition présumée au SPN Kerberos (ID externe 2410). Dans cette détection, une alerte est déclenchée lorsqu'un attaquant énumère les comptes de service et leurs SPN respectifs, puis demande des tickets TGS Kerberos pour les services. L'intention de l'attaquant peut être d'extraire les hachs des tickets et de les sauvegarder pour une utilisation ultérieure dans des attaques de brute force hors ligne.

• Les versions 2.131, et 2132 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

Gartner vient de sortir un nouveau Magic Quadrant pour les plateformes de services de contenu.  Microsoft ressort avec Hyland parmi les leaders du marché avec sa solution SharePoint.

Parmi les forces, on retrouve :

• Intégration à la suite de productivité : Microsoft 365 occupe une position dominante sur le marché des suites de collaboration Cloud. L'analyse des médias sociaux renforce cette position, Microsoft étant le fournisseur ayant le plus grand nombre de part de marché. Les services de contenu fournis par Microsoft, principalement soutenus par SharePoint, sont étroitement intégrés dans la plupart des aspects de la suite et constituent le référentiel de contenu par défaut. Les clients de Gartner évaluent de plus en plus Microsoft 365 comme la composante fondamentale de leurs stratégies de services de contenu.
• SaaS : Microsoft 365 est une plateforme SaaS qui bénéficie du cycle de développement et de mise à jour continu que cela implique. Il s'agit d'un service mature offrant de nombreuses options de résidence des données et des contrôles de confidentialité supplémentaires, tels que des clés de cryptage gérées par le client.
• Écosystème de partenaires tiers : Microsoft dispose d'un vaste réseau de partenaires qui fournissent des solutions et des services conçus pour améliorer Microsoft 365, Un programme de partenariat dédié aux services de contenu est en place et actif. De nombreux produits, y compris des adaptateurs d'intégration pour l'automatisation(Power Automate), peuvent être ajoutés directement à partir de l'app store de Microsoft, ce qui permet de renforcer l'activité des développeurs.

Les faiblesses suivantes sont identifiées :

• Dépendances fonctionnelles de tiers : Les clients de Microsoft exigent souvent des fournisseurs tiers pour qu'ils atteignent des capacités totalement équivalentes à celles des autres leaders du Magic Quadrant. L'absence de capacités de capture de gros volumes et les limites de l'automatisation des processus signifient souvent que les entreprises doivent envisager et évaluer des modules complémentaires pour les cas d'utilisation plus traditionnels. Il s'agit notamment de l'automatisation des comptes fournisseurs et de la gestion des dossiers des employés.
• Préoccupations en matière de gestion des dossiers axées sur la conformité : Malgré des investissements supplémentaires, Microsoft présente encore plusieurs lacunes dans ses capacités de gestion des documents. Ces lacunes peuvent être une source de préoccupation pour les entreprises qui ont des exigences importantes en matière de conformité des documents. L'incapacité à détruire immédiatement le contenu et à contrôler entièrement l'immuabilité du contenu est constamment mise en avant comme étant les plus grands défis. Cependant, la simplicité générale de la conservation et de la gestion des documents signifie souvent que des ajouts de tiers sont nécessaires dans les organisations réglementées.
• Limites architecturales : SharePoint impose des limites de taille architecturale qui ne sont pas présentes dans les autres grandes plateformes. La topologie de longue date de SharePoint, basée sur les sites, associée aux limites associées à ces sites, rend plus difficile la conception de processus complexes et centrés sur le contenu. C'est particulièrement vrai lorsqu'il s'agit de prendre en charge des cas d'utilisation de transactions ou d'archivage à haut volume nécessitant, par exemple, des milliards de documents. Bien qu'il ne s'agisse pas d'une limite stricte, il faut tenir compte de la conception et des solutions de contournement supplémentaires, ce qui peut avoir une incidence sur la facilité d'utilisation.

Lire la copie du rapport

Plus d’informations sur : Over 200 million users rely on SharePoint as Microsoft is again recognized as a Leader in the 2020 Gartner Content Services Platforms Magic Quadrant Report - Microsoft 365 Blog

Début décembre, Gartner a sorti un nouveau Magic Quadrant pour les plateformes Cloud de systèmes de gestion de base de données (DBMS).  Microsoft ressort avec Oracle, Amazon Web Services, et Google parmi les leaders du marché. Microsoft propose pour cela une large gamme de service dans Microsoft Azure (Azure SQL, Azure Synapse Analytics, Azure Cosmos DB, etc.).

Parmi les forces, on retrouve :

• Vision de l'écosystème des données Cloud : Microsoft a articulé une vision forte de l'écosystème des données cloud avec Azure Synapse Analytics. Cette vision est plus affinée et plus complète que celle de ses principaux concurrents, et inclut des aspects de sécurité et de métadonnées. La facilité d'intégration avec les autres offres d'Azure est un argument de vente majeur, et l'écosystème est également ouvert aux offres des éditeurs tiers.
• Chemin de migration vers le cloud : Presque toutes les entreprises ont une relation commerciale avec Microsoft, par l'utilisation de ses produits de gestion des données (tels que Microsoft SQL Server), de ses outils de productivité, de ses logiciels de gestion des identités et des accès, et d'autres offres. Azure représente une extension logique de cet écosystème Microsoft, avec un ensemble complet d'offres de cloud computing, une forte communauté d'utilisateurs et une disponibilité immédiate des compétences.
• Etendue et profondeur du portefeuille avec des capacités multimodèles : Microsoft Azure est le deuxième CSP pour la gestion des données par revenus (selon les estimations de Gartner), et la maturité et la profondeur de ses offres reflètent cette force fondamentale. Contrairement à certains de ses concurrents, Microsoft a adopté une stratégie multimodèle pour nombre de ses offres de gestion de données, ce qui peut simplifier le déploiement. Azure Synapse Analytics reflète cette stratégie d'analyse, et Azure Cosmos DB l'incarne pour les SGBD opérationnels non relationnels. Microsoft établit également des liens entre ses offres analytiques et opérationnelles.

Les faiblesses suivantes sont identifiées :

• Maturité de l'écosystème des données Cloud : Bien que la vision de Microsoft pour un écosystème de données dans le Cloud ait été clairement définie, l'écosystème réel est encore en train d'émerger. Alors que les capacités principales d'entreposage de données d'Azure Synapse Analytics sont généralement disponibles au moment de la rédaction du présent document, les autres composants n'atteindront pas leur disponibilité générale complète avant la fin du quatrième trimestre 2020, et des fonctionnalités supplémentaires sont attendues périodiquement dans le cadre des cycles de publication réguliers. Les utilisateurs potentiels doivent vérifier avec soin que les capacités actuelles de Microsoft répondent à leurs besoins et que les délais de livraison des fonctionnalités supplémentaires requises sont clairs.
• Gouvernance financière : Les contributeurs à la plateforme Peer Insights du Gartner rapportent que le passage à Azure a souvent été plus coûteux que leurs déploiements sur site. Cela reflète à la fois un manque de maturité par rapport aux pratiques générales de gouvernance financière au sein de la communauté des utilisateurs finaux et un manque de normalisation de la structure des coûts dans l'ensemble du vaste portefeuille Azure de Microsoft.
• Intercloud et multicloud : Bien que SQL Server soit disponible sur d'autres clouds (c'est l'un des seuls services SGBD qui peut fonctionner dans les trois plus grands clouds publics), les versions prises en charge par la plate-forme en tant que service (PaaS) ont tendance à être à la traîne par rapport aux dernières versions. Bien que Microsoft n'ait aucun contrôle sur ce phénomène, il reflète la tendance des autres compétiteurs à se concentrer d'abord sur leurs propres offres. En outre, les conditions de licence sont structurées (via Azure Hybrid Benefit) de manière à ce que la base de données SQL et/ou l'instance gérée SQL d'Azure soient plus rentables sur Azure que sur d'autres Cloud. Les capacités d'intercloud pour la gestion des données via Azure Arc sont encore en cours de maturation et se limitent à Azure SQL Managed Instance et Azure Database for PostgreSQL Hyperscale.

Lire le rapport.

Plus d’informations sur : Microsoft named a Leader in Gartner’s 2020 Magic Quadrant for Cloud DBMS Platforms | Blog Azure et mises à jour | Microsoft Azure

Ce script fait référence depuis plusieurs années chez les administrateurs SQL (DBA), Ola Hallengren vient de publier une série de mise à jour de son script de maintenance de base de données.

Télécharger la solution de maintenance

Plus d’informations sur les changements : SQL Server Maintenance Solution Version History (hallengren.com)

Forrester a réalisé une étude sur l’impact économique d’adopter Azure Active Directory pour sécuriser ses applications. L’étude revient sur :

• Les challenges clés
• Les économies de coûts
• L’amélioration de la productivité des utilisateurs finaux avec le Seamless SSO.
• La réduction des coûts avec la réinitialisation de mot de passe en libre-service
• La réduction des risques d’un fuite de données.
• Le coût des licences
• Le coût de l’intégration

On apprend qu’Azure AD fournit un ROI de 123%, un payback après 6 mois, etc.

Je vous recommande donc de lire : The Total Economic Impact Of Securing Apps With Microsoft Azure Active Directory