Il y a peu, j’avais encore un échange sur le sujet pour expliquer les subtilités des objets Devices / Périphériques utilisés par Microsoft Intune et Microsoft Entra ID (Azure AD) ainsi que les utilisateurs qui peuvent être associés.

On retrouve :

• Un objet périphérique Microsoft Entra ID (Azure AD)
• Un objet périphérique Microsoft Intune (dérivé de celui de Microsoft Entra ID)
• Un objet périphérique Windows Autopilot (non détaillé dans l’article suivant)
• Un UPN du compte Enrolled By de Microsoft Intune
• Un Nom d’affichage du compte Enrolled By de Microsoft Intune (qui ne peut être changé)
• Un UPN correspondant au Primary User de Microsoft Intune (qui peut être changé manuellement via le portail ou Graph API)
• L’utilisateur Azure AD qui a enregistré ou joint la machine au Cloud. (qui ne peut être changé car fait lors de la jointure)

Mark Stanfill propose de revenir sur les concepts avec un article que je trouve très bien ficelé et que tout le monde touchant de près ou de loin à Intune devrait lire : Understanding the Intune device object and User Principal Name - Microsoft Community Hub

L’équipe Microsoft Incident Response a publié des guides d’une page sur Microsoft 365 et Microsoft Entra pour l’investigation des activités suspicieuses. L’objectif de ces documents est de donner des techniques parmi les plus de 3000 activités enregistrées dans les solutions.

Parmi les types d’activités, on retrouve :

• L’impact administratif : Actions Exchange et SharePoint dont l'exécution nécessite des privilèges administratifs. Ces actions peuvent étendre l'accès des acteurs de la menace aux services d'Office 365.
• La manipulation Email : Évasion de la défense et ingénierie sociale
• La reconnaissance : Actions de découverte
• Les actions sur les boites aux lettres : Actions effectuées sur une boîte aux lettres compromise
• La collection de données : Actions permettant l'exfiltration de données
• L’impact : Les actions qui sont de nature destructive
• Les événements de connexion : Données de connexion et événements associés
• Les activités de l’utilisateur : Modification des objets de l'utilisateur
• Les applications : L'escalade des privilèges et accès aux données
• L’identité
• Les périphériques : Modification des objets appareils
• Administration : Les changements dans les assignements de rôle

Télécharger les guides

Plus d’informations sur : New Microsoft Incident Response guides help security teams analyze suspicious activity | Microsoft Security Blog

Passkeys se promet comme l’avenir de l’authentification en proposant un mécanisme simple, efficace, et répondant à de nombreux enjeux de sécurité. Pour rappel le fonctionnement est le suivant : lorsqu'un utilisateur s'inscrit à un service en ligne, son appareil client génère une nouvelle paire de clés. La clé privée est stockée en toute sécurité sur l'appareil de l'utilisateur, tandis que la clé publique est enregistrée auprès du service. Pour s'authentifier, l'appareil client doit prouver qu'il possède la clé privée en signant un challenge. Les clés privées ne peuvent être utilisées qu'après avoir été déverrouillées par l'utilisateur à l'aide du facteur de déverrouillage Windows Hello (biométrie ou code PIN). Si vous souhaitez vous remettre à niveau sur le principe de Passkey, je vous invite à lire cet article.

Mais quand est-il du support des différentes plateformes comme Android, iOS, macOS, Windows, Linux, Chrome OS ?

Ce site donne un aperçu des avancements pour chacun des éditeurs : Device Support - passkeys.dev

L’équipe Sentinel a publié un billet visant à créer une formation complète sur Microsoft Unified SOC Platform allant jusqu’à un niveau d’expertise. Pour rappel, Microsoft a annoncé l’intégration de Microsoft Sentinel au portail Microsoft Defender XDR. Vous retrouverez donc tous les incidents dans le même portail. Cette formation vise à donner les éléments pour les équipes SOC et cette intégration.

On retrouve notamment :

XDR+SIEM Overview

Module 1. Unified security operations platform benefits

Module 2.  Getting started with Unified SOC Platform

Module 3. Common Use Cases and Scenarios

Operating with XDR+SIEM Unified Experience

Module 1. Connecting to Microsoft Defender XDR

Module 2. Unified Incidents

Module 3. Automation

Module 4. Advanced Hunting

Module 5. SOC optimization

Module 6. More learning and support options

Accéder à Become a Microsoft Unified SOC Platform Ninja - Microsoft Community Hub

Microsoft annonce avoir reçu des tickets au support concernant des utilisateurs qui auraient expérimentés des problèmes avec les appels audios après la mise à jour des périphériques vers iOS/iPadOS 17.2 et 17.2.1. Apple semble au courant du problème et travaille activement à sa résolution.

Il semble que lorsque le périphérique est désenrôlé de la solution, les appels entrants et sortants se remettent à fonctionner.

Plus d’informations : Known issue: Voice calling on Apple devices running iOS/iPadOS 17.2 - Microsoft Community Hub

Même s’il est rare qu’il y ait de fortes régressions sur Windows lors du déploiement de mises à jour, c’est tout de même quelque chose qui arrive. Il existe un moyen simple pour être informé par email des problèmes connus, leurs états, les solutions de contournement et les résolutions.
Ceci peut se faire au travers de l’espace Windows release health du centre d’administration de Microsoft 365.

Cette fonctionnalité est disponible pour les personnes ayant un rôle d'administrateur pour une organisation/un tenant avec un abonnement Windows ou Microsoft 365 éligible parmi la liste suivant : Microsoft 365 Enterprise E3/A3/F3, Microsoft 365 Enterprise E5/A5, Windows 10 Enterprise E3/A3, Windows 10 Enterprise E5/A5, Windows 11 Enterprise E3/A3, ou Windows 11 Enterprise E5/A5..

La plupart des rôles comportant le mot "admin" auront accès à Windows release health et à l'alerte par email, notamment les rôles Global admin, Service admin et Helpdesk admin.

Voici un vidéo qui vous explique la fonctionnalité en détails :

Microsoft vient de publier un module PowerShell pour Microsoft Defender for Identity. Celui-ci se focalise sur le déploiement et la configuration des prérequis post-déploiement.

Vous pouvez installer le module via la commande :  Install-Module DefenderForIdentity

Parmi les commandes, on retrouve :

• Clear-MDISensorProxyConfiguration
• Get-MDIConfiguration peut être utilisée pour obtenir plus de détails sur la configuration réellement appliquée et déterminer quelle configuration est manquante ou erronée.
• Get-MDISensorProxyConfiguration
• New-MDIConfigurationReport peut être utilisé pour créer un rapport html de la configuration appliquée, et obtenir la commande pour chaque élément de configuration qui doit être corrigé
• Set-MDIConfiguration peut être utilisé pour appliquer la configuration requise.
• Set-MDISensorProxyConfiguration
• Test-MDIConfiguration pour tester la configuration et se focaliser sur 9 Aspects :
  • AdfsAuditing - Pour les SACL requis sur le conteneur ADFS dans Active Directory
  • AdvancedAuditPolicyCAs - Pour la stratégie d'audit avancée sur les serveurs d'autorité de certification
  • AdvancedAuditPolicyDCs - Pour la stratégie d'audit avancée sur les contrôleurs de domaine
  • CAAuditing - Pour les flags d'audit du service CertSrv sur les serveurs d'autorité de certification
  • ConfigurationContainerAuditing - Pour le SACL requis sur le conteneur de configuration dans Active Directory
  • DomainObjectAuditing - Pour le SACL requis sur le domaine dans Active Directory
  • NTLMAuditing - Pour la stratégie d'audit NTLM sur les contrôleurs de domaine
  • ProcessorPerformance - Pour le schéma d'alimentation haute performance sur les serveurs utilisant le capteur MDI
  • All - Toutes les configurations sont validées.
• Test-MDISA
• Test-MDISensorApiConnection

Plus d’informations sur : Introducing the new PowerShell Module for Microsoft Defender for Identity

Je vous partage un outil communautaire rédigé par Ugur Koc en PowerShell qui peut être utile notamment pour les techniciens du support (Help Desk) qui doivent dépanner l’état de mise à jour de la plateforme Antivirale Microsoft Defender. L’outil permet notamment de comparer la version présente localement par rapport à celle de référence chez Microsoft pour les composants suivants :

• Signatures
• Plateforme
• Moteur

Accéder au GitHub du projet

Source : Microsoft Defender for Endpoint (MDE) – Update Tool – Cloud Blog (ugurkoc.de)

Microsoft a publié un très bon article qui résume les bonnes pratiques de sécurité pour le déploiement de solutions d’IA générative (Open IA) dans Microsoft Azure.

Il revient notamment sur :

• La sécurité de la donnée
• La sécurité réseau
• La sécurité des identités et des accès
• La sécurité de l’application
• La gouvernance de la sécurité

Lire Security Best Practices for LLM Applications in Azure (microsoft.com)

Microsoft vient d’annoncer que certaines APIs bêta Microsoft Graph pour Microsoft Intune utilisées notamment pour l’ancien framework de rapport Intune pour les rapports de stratégies de configuration de périphériques arrêteront de fonctionner.

On retrouve notamment :

• Device configuration report: getConfigurationPoliciesReportForDevice
• Device and user check-in status report: getConfigurationPolicyDevicesReport
• Device assignment status report: getCachedReport

Plus d’informations sur : Removal of several Microsoft Graph Beta API’s for Intune device configuration reports - Microsoft Community Hub

Il y a quelques années de cela, Michael Niehaus proposait un module PowerShell pour Windows Autopilot. Aujourd’hui, on retrouve plusieurs forks communautaires de ces modules/scripts avec notamment :

Get-WindowsAutopilotInfoCommunity qui propose notamment les changements suivants :

• Un nouveau commutateur -Wipe (nécessite également -Online) indique à Intune de lancer un nettoyage du système d'exploitation après l'attribution d'un profil Autopilot.
• Un nouveau commutateur -Sysprep lance une commande "sysprep.exe /oobe /reboot /quiet" pour préparer la machine. Après le redémarrage de la machine, elle repassera par OOBE, donc si vous avez enregistré le périphérique et appliqué un profil, il passera ensuite par le processus Autopilot.
• Un nouveau commutateur -Delete (nécessite également -Online) supprimera l'appareil d'Autopilot/Intune/AAD avant de le réimporter. Ceci est utile si vous voulez que l'appareil se comporte comme un tout nouvel appareil (puisque cela supprimerait l'appareil des groupes).
• Un nouveau commutateur -UpdateTag (nécessite également -Online) peut être utilisé pour définir la balise de groupe sur un appareil existant enregistré dans Autopilot.
• Un nouveau commutateur -NewDevice (nécessite également -Online) pour contourner les vérifications visant à déterminer si le dispositif existe déjà dans l'AAD.
• Un nouveau commutateur -Preprov a été ajouté, qui permet d'appuyer cinq fois sur la touche Echap pour lancer le processus de préapprovisionnement (whiteglove).
• Une nouvelle logique a été ajoutée pour prendre en charge Graph v2 afin de charger automatiquement les modules Graph v2 nécessaires au script, de sorte qu'il n'est pas nécessaire de les installer manuellement au préalable. Il est intéressant de noter que la dépendance à WindowsAutopilotIntune a été supprimée et que la plupart (toutes ?) des cmdlets de ce module ont été ajoutées directement dans ce nouveau script.
• Une logique a été ajoutée pour nettoyer les objets temporaires des périphériques importés par Autopilot une fois l'importation terminée.

Get-AutopilotDiagnosticsCommunity comprend les changements suivants par rapport à l’original :

• Correction d'une erreur dans la gestion du LastLoggedState pour les applications Win32. (Cette erreur était relativement inoffensive, mais elle affichait une erreur dans la console avant d'être corrigée).
• Ajout de la prise en charge de l'authentification Graph v2 pour le commutateur -Online, et ajout de la prise en charge de l'authentification basée sur les applications à l'aide des nouveaux commutateurs -Tenant, -AppId, et -AppSecret (tous utilisés avec -Online). Comme pour le script Get-WindowsAutopilotInfoCommunity, il a supprimé la dépendance au script WindowsAutopilotIntune en copiant la logique dans ce script.

WindowsAutopilotIntuneCommunity comprend les changements suivants par rapport à l’original :

• Ajout de la prise en charge des modules Graph v2. Pour ce faire, la cmdlet Connect-MSGraphApp a été remplacée par Connect-ToGraph ; cette cmdlet a un paramètre -scopes supplémentaire qui peut devoir être spécifié si vous l'appelez directement.
• La plupart des cmdlets ont été modifiées afin qu'elles appellent automatiquement Connect-ToGraph avec les bons détails d'étendue. Si vous avez besoin d'une authentification basée sur l'application, vous pouvez spécifier les paramètres nécessaires (-Tenant, -AppId, -AppSecret) directement sur cette cmdlet.
• Une logique a été ajoutée pour gérer les numéros de série contenant des espaces.
• Une logique a été ajoutée pour gérer la propriété CloudAssignedRegion dans un fichier AutopilotConfigurationFile.json généré.

Source :  Use the new community modules for Autopilot – Out of Office Hours (oofhours.com)

J’ai moi-même fait face à ce problème. J’ai une machine Microsoft Entra Joined (AADJ) qui utilise le service Universal Print pour avoir accès aux imprimantes de mon entreprise. En parallèle, j’ai plusieurs comptes Microsoft Entra chez différents clients ou même un compte pour mon tenant de test.

Dans cette situation en essayant d’imprimer, vous obtenez des erreurs comme suit

Dans le journal d’événements Application de Windows, on constate les événements suivants tagués avec l’identifiant 1 :

On peut notamment retrouver les descriptions suivantes sur plusieurs événements qui s’enchainent :

SetChannelOAuth failed. hr: 0x8086000c
APMon.dll

User Interaction is Required to get an Access token and SetChannelOAuth
APMon.dll

Failed to get auth header silently with 0x8086000c
mcpmanagementservice.dll

User Interaction Required while trying to get a token silently. ErrorCode: 0xcaa20003, Error: AADSTS50196: The server terminated an operation because it encountered a client request loop. Please contact your app vendor. Trace ID: 515c9230-d60e-4260-9c4a-ba89d1ed5c01 Correlation ID: b377a2e0-e5d0-47e6-b9f0-fe6b199359ce Timestamp: 2024-01-02 10:31:22Z
mcpmanagementservice.dll

Parfois, vous pouvez constater une notification qui signale un problème d’authentification liée à l’impression.

Ce problème survient car à date Universal Print ne supporte pas le multicompte. Ainsi sur les postes concernés, vous devez demander à l’utilisateur de déconnecter le compte professionnel qui ne correspond pas à celui de l’organisation :

Une fois déconnecté et avec plus que le compte de l’organisation, l’impression peut être relancée et fonctionner comme attendu.

Il est à noter que Microsoft est au courant de ce problème et a planifié de le corriger dans des versions futures de Windows.

Je me permets de revenir sur les annonces de Microsoft qui ont eu lieu fin 2023 autour de la protection de l’identité et des identifiants.

Passwordless

Microsoft a annoncé en septembre le support de Passkeys dans Windows et l’intégration avec Windows Hello for Business.

Avec Windows 11 23H2, Microsoft a introduit

• L’usage du mot de passe temporaire comme première méthode de connexion ou récupération de mot de passe sur l’écran de connexion de Windows afin d’améliorer les scénarios d’authentification sans mot de passe.
• La capacité de désactiver les mots de passe sur les périphériques Entra ID Joined (AADJ) via le paramétrage GP/MDM « Enable Passwordless Expérience »

Authentification Windows

Microsoft va supprimer le support du SSO pour WDigest de Windows. Celui-ci est un ancien protocole d’authentification hérité qui demande un mot de passe en clair. Inévitablement ce dernier est une cible d’attaque pour les hackers. WDigest continuera d’être disponible mais le support du SSO va être retiré car il était déjà désactivé depuis Windows 8.1 et Server 2012 R2.

Microsoft va activer la protection Local Security Authority via les règles Attack Surface Reduction par défaut. Auparavant, cela avait été fait pour les nouvelles installations de Windows à partir de Windows 10 22H2. Microsoft va maintenant le faire lors de la mise à jour vers la prochaine version de Windows. Le système entrera dans un mode d’évaluation pour observer la compatibilité. Si aucune incompatibilité est détectée lors de la période d’évaluation, alors Microsoft activera cette règle ASR par défaut. Si un appel est réalisé et que la règle est activée, une fenêtre de notification informera l’utilisateur du blocage.

Lors du BlueHat 2023, Microsoft a annoncé vouloir aussi améliorer les fondamentaux autour de Kerberos en réalisant les changements suivants :

• AES comme algorithme de chiffrement par défaut en lieu et place de RC4
• Les algorithmes supportés sont étendus avec HMAC-SHA2 (AES128-CTS-HMAC-SHA256-128 et AES256-CTS-HMAC-SHA384-256)
• Intégrer des changements permettant de changer de manière plus aisée les algorithmes cryptographiques dans le futur.
• Support de SHA-2 pour Public Key Cryptography for Initial Authentication (PKINIT) côté serveur.
• Avec Windows 11 23H2, Microsoft va couvrir le scénario où le serveur KDC est non disponible pour utiliser le serveur applicatif comme proxy KDC.
• Avec Windows 11 23H2, Microsoft va couvrir le scénario qui représente 99% de l’usage de NTLM car vous n’avez pas de serveur KDC car vous êtes n’êtes pas On-Prem (Workgroup, etc.). Microsoft va construire un Local KDC sur le client via un l’utilisation du protocole SPNEGO qui essayera d’abord d’utiliser Kerberos puis IAKerb/LocalKDC et enfin NTLM si cela n’a pas fonctionné.
  Vous pouvez obtenir plus d’informations sur le plan de Microsoft pour retirer NTLM : The evolution of Windows authentication | Windows IT Pro Blog (microsoft.com)

Vous pouvez retrouver l’ensemble des annonces et la vidéo sur Linkedin

Gartner vient de publier le résultat de l’étude 2023 sur l’Endpoint Protection Platforms (EPP). Microsoft fait toujours parmi les leaders avec Palo Alto, Sophos, TrendMicro, SentinelOne, et CrowdStrike.

Parmi les forces :

• La forte réactivité de Microsoft sur le marché, ses antécédents et sa viabilité globale sont attribués à sa part de marché substantielle et à la croissance de sa part de marché dans le domaine de la sécurité. Les interactions avec les clients de Gartner montrent que ce fournisseur jouit d'une grande visibilité.
• La stratégie et l'innovation solides de Microsoft en matière de produits se reflètent dans l'étendue de sa suite de sécurité pour l'espace de travail et dans le couplage étroit avec son SIEM Microsoft Sentinel. Les améliorations récentes comprennent des capacités d'interruption automatique des attaques pour les incidents à forte probabilité.
• Le produit de Microsoft bénéficie de capacités de gestion de la configuration de la sécurité, fournissant une évaluation continue de la posture et des suggestions de remédiation recommandées pour remédier aux vulnérabilités et aux mauvaises configurations.
• Le produit de l'éditeur inclut une télémétrie par défaut généreuse des points d'extrémité et une conservation des événements de détection qui est supérieure à la moyenne des éditeurs de ce Magic Quadrant.

Parmi les faiblesses :

• Le produit de Microsoft est confronté à une prise en charge limitée des anciens systèmes d'exploitation et à une prise en charge généralement inégale des systèmes d'exploitation autres que Windows. Les clients de Gartner se plaignent notamment de la prise en charge et des performances des systèmes basés sur Linux.
• L'exécution des ventes de Microsoft est affectée par l'accent général mis sur la vente d'offres groupées de sécurité, ce qui crée souvent des produits d'étagère et des dépenses redondantes, comme l'ont signalé les clients de Gartner. En outre, des produits tels que Microsoft Defender for Servers ou Microsoft Sentinel ne sont pas pleinement représentés dans des offres populaires telles que E3 ou E5.
• L'évaluation de l'expérience client de Microsoft reflète une facilité d'utilisation inférieure à la moyenne, basée sur les impressions des analystes et des utilisateurs finaux concernant l'interface utilisateur de la console et la nécessité actuelle d'utiliser des tableaux de bord distincts pour les paramètres de protection des points d'extrémité et la gestion des événements de sécurité, malgré la consolidation en cours dans une expérience unifiée.
• Le produit de Microsoft est affecté par le manque d'options de déploiement sur site pour sa console de gestion EPP, ce qui le rend inadapté aux organisations qui n'ont pas de stratégie "cloud-first".

Vous pouvez accéder au rapport.

Source : ​​Microsoft is a Leader in the 2023 Gartner® Magic Quadrant for Endpoint Protection Platforms | Microsoft Security Blog

Les règles d’accès conditionnel de Microsoft Entra ID sont un rempart essentiel dans l’approche Zero Trust. Néanmoins, leur élaboration demande une véritable ingénierie pour s’assurer de la meilleure couverture de sécurité, de la meilleure expérience utilisateur et de la contextualisation de l’organisation.

Certains services utilisés par les services IT requierent parfois d’être positionnés dans les Exclusions en fonction des règles et des scénarios.

Par exemple, la fonctionnalité d’activation de Windows basée sur un abonnement comme Microsoft 365 E3/E5 ou Windows 10 E3/E5 (Windows Subscription Activation) doit permettre un accès sans contrainte (MFA, etc.). Ainsi chez un client, j’ai fait face à cette problématique car l’entreprise avait mis en place une règle d’accès conditionnel demandant une authentification à facteurs multiples (MFA) pour tous les services Cloud. Pour être honnête avec vous, je me bas contre cette règle qui ne protège que partiellement l’organisation et rend surtout l’expérience utilisateur très mauvaise sur des postes gérés (Microsoft Entra Hybrid Join ou enregistrés dans Microsoft Intune). Par exemple, elle a tendance à bloquer la synchronisation du service Microsoft Intune sur un poste géré avec une erreur visible dans la partie Accès Compte Professionnel – Informations.

Pour éviter ce problème, je recommande en général de créer une règle d’accès conditionnel qui comprend soit la demande du MFA soit un poste géré et conforme.

Néanmoins, certaines organisations continuent de vouloir demander du MFA dans toutes les conditions. Dans cette situation, il faut exclure un certain nombre d’applications Cloud de la stratégie. C’est donc le cas lorsque l’organisation utilise Windows Subscription Activation pour activer la licence Windows Entreprise de ses postes. Dans ce cas, vous devez exclure l’application avec l’identifiant suivant : 45a330b1-b1ec-4cc1-9161-9f03992aa49f

• Sur les anciens Tenants Microsoft Entra ID : Windows Store for Business
• Sur les nouveaux tenants Microsoft Entra ID : Universal Store Service APIs and Web Application

A l’occasion de l’Ignite 2023, Microsoft a annoncé le choix de basculer son moteur d’évaluation de vulnérabilités proposés dans Microsoft Defender for Cloud de Qualys vers Microsoft Defender Vulnerability Management.

Aujourd’hui, Microsoft annonce le retrait de Qualys des plans de service de Defender for Server et Defender for Containers.

A partir du 1er mai 2024, l'offre Qualys intégrée dans le plan Defender for Servers sera retirée. Tous les nouveaux clients de Defender for Servers se verront proposer l'option Qualys intégrée jusqu'au 15 janvier 2024. Après le retrait, les clients qui souhaitent continuer à utiliser Qualys peuvent choisir de s'abonner à Qualys Vulnerability Management, disponible en tant qu'option BYOL (Bring Your Own License).

De même, dans le cadre du plan Defender for Containers, l'offre intégrée de Qualys sera retirée d'ici le 1er mars 2024. Tous les nouveaux clients bénéficieront automatiquement de Defender Vulnerability Management.

Vous pouvez consulter le plan de transition pour les serveurs et les conteneurs.

Source : Defender for Cloud - Qualys retirement plan for Vulnerability assessment on cloud workloads - Microsoft Community Hub

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for IoT. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• L'ancienne console de gestion On-Prem ne pourra plus être téléchargée après le 1er janvier 2025. Microsoft recommande de passer à la nouvelle architecture en utilisant toute la gamme des API On-Prem et dans le Cloud avant cette date.
  • Les versions de capteurs publiées après le 1er janvier 2025 ne pourront pas être gérées par une console de gestion On-Prem.
  • Les versions du logiciel du capteur publiées entre le 1er janvier 2024 et le 1er janvier 2025 continueront à prendre en charge une version de la console de gestion On-Prem.
  • Les capteurs à air-gapped qui ne peuvent pas se connecter au Cloud peuvent être gérés directement via la console du capteur ou à l'aide d'API REST.
• Lors de l'exécution d'une mise à jour de capteur à partir du portail Azure, une nouvelle barre de progression apparaît dans la colonne Version du capteur pendant le processus de mise à jour. Au fur et à mesure que la mise à jour progresse, la barre indique le pourcentage de la mise à jour effectuée, ce qui vous indique que le processus est en cours, qu'il n'est pas bloqué ou qu'il a échoué.

Réseaux OT

• Nouvelle architecture pour le support des réseaux hybrides et air-gapped. Ces réseaux hybrides et air-gapped sont courants dans de nombreux secteurs, tels que l'administration, les services financiers ou la fabrication industrielle. Les réseaux air-gapped sont physiquement séparés d'autres réseaux externes non sécurisés, tels que les réseaux d'entreprise ou l'internet, et sont moins vulnérables aux cyber-attaques. Toutefois, les réseaux air-gapped ne sont pas totalement sûrs, peuvent toujours être violés et doivent être sécurisés et surveillés avec soin.

• Les capteurs du réseau OT (version 23.2.0) fonctionnent désormais sous Debian 11. L'utilisation de Debian comme base pour le logiciel de nos capteurs permet de réduire le nombre de paquets installés sur les capteurs, ce qui augmente l'efficacité et la sécurité de vos systèmes. En raison du changement de système d'exploitation, la mise à jour du logiciel de votre ancienne version vers la version 23.2.0 peut être plus longue et plus lourde que d'habitude.
• À partir de la version 23.2.0, l'utilisateur privilégié par défaut installé avec les nouvelles installations de capteurs OT est l'utilisateur admin au lieu de l'utilisateur support. Si vous mettez à jour le logiciel de votre capteur d'une version précédente à la version 23.2.0, l'utilisateur de support privilégié est automatiquement renommé en admin. Si vous avez enregistré vos identifiants d'assistance, par exemple dans des scripts CLI, vous devez mettre à jour vos scripts pour utiliser le nouvel utilisateur admin à la place.

Intégrations

• Lors de l'intégration avec Microsoft Sentinel, la table SecurityAlert de Microsoft Sentinel n'est désormais mis à jour immédiatement que pour les changements d'état et de gravité des alertes. Les autres modifications des alertes, telles que la dernière détection d'une alerte existante, sont regroupées sur plusieurs heures et n'affichent que la dernière modification apportée.

Plus d’informations sur : What's new in Microsoft Defender for IoT - Microsoft Defender for IoT | Microsoft Learn

Microsoft vient de réaliser une série d’annonces autour de Copilot, l’IA Générative de Microsoft notamment basée sur des modèles d’Open AI et particulièrement sur sa déclinaison dans Microsoft 365.

Les premières annonces concernent les clients Microsoft 365 du monde entreprise avec notamment :

• La disponibilité générale de Copilot pour Microsoft 365 pour les petites entreprises avec des licences Microsoft 365 Business Premium et Business Standard pour acheter entre une et 299 licences pour 30 USD /mois/utilisateur.
• Microsoft supprime la limite minimum de 300 licences pour l’achat de licences Copilot.
• Microsoft supprime la limitation de l’achat de licence M365 Copilot liée à Microsoft 365. Les clients qui ont actuellement des licences Office 365 E3 et E5 peuvent acquérir des licences.
• L’achat des licences peut se faire au travers du réseau de partenaires Cloud Solution Provider (CSP). Il y aura notamment de nouvelles fonctionnalités liées à Copilot dans Microsoft 365 Lighthouse.
• Microsoft annonce l’intégration de Copilot pour Microsoft 365 dans Windows en offrant des intégrations fortes dans les fonctionnalités du système d’exploitation.
• D’un point de vue engagement sur la résidence des données, Copilot pour Microsoft 365 sera ajouté en tant que charge de travail couverte par les engagements de résidence des données dans les conditions d'utilisation des produits Microsoft et les modules complémentaires Microsoft Advanced Data Residency (ADR) et capacités Multi-Geo.

La seconde annonce concerne l’introduction de Copilot Pro, un nouvel abonnement premium qui cible les utilisateurs finaux qui auraient souscrit un abonnement Microsoft 365 Personal and Family. Ce dernier offre des capacités similaires que Microsoft 365 Copilot dans un usage personnel pour 20 USD/mois/utilisateur. On retrouve notamment les capacités fondamentales, la recherche internet, la protection de données, l’accès au modèle de priorité et Copilot dans la suite Office.

La troisième annonce est la disponibilité générale de l’application Copilot sur les plateformes Android et iOS. L'application Copilot vous permet de bénéficier de la puissance de Copilot en déplacement, car vos requêtes et chats Copilot se déplacent entre votre téléphone et votre PC. L'application mobile Copilot offre les mêmes possibilités que Copilot sur votre PC, y compris l'accès à GPT-4, Dall-E 3 pour la création d'images, et la possibilité d'utiliser les images de votre téléphone lorsque vous discutez avec Copilot.

La dernière annonce est celle des Copilot GPTs vous permettant de personnaliser le comportement de Microsoft Copilot sur un sujet qui vous intéresse particulièrement.  Une série de GPTs Copilot seront déployés à partir d'aujourd'hui avec des objectifs spécifiques tels que le fitness, les voyages, la cuisine etc..

Plus d’informations sur : Bringing the full power of Copilot to more people and businesses - The Official Microsoft Blog

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Gestion du périphérique

• [Général] Mise à jour des rapports pour Microsoft Defender for Endpoint connector afin d’afficher le nombre d'appareils qui ont été intégrés à Defender for Endpoint en fonction de l'état de Defender CSP, et s'aligne visuellement sur d'autres vues de rapport récentes qui utilisent une barre pour représenter le pourcentage d'appareils avec différentes valeurs d'état.

• [Général] Support des variables dans les notifications par courrier électronique de non-conformité afin de personnaliser les notifications par courrier électronique qui sont envoyées lorsque l'appareil d'un utilisateur devient non conforme. Les variables incluses dans le modèle, telles que {{username}} et {{devicename}} sont remplacées par le nom d'utilisateur ou le nom de l'appareil dans l'e-mail que les utilisateurs reçoivent. Les variables sont prises en charge par toutes les plateformes.

Configuration du périphérique

• [Windows] Microsoft publié une nouvelle version de la baseline Intune pour Microsoft Edge en version v117. Cette mise à jour prend en charge les paramètres récents afin que vous puissiez continuer à maintenir les meilleures pratiques de configuration pour Edge.

Gestion des applications

• [Général] L'application protégée suivante est désormais disponible pour Microsoft Intune : Akumina EXP by Akumina Inc.
• [Windows] La limite de taille des applications fixée auparavant à 8GB a été passée à 30GB.
• [Windows] Windows MAM est pris en charge dans les environnements Cloud gouvernement et dans 21 Vianet en Chine.
• [macOS] Vous pouvez désormais télécharger et déployer des applications non gérées de type PKG sur des appareils macOS gérés à l'aide de l'agent Intune MDM. Cette fonctionnalité vous permet de déployer des installateurs PKG personnalisés, tels que des applications non signées et des packages de composants. Vous pouvez ajouter une application PKG dans le centre d'administration Intune en sélectionnant Apps > macOS > Add > macOS app (PKG) pour le type d'application.

Sécurité du périphérique

• [Général] Microsoft a ajouté une nouvelle mesure de santé pour Microsoft Tunnel nommée Révocation du certificat TLS. Cette nouvelle mesure de santé indique l'état du certificat TLS des serveurs du tunnel en accédant à l'adresse OCSP (Online Certificate Status Protocol) ou CRL telle que définie dans le certificat TLS. Vous pouvez voir l'état de ce nouveau contrôle avec tous les contrôles de santé dans le centre d'administration Microsoft Intune en naviguant vers Tenant administration > Microsoft Tunnel Gateway > Health status, en sélectionnant un serveur, puis en sélectionnant l'onglet Health check.
• [Android] Intune prend désormais en charge la configuration d'une liste d'exclusion de proxy lorsque vous configurez un profil VPN Microsoft Tunnel pour les périphériques pour Android. Avec une liste d'exclusion, vous pouvez exclure des domaines spécifiques de votre configuration de proxy sans nécessiter l'utilisation d'un fichier PAC (Proxy Auto-Configuration). La liste d'exclusion de proxy est disponible à la fois avec Microsoft Tunnel et Microsoft Tunnel pour MAM.  La liste d'exclusion de proxy est prise en charge dans les environnements qui utilisent un seul proxy. La liste d'exclusion n'est pas adaptée ou prise en charge lorsque vous utilisez plusieurs serveurs proxy, pour lesquels vous devez continuer à utiliser un fichier .PAC.

• [Windows] Microsoft a ajouté deux paramètres au profil Microsoft Defender Antivirus pour la stratégie Antivirus de sécurité des terminaux qui s'applique aux appareils Windows 10 et Windows 11. Ces deux paramètres fonctionnent ensemble pour activer la prise en charge d'une heure de démarrage aléatoire de l'analyse antivirus d'un appareil, puis pour définir une plage de temps pendant laquelle le démarrage aléatoire de l'analyse peut commencer. Ces paramètres sont pris en charge avec les appareils gérés par Intune et les appareils gérés par le scénario de gestion des paramètres de sécurité de Defender for Endpoint.
  • RandomizeScheduleTaskTimes - Ce paramètre active la randomisation de l'heure de début de l'analyse sur les dispositifs.
  • SchedulerRandomizationTime - Ce paramètre permet de définir des limites pour l'heure de démarrage aléatoire.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Exchange Server 2019 a atteint la date de fin de support principal (9 janvier 2024). Microsoft prévoit encore deux Cumulative Updates : CU14 publié prochainement et CU15 d’ici la fin de l’année. Ceci signifie qu’après cela, Microsoft ne fournira plus :

• Le support gratuit ou payant
• Les correctifs de bugs découverts qui peuvent impacter la stabilité du produit
• Les correctifs de sécurité pour des vulnérabilités découvertes.
• Les mises à jour de time zone.

L’article donne un petit teasing sur ce qui doit arriver après Exchange Server 2019.

Plus d’informations sur : Mainstream Support for Exchange Server 2019 Ends Today - Microsoft Community Hub

Ce mois-ci, Microsoft a publié les KB5034440 et KB5034441 pour Windows 10 et Windows 11 afin de corriger une vulnérabilité dans Windows Recovery Environnment (WinRE) correspondant à la petite partition de récupération créée par Windows lors de l’installation. De nombeuses personnes ont pu constaté que l’installation de cette mise à jour pouvait renvoyer l’erreur 0x80070643.

Il peut y avoir de nombreux problèmes derrière ce code d’erreur. Le plus commun et documenter par Microsoft est le manque d’espace disque sur la partie WinRE et vous pouvez constater des messages comme suit dans les journaux : CBS_E_INSUFFICIENT_DISK_SPACE. En effet, la mise à jour requiert 250 Mo pour s’installer.

Microsoft essaie de trouver une solution à ce problème et fournira ultérieurement une mise à jour qui corrige la logique de détection.

Néanmoins, vous pouvez tenter de suivre la procédure de redimensionnement de la partition WinRE :

1. Ouvrez une invite de commande en tant qu’administrateur
2. Pour vérifier l'état de WinRE, exécutez reagentc /info. Si WinRE est installé, il doit y avoir un "Windows RE location" avec un chemin d'accès au répertoire WinRE. Voici un exemple : "Windows RE location : [file://%3f/GLOBALROOT/device/harddisk0/partition4/Recovery/WindowsRE]\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE." Ici, le nombre qui suit "harddisk" et "partition" est l'index du disque et de la partition sur lesquels se trouve WinRE.
3. Pour désactiver WinRE, exécutez reagentc /disable
4. Réduisez la partition du système d'exploitation et préparez le disque pour une nouvelle partition de récupération.
   1. Pour réduire la partition du système d'exploitation, exécutez diskpart
   2. Exécuter list disk
   3. Pour sélectionner le disque du système d'exploitation, exécutez sel disk <index du disque du système d'exploitation> Il doit s'agir du même index de disque que WinRE.
   4. Pour vérifier la partition sous le disque du système d'exploitation et trouver la partition du système d'exploitation, exécutez list part
   5. Pour sélectionner la partition du système d'exploitation, exécutez sel part <index de la partition du système d'exploitation>.
   6. Exécutez shrink desired=250 minimum=250
   7. Pour sélectionner la partition WinRE, exécutez sel part <Index de la partition WinRE>
   8. Pour supprimer la partition WinRE, exécutez delete partition override
5. Créez une nouvelle partition de récupération.
   1. Tout d'abord, vérifiez si le style de partition du disque est GUID Partition Table (GPT) ou Master Boot Record (MBR). Pour ce faire, exécutez la commande list disk. Vérifiez s'il y a un astérisque (*) dans la colonne "Gpt".  S'il y a un astérisque (*), le lecteur est GPT. Sinon, il s'agit d'un disque MBR.
      1. Si votre disque est GPT, exécutez create partition primary id=de94bba4-06d1-4d40-a16a-bfd50179d6ac suivi de la commande gpt attributes =0x8000000000000001
      2. Si votre disque est de type MBR, exécutez la commande create partition primary id=27
   2. Pour formater la partition, exécutez format quick fs=ntfs label="Windows RE tools"
   3. Pour confirmer que la partition WinRE est créée, exécutez list vol
   4. Pour quitter diskpart, exécutez exit
   5. Pour réactiver WinRE, exécutez reagentc /enable
   6. Pour confirmer l'emplacement d'installation de WinRE, exécutez reagentc /info

Notez que l’espace disque disponible n’est pas le seul problème pouvant générer cette erreur et que la procédure ci-dessus ne fait pas nécessairement office de solution pour tous les cas.

Vous pouvez aussi temporairement bloquer/cacher la mise à jour via l’outil de Microsoft.

Plus d’informations : KB5034441 : Mise à jour de l’environnement de récupération Windows pour Windows 10, version 21H2 et 22H2 : 9 janvier 2024 - Support Microsoft

Microsoft a annoncé le retrait dans la première partie de l’année 2024 d’une expérience de déploiement relative au déploiement via Apple Device Enrollment (ADE) dans Microsoft Intune. En effet, l’expérience permettant d’exécuter le portail d’entreprise dans un mode d’application unique (Single App Mode) jusqu’à l’authentification, n’est plus supporté par Apple. Microsoft a depuis développé le mode Setup Assistant avec authentification moderne.

Vous devez donc migrer vos profils d’enregistrement existant avec les options :

• Authentication Method à Setup Assistant with modern authentication
• Await final configuration à Yes (si vous souhaitez une expérience verrouillée comme vous l’aviez avec la méthode précédente).

Si vous n’opérez pas ce changement, l’enregistrement des périphériques échouera s’ils sont assignés avec l’option « Run Company Portal in Single App Mode until authentication » et Company Portal en méthode d’authenfication.

Plus d’informations sur : Transforming the iOS/iPadOS ADE experience in Microsoft Intune - Microsoft Community Hub

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Microsoft Defender XDR Unified RBAC est maintenant disponible et prend en charge tous les scénarios Defender for Office 365 qui étaient auparavant contrôlés par les autorisations de messagerie et de collaboration et les autorisations Exchange Online.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a publié le guide des opérations de sécurité pour Microsoft Defender for Office 365 pour décrire l’ensemble des activités à réaliser avec notamment :

• Les activités journalières
  • Supervision de la liste des incidents
  • Gestion des détections faux positifs et faux négatifs
  • Revue des campagnes de phishing et de logiciels malveillants qui ont abouti à la livraison de l’email
• Les activités hebdomadaires
  • Revue des tendances de détection des e-mails dans les rapports Defender for Office 365
  • Suivi et réponse aux menaces émergentes à l’aide de Threat Analytics
  • Examen des utilisateurs les plus ciblés pour les logiciels malveillants et le phishing
  • Passage en revue les principales campagnes de malware et de phishing qui ciblent votre organisation
• Les activités non récurrentes
  • Investigation manuelle et suppression des e-mails
  • Recherche des menaces de manière proactive
  • Revue des configurations de stratégie Defender pour Office 365
  • Examen des détections d'usurpation d'identité (spoof) et d’impersonnalisassions d'identité (impersonation)
  • Vérification de l'adhésion au compte prioritaire

Plus d’informations sur : Security Operations Guide for Defender for Office 365 | Microsoft Learn

Le beta-testing de la certification sur Microsoft Fabric Analytics a débuté. L’examen Exam DP-600: Implementing Analytics Solutions Using Microsoft Fabric est concerné avec les connaissances suivantes :

• Planifier, implémenter et gérer une solution pour l’analytique données (10 à 15 %)
• Préparer et servir des données (40 à 45 %)
• Implémenter et gérer des modèles sémantiques (20 à 25 %)
• Explorer et analyser des données (20 à 25 %)

Cet examen permettra d’acquérir le statut Microsoft Certified: Fabric Analytics Engineer Associate

Vous pouvez alors utiliser gratuitement le code suivant : DP600Winfield.
Il doit être utilisé avant le 25 janvier 2024.

Il n’y a que 300 places disponibles.

Source : Validate your skills with our new certification for Microsoft Fabric Analytics Engineers - Microsoft Community Hub