Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Gestion du périphérique

• Support des PCs Cloud joints à Azure Active Directory proposant soit que le périphérique soit présents sur un réseau hébergé par Microsoft soit votre propre réseau en utilisant une connexion réseau On-Premises.
• Lors de création d’une stratégie de provisionnement, l’administrateur peut maintenant configurer la langue installée et la région associée pour les nouveaux PCs Cloud. Auparavant, les PCs Cloud étaient créés avec English (United States).
• Preview de la fonctionnalité de restauration à point dans le temps (Point-in-time restore). Les administrateurs et les utilisateurs peuvent désormais restaurer un PC Cloud à un état antérieur avec plusieurs points de restauration à court et à long terme.
• Preview permettant aux utilisateurs Cloud PC de choisir une résolution d'écran plus élevée lorsqu'ils se connectent à leur PC Cloud à partir de la page d'accueil.

Supervision et Dépannage

• L'action à distance d'Intune pour collecter des diagnostics recueille désormais des détails supplémentaires sur les PC Windows 365 Cloud et notamment les clés :
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\AddIns\WebRTC Redirector
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Teams\

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

L’équipe Microsoft Learn vient d’annoncer l’arrivée prochaine (Avril 2022) d’une nouvelle certification dédiée à l’architecture Cybersécurité. Microsoft Certified: Cybersecurity Architect Expert permettra d’évaluer :

• La conception d’une stratégie et une architecture Zero Trust, y compris des stratégies de sécurité pour les données, les applications, la gestion des accès, l'identité et l'infrastructure.
• Les stratégies de gouvernance, de risque et de conformité (GRC) et les stratégies d'opérations de sécurité.
• La collaboration avec les dirigeants et les acteurs de la sécurité informatique, de la confidentialité et des rôles connexes pour mettre en œuvre une stratégie de cybersécurité à l'échelle de l'organisation qui réponde aux besoins de l'entreprise.

Ce statut sera délivré par l’acquisition des certifications suivantes :

• Exam SC-100: Microsoft Cybersecurity Architect
• L’une des certifications suivantes :
  • Exam SC-200: Microsoft Security Operations Analyst
  • Exam SC-300: Microsoft Identity and Access Administrator
  • Exam AZ-500: Microsoft Azure Security Technologies
  • Exam MS-500: Microsoft 365 Security Administration

Plus d'informations sur : Coming soon: Cybersecurity Architect Expert - Microsoft Tech Community

Un problème a touché la fonction de réinitialisation (Wipe) des périphériques Windows 10 et Windows 11 utilisée par les outils de gestion des périphériques mobiles (MDM). Le problème touche les versions suivantes de Windows :

• Windows 11, version 21H2
• Windows 10, version 21H2, 21H1, 20H2

Il survenait lorsque vous essayez de réinitialiser un appareil Windows avec des applications qui ont des dossiers avec des données reparse, comme OneDrive ou OneDrive for Business, les fichiers qui ont été téléchargés ou synchronisés localement à partir de OneDrive peuvent ne pas être supprimés lorsque vous sélectionnez l'option " Remove everything".

Ce problème a été résolu dans le cadre de la récente mise à jour de Windows publiée en Mars 2022 pour les versions de Windows concernées. Vous devrez installer la mise à jour appropriée avant d'effectuer une réinitialisation du dispositif pour éviter tout impact futur. Ce problème peut avoir eu un impact sur tous vos utilisateurs qui ont réinitialisé leur(s) périphérique(s) Windows via un effacement à distance lancé sur Microsoft Intune.

Pour effacer le dossier Windows.old, vous pouvez utiliser la procédure suivante : KB5012334—Delete the Windows.old folder using Storage sense in the Settings app (microsoft.com)

Microsoft a publié le correctif KB12896009 de Microsoft Endpoint Configuration Manager 2111 (MECM/SCCM). Ce correctif est applicable si vous avez installé les packages suivants (GUIDs) :

• 653BACCA-5BCE-4B4C-9A83-10932A561F71
• B07144F6-3B8E-4587-B1F0-BB47DA54C566
• C77888E5-7499-4885-9EED-811BB2D958C0
• 44CE0720-6C46-4554-89CF-C9713E9C06C6

Il corrige les problèmes suivants :

• La console Configuration Manager ne s'ouvre pas après l'installation d'une version mise à jour d'une extension de console requise.
• Les utilisateurs qui n'ont pas l'autorisation de lire les paramètres d'état du client sur l'objet Site ne peuvent pas voir le tableau de bord client health dashboard.
• Windows LEDBAT n'est pas automatiquement activé ou désactivé pour un point de distribution lors de la sélection du paramètre Adjust the download speed to use the unused network bandwidth (Windows LEDBAT) dans les propriétés du site.
• L'enregistrement automatique du module PowerShell de Configuration Manager (ConfigurationManager.psd1) peut déclencher une fausse alerte positive de la part d'un logiciel de sécurité.
• La console Configuration Manager autorise désormais les caractères génériques lors de la définition des règles Microsoft Defender Attack Surface Reduction (ASR).
• Les requêtes CMPivot contre l'entité Processor peuvent échouer avec une erreur "Invalid query".
• Les clients qui ne sont pas inscrits à Intune enregistreront l'erreur suivante dans le fichier execmgr.log après avoir reçu une stratégie de séquence de tâches : Failed to check enrollment url, 0x00000001.
• Le visualisateur de fichiers journaux OneTrace (CMPowerLogViewer.exe) peut se terminer de manière inattendue lors de l'ouverture d'un fichier journal. 
• Le lien  Show Table dans le tableau de bord Windows Servicing dashboard affiche des informations répétitives après avoir sélectionné différentes collections.
• La tâche de post-installation Installer le service SMS_EXECUTIVE affiche l'état Terminé avec avertissement même si elle a réussi et qu'aucun avertissement n'est enregistré dans le fichier sitecomp.log.
• Les clients interrompent désormais la communication avec une Cloud Management Gateway s'ils effectuent cinq tentatives de contact infructueuses en cinq minutes.
• Si un ordinateur client est hors ligne pendant plusieurs jours avec une demande de resynchronisation de message d'état en attente, il recevra des stratégies en double pour la resynchronisation lorsqu'il reviendra en ligne. Cela entraîne une resynchronisation répétée des mêmes messages.
• Lorsque la console Configuration Manager est installée sur un ordinateur doté d'un processeur x86, elle ne détecte pas l'état d'installation des extensions de console.
• Le message de notification des fonctionnalités cloud intégrées continue de s'afficher dans la console Configuration Manager même après avoir été rejeté.
• Une session de contrôle à distance ne s'affiche pas comme prévu lorsque l'ordinateur cible possède plusieurs moniteurs et que l'affichage a une échelle personnalisée supérieure à 125 %.
• Les clients basés sur Internet ne parviennent pas à s'enregistrer sur la Cloud Management Gateway lorsque le Management Point est hébergé sur un système de site distant. Cela se produit pour les clients installés à l'aide d'une séquence de tâches et d'un support de démarrage via une connexion Internet.
• Après la mise à jour de Configuration Manager version 2111, les stratégies client pour la gestion à distance du pare-feu Windows Defender qui étaient précédemment désactivées peuvent être réactivées.

Il contient aussi :

• KB 12709700 Update for Microsoft Endpoint Configuration Manager version 2111
• KB 12959506 Client update for Configuration Manager current branch, version 2111

.

Plus d’informations sur :  Update rollup for Microsoft Endpoint Configuration Manager version 2111 - Configuration Manager | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Les versions 220, et 221 apportent les changements suivants :

• Le nouveau collecteur de journaux pour la découverte Cloud (Cloud Discovery) a été mis à jour vers Ubuntu 20.04.
• Public Preview du connecteur Egnyte, ce qui vous donne une meilleure visibilité et un meilleur contrôle sur la façon dont l’application Egnyte est utilisée dans votre entreprise.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Vous avez peut-être rencontré ce problème avec Microsoft Endpoint Configuration Manager 2006, 2010, 2103, 2107, et 2111. Il concerne les applications mises à disposition sur les périphériques. Ces applications ne sont plus visibles dans le Centre Logiciels / Software Center bien que le client ait reçu la stratégie et que les entrées existent dans la base WMI. Le problème survient si une application utilise une condition globale qui a été modifiée après avoir été référencée dans l’application déployée. La stratégie serveur pour la condition globale n’est pas mis à jour correctement par conséquent le téléchargement de la stratégie côté client échoue à cause d’un problème de vérification de hash.

Beaucoup d’entreprises ont constaté le problème avec la version 2111 car Microsoft a modifié la condition globale par défaut Intune O365 ProPlus management et les applications Microsoft 365 Apps créées avec l’assistant, ont donc rencontré ce problème.

La solution de contournement consiste à modifier toute application faisant référence à la condition globale, ce qui entraîne la mise à jour de la politique de la condition globale. Une simple écriture d’un commentaire dans l’application contourne le problème par la création d’une révision.

Il est à noter que le problème n’est pas résolu avec les derniers rollups.

Une fois n’est pas coutume, Microsoft Defender for Endpoint est impacté par une faille de sécurité CVE-2022-23278. Cette vulnérabilité de classe importante d'usurpation a un impact sur toutes les plateformes (Windows, macOS, Linux, Android, iOS etc.). C’est Falcon Force qui a divulgué secrètement pour assurer une correction coordonnée des vulnérabilités. Microsoft confirme qu’aucune attaque n’a été reconnue liée à cette vulnérabilité.

Pour corriger cette vulnérabilité, vous devez simplement installer :

• la mise à jour cumulative de mars 2022 pour Windows
• les mises à jour d’applications pour iOS et Android
• la mise à jour de sécurité pour macOS via le système automatique
• la mise à jour de sécurité pour Linux via une installation manuelle

Guidance for CVE-2022-23278 spoofing in Microsoft Defender for Endpoint – Microsoft Security Response Center

Je vous propose un petit aperçu des nouveautés en février 2022 autour de la gouvernance, de la conformité et de la protection de données (MIP, etc.).

On retrouve notamment :

Etiquettes de confidentialité (Sensitivity Labels)

• Nouvelles directives Why choose MIP built-in labeling over the AIP add-in for Office apps si vous utilisez le client d'étiquetage unifié Azure Information Protection (AIP). Cette page comprend des informations sur la nouvelle Private Preview pour les applications Office avec de nouveaux paramètres pour les politiques d'étiquetage automatique :
  • Des paramètres supplémentaires pour les e-mails afin de prendre en charge l'application systématique d'une étiquette de sensibilité adaptée et d'appliquer le chiffrement aux e-mails reçus de l'extérieur de l'organisation.
  • Les exclusions pour des instances spécifiques (utilisateurs, groupes, sites) sont prises en charge en utilisant la nouvelle option Exclus lorsque la sélection par défaut de Tous est spécifiée pour Inclus.
• Les périphériques mobiles (iOS et Android) prennent en charge la coédition lorsque vous disposez des versions minimales et que vous choisissez de participer à cette Preview. Il faut mettre à jour la version l'app office ou Word/Excel/PowerPoint vers la version 16.0.14931+ sur Android ou 2.58.207+ sur iOS. Vous devez aussi activer la coédition sur le tenant et faire une demande pour la Public Preview : Consent to Enable co-authoring for files encrypted with sensitivity labels on mobile (microsoft.com)

• La prise en charge de la définition du type de lien de partage par défaut est étendue aux documents individuels dans SharePoint et OneDrive.
• Le centre d'administration de Teams prend désormais en charge les étiquettes de conteneur (étiquettes de sensibilité avec la portée des groupes et des sites).

 Gestion des enregistrements et de la rétention

• Les Adaptative Scopes pour les stratégies de rétention et les stratégies d'étiquettes de rétention sont maintenant disponibles en version finale (GA). Les instructions pour la configuration d'une Adaptative Scope incluent maintenant plus d'informations pour les portées de site SharePoint : Référence du billet de blog pour l'utilisation des propriétés de site personnalisées et comment utiliser la propriété de site SiteTemplate pour inclure ou exclure des types de sites spécifiques avec le constructeur de requêtes avancées.
• La recherche de politiques dans la solution de gouvernance de l'information est désormais disponible de manière générale (GA).
• Alternative PowerShell au paramètre de gestion des enregistrements qui permet aux utilisateurs de supprimer des éléments étiquetés dans SharePoint et OneDrive en utilisant AllowFilesWithKeepLabelToBeDeletedSPO et AllowFilesWithKeepLabelToBeDeletedODB à partir de Get-PnPTenant et Set-PnPTenant.

Advanced eDiscovery

• Gérer les modèles custodian communications dans Advanced eDiscovery - Les gestionnaires d'eDiscovery peuvent maintenant créer des modèles custodian communications qui peuvent être utilisés dans tous les cas Advanced eDiscovery de l'organisation.
• Gestion des agents d'émission dans Advanced eDiscovery - Les gestionnaires d'eDiscovery peuvent ajouter une liste d'agents d'émission qui peuvent être assignés aux custodian communications dans tous les cas Advanced eDiscovery de l'organisation.

Gestion de la conformité

• Une nouvelle fonctionnalité vous recommande les modèles d'évaluation premium qui sont les plus intéressant en fonction de l'industrie et la région du client.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Gartner vient de sortir un nouveau Magic Quadrant pour les plateformes de services de contenu.  Pour la 5^ème année consécutive, Microsoft ressort avec Hyland parmi les leaders du marché avec sa solution SharePoint.

Parmi les forces, on retrouve :

• Intégration de la suite de productivité : Les services de contenu fournis par Microsoft, sous-tendus principalement par SharePoint, sont étroitement intégrés dans la plupart des aspects de la suite et constituent le référentiel de contenu par défaut pour Microsoft 365.
• SaaS : Microsoft 365 est une plateforme SaaS qui bénéficie du cycle continu de développement et de mise à jour que cela implique. Il s'agit d'un service mature offrant de nombreuses options de résidence des données et des contrôles de confidentialité supplémentaires, tels que des clés de chiffrement gérées par le client.
• Un écosystème de partenaires tiers : Il est facile de trouver des ressources de mise en œuvre et de formation grâce au vaste réseau de partenaires de Microsoft. Ces partenaires fournissent des solutions et des services conçus pour améliorer Microsoft 365. Un programme de partenariat dédié aux services de contenu Microsoft 365 est en place et actif. De nombreux produits, notamment des adaptateurs d'intégration pour le cadre d'automatisation de Microsoft (Power Automate), peuvent être ajoutés directement à partir de la boutique d'applications Microsoft, ce qui favorise l'activité des développeurs citoyens.

Les faiblesses suivantes sont identifiées :

• Capture de contenu limitée : SharePoint Syntex offre des capacités de capture de contenu de base qui s'apparentent davantage à un service moderne de "desktop scanning" qu'aux capacités de capture avancées des concurrents de Microsoft, qui sont conçues pour répondre aux besoins de capture et de traitement de contenu importants et complexes d'une entreprise.
• Limites architecturales : SharePoint impose des limites de dimensionnement architectural qui ne sont pas présentes dans d'autres plateformes CSP de premier plan. La topologie de SharePoint, basée sur les sites, et les limites associées à ces sites, rendent plus difficile la conception de processus complexes, centrés sur le contenu. Cela est particulièrement vrai lorsqu'il s'agit de prendre en charge des cas d'utilisation transactionnels ou d'archivage de gros volumes nécessitant, par exemple, des milliards de documents. Bien qu'il ne s'agisse pas d'une limitation flagrante, elle nécessite une réflexion supplémentaire sur la conception, ce qui peut avoir un impact sur la convivialité.
• Étalement du contenu : Les clients indiquent régulièrement à Gartner que Microsoft 365 facilite la prolifération du contenu dans leurs organisations. Les partenaires de l'écosystème Microsoft ont également reconnu ce problème. Il existe un nombre croissant d'outils disponibles auprès de fournisseurs tiers (moyennant un coût supplémentaire) pour aider les administrateurs à gérer le cycle de vie des sites SharePoint et des canaux Teams. 

Lire la copie du rapport

Plus d’informations sur : Microsoft recognized as a Leader in the 2021 Gartner® Magic Quadrant for Content Services Platforms - Microsoft 365 Blog

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Defender for Containers ne protégeait auparavant que les charges de travail Kubernetes exécutées dans Azure Kubernetes Service. Microsoft a maintenant étendu la couverture de protection pour inclure les clusters Kubernetes compatibles avec Azure Arc.
• Le nouveau processus d’onboarding automatisé des environnements GCP vous permet de protéger les charges de travail GCP avec Microsoft Defender for Cloud. Defender for Cloud protège vos ressources avec les plans suivants :
  • Les fonctionnalités CSPM de Defender for Cloud s'étendent aux ressources GCP. Ce plan sans agent évalue les ressources GCP en fonction des recommandations de sécurité spécifiques à GCP, qui sont fournies avec Defender for Cloud. Les recommandations GCP sont incluses dans le score de sécurité, et les ressources seront évaluées pour leur conformité à la norme intégrée GCP CIS. La page d'inventaire des ressources de Defender for Cloud est une fonctionnalité multi-cloud qui vous aide à gérer les ressources sur Azure, AWS et GCP.
  • Microsoft Defender for servers apporte la détection des menaces et des défenses avancées à vos instances de calcul GCP. Ce plan comprend la licence intégrée pour Microsoft Defender for Endpoint, l'analyse d'évaluation de la vulnérabilité, etc.
• Preview du plan Microsoft Defender for Azure Cosmos DB, une couche de sécurité native d'Azure qui détecte toute tentative d'exploitation des bases de données des comptes Azure Cosmos DB. Microsoft Defender for Azure Cosmos DB détecte les injections SQL potentielles, les mauvais acteurs issus de la base de connaissances de Microsoft Threat Intelligence, les modèles d'accès suspects et l'exploitation potentielle de la base de données par le biais d'identités compromises ou d'initiés malveillants.
• Suite à l’annonce précédente pour GCP, Microsoft Defender for Containers a étendu sa protection contre les menaces, son analyse comportementale et ses politiques de contrôle d'admission intégrées à Kubernetes aux clusters standard de Google Kubernetes Engine (GKE). Vous pouvez facilement intégrer tout cluster GKE Standard existant ou nouveau dans l’environnement grâce aux capacités d'intégration automatique.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft vient de mettre à disposition la Technical Preview 2203 (5.0.9075.1000) de Microsoft Endpoint Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2111 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

Microsoft Endpoint Configuration Manager TP 2203 comprend les nouveautés suivantes :

Administration

• La console Configuration Manager propose désormais un thème sombre (Dark). Pour utiliser ce thème, sélectionnez la flèche en haut à gauche du ruban, puis choisissez Switch console theme. Sélectionnez à nouveau Switch console theme pour revenir au thème clair. L'utilisation d'un thème de console peut vous aider à distinguer facilement un environnement de test d'un environnement de production ou une hiérarchie d'une autre.

Déploiement de système d’exploitation

• Vous pouvez désormais configurer l'étape Enable BitLocker d'une séquence de tâches afin d’envoyer les informations de récupération BitLocker pour le volume du système d'exploitation dans Configuration Manager. Auparavant, vous deviez stocker les informations dans Active Directory ou attendre que le client Configuration Manager reçoive la stratégie de gestion BitLocker après la séquence de tâches. Cette nouvelle option permet de s'assurer que le périphérique est entièrement protégé par BitLocker lorsque la séquence de tâches se termine, et que vous pouvez récupérer le volume du système d'exploitation immédiatement. Pour l’utilise, vous devez soit créer et utiliser un certificat pour chiffrer la base de données de site pour la gestion BitLocker, soit activer l’option Allow recovery information to be stored in plain text sur la stratégie de gestion cliente BitLocker

PowerShell

• On retrouve différents changements sur les cmdlets PowerShell : https://docs.microsoft.com/en-us/mem/configmgr/core/get-started/2022/technical-preview-2203#bkmk_powershell

Plus d’informations sur : Technical preview 2203 - Configuration Manager | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Général] Vous pouvez utiliser l'application cloud Microsoft Intune et/ou Microsoft Intune Enrollment pour appliquer une politique d'accès conditionnel et d'acceptation des conditions d'utilisation d'Azure AD sur les appareils iOS et iPadOS pendant l'inscription automatisée des périphériques. Cette fonctionnalité est disponible lorsque vous sélectionnez Setup Assistant with modern authentication comme méthode d'authentification. Les deux applications cloud garantissent désormais que les utilisateurs acceptent les conditions d'utilisation lors de l'inscription et/ou de la connexion au portail de l'entreprise si la stratégie d'accès conditionnel l'exige.
• [Android] Vous pouvez créer des chartes d’utilisation pour les périphériques Android AOSP associés à des utilisateurs. Les chartes doivent être acceptés lors de l’enregistrement du périphérique avec le portail d’entreprise.
• [Windows] La page de configuration de la page d'état d'enregistrement (ESP) pour Windows et Windows Autopilot a été améliorée pour permettre la rechercher d'une application, voir si l'application est en ligne ou hors ligne ainsi que le numéro de version associée.

Gestion du périphérique

• [Windows 10/11] Grâce à Group Policy Analytics, vous pouvez importer vos objets de stratégie de groupe (GPO) pour voir les paramètres pris en charge par les fournisseurs MDM, y compris Microsoft Intune. Il indique également les paramètres dépréciés ou ceux qui ne sont pas disponibles dans les fournisseurs MDM. L'équipe produit Intune met à jour la logique de mappage. Lors de ces mises à jour, les paramètres obsolètes sont automatiquement réévalués. Auparavant, vous deviez réimporter vos GPOs.

• [Android] Support de l’action Play lost device sound pour initier des alertes audios sur les périphériques Android Enterprise Dedicated (COSU) afin de les localiser lorsqu’ils sont perdus ou volés.

Configuration du périphérique

• [Android] Vous pouvez utiliser le paramètre Connect Automatically sur les profils WiFi entreprise. Ceci concerne les périphériques Android Enterprise Fully Managed (COBO) ou Dedicated Devices (COSU).

• [iOS/iPadOS] Dans le cadre d'un profil d'inscription iOS/iPadOS lors de la configuration d’Automated Device Enrollment (ADE), vous pouvez désormais configurer les périphériques pour activer les données cellulaires. La configuration de cette option enverra une commande pour activer les plans de données cellulaires pour les périphériques cellulaires compatibles eSim. L’opérateur doit fournir des activations pour vos périphériques avant de pouvoir activer des plans de données à l'aide de cette commande. Ce paramètre s'applique aux appareils fonctionnant sous iOS/iPadOS 13.0 et plus qui s'inscrivent avec ADE.

• [iOS/iPadOS] Mise à jour de l’interface lors de la création d’une stratégie de configuration VPN à la demande. Vous pouvez créer une connexion on-demand VPN pour vos périphériques iOS/iPadOS (Devices > Configuration profiles > Create profile > iOS/iPadOS comme plateforme > VPN pour type de profil > Automatic VPN > On-demand VPN). L'interface utilisateur est mise à jour pour se rapprocher de la dénomination technique d'Apple.
• [macOS] De nouveaux paramétrages macOS dans le catalogue de paramétrages (Settings Catalog) incluant :
  • Domains > Email Domains
  • Printing > Printing
  • Profile Removal Password > Removal Password
  • Global HTTP Proxy

Sécurité du périphérique

• [Général] Vous pouvez utiliser Red Hat Enterprise Linux (RHEL) 8.5 avec Microsoft Tunnel. Microsoft a également mis à jour l'outil de préparation (mst-readiness) avec une nouvelle vérification de la présence du module ip_tables dans le noyau Linux. Par défaut, RHEL 8.5 ne charge pas le module ip_tables. Pour les serveurs Linux qui ne chargent pas le module, Microsoft a fourni des instructions pour les charger immédiatement et pour configurer le serveur Linux afin qu'il les charge automatiquement au démarrage.
• [Général] Le partenaire Mobile Threat Defense Zimperium est maintenant disponible dans les tenants GCC High.

• [Général] Vous pouvez désormais configurer le type de données d'inventaire des applications pour les appareils iOS/iPadOS appartenant à des particuliers qu'Intune envoie au partenaire tiers Mobile Threat Defense (MTD) choisi.

• [iOS/iPadOS] Public Preview des fonctionnalités du client Tunnel dans l’application Microsoft Defender for Endpoint pour iOS/iPadOS. Le client Tunnel existant reste disponible, mais sera finalement abandonné au profit de l'application Defender for Endpoint. Plus de détails sur : Migrate Microsoft Tunnel to the Microsoft Defender for Endpoint app for Microsoft Intune | Microsoft Docs

Supervision et Dépannage

• [Général] La page Remote Help dans le centre d'administration de Microsoft Endpoint Manager a été déplacée et est maintenant disponible directement sous Tenant administration au lieu Connectors and tokens.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Si vous avez passé les nouvelles certifications Bêta sur l’hybridation de Windows Server, Microsoft vient de mettre en ligne les résultats des certifications : Exam AZ-800: Administering Windows Server Hybrid Core Infrastructure et Exam AZ-801: Configuring Windows Server Hybrid Advanced Services. Ces certifications donnent accès au statut Windows Server Hybrid Administrator Associate. Ces certifications abordent des aspects historiques liés aux certifications Windows Server mais aussi de nouveaux aspects liés à Azure (Azure Site Recovery, Azure Arc, etc.)

Pour rappel, voici les différents éléments qui sont évalués pour l’AZ-800:

• Deploy and manage Active Directory Domain Services (AD DS) in on-
  premises and cloud environments (30–35%)
  • Deploy and manage AD DS domain controllers
  • Configure and manage multi-site, multi-domain, and multi-forest environments
  • Create and manage AD DS security principals
  • Implement and manage hybrid identities
  • Manage Windows Server by using domain-based Group Policies
• Manage Windows Servers and workloads in a hybrid environment (10–
  15%)
  • Manage Windows Servers in a hybrid environment
  • Manage Windows Servers and workloads by using Azure services
• Manage virtual machines and containers (15–20%)
  • Manage Hyper-V and guest virtual machines
  • Create and manage containers
  • Manage Azure Virtual Machines that run Windows Server
• Implement and manage an on-premises and hybrid networking
  infrastructure (15–20%)
  • Implement on-premises and hybrid name resolution
  • Manage IP addressing in on-premises and hybrid scenarios
  • Implement on-premises and hybrid network connectivity
• Manage storage and file services (15–20%)
  • Configure and manage Azure File Sync
  • Configure and manage Windows Server file shares
  • Configure Windows Server storage

Voici les différents éléments qui sont évalués pour l’AZ-801:

• Secure Windows Server on-premises and hybrid infrastructures (25–
• 30%)
  • Secure Windows Server operating system
  • Secure a hybrid Active Directory (AD) infrastructure
  • Identify and remediate Windows Server security issues by using Azure services
  • Secure Windows Server networking
  • Secure Windows Server storage
• Implement and manage Windows Server high availability (10–15%)
  • Implement a Windows Server failover cluster
  • Manage failover clustering
  • Implement and manage Storage Spaces Direct
• Implement disaster recovery (10–15%)
  • Manage backup and recovery for Windows Server
  • Implement disaster recovery by using Azure Site Recovery
  • Protect virtual machines by using Hyper-V replicas
• Migrate servers and workloads (20–25%)
  • Migrate on-premises storage to on-premises servers or Azure
  • Migrate on-premises servers to Azure
  • Migrate workloads from previous versions to Windows Server 2022
  • Migrate IIS workloads to Azure
  • Migrate an AD DS infrastructure to Windows Server 2022 AD DS
• Monitor and troubleshoot Windows Server environments (20–25%)
  • Monitor Windows Server by using Windows Server tools and Azure services
  • Troubleshoot Windows Server on-premises and hybrid networking
  • Troubleshoot Windows Server virtual machines in Azure
  • Troubleshoot Active Directory

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en février 2022.

Microsoft apporte les nouveautés suivantes :

• 20 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Embark, FENCE-Mobile RemoteManager SSO, カオナビ, Adobe Identity Management (OIDC), AppRemo, Live Center, Offishall, MoveWORK Flow, Cirros SL, ePMX Procurement Software, Vanta O365, Hubble, Medigold Gateway, クラウドログ,Amazing People Schools, Salus, XplicitTrust Network Access, Spike Email - Mail & Team Chat, AltheaSuite, Balsamiq Wireframes.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • BullseyeTDP
  • GitHub Enterprise Managed User (OIDC)
  • Gong
  • LanSchool Air
  • ProdPad

• Public Preview de CloudKnox Permissions Management.CloudKnox était un leader dans le Cloud Infrastructure Entitlement Management (CIEM) permettant de gérer les permissions de n'importe quelle identité à travers tous les Cloud.La solutions permet d'obtenir une vue de tous les risques sur les permissions, d'automatiser l'accès avec le moins de privilèges, d'obtenir la détection d'anomalies pour accélérer la réponse sur l'incident.
• Public Preview de l'authentification basée sur des certificats pour Azure Active Directory (Azure AD CBA). Ceci permet de faire de l'authentification à facteurs multiples résistante au phishing en utilisant des cartes PIV/CAC

• Public Preview d’Azure AD Identity Protection pour l’étendre ses capacités principales de détection, d'investigation et de correction des risques liés à l'identité aux identités de charge de travail (Workload Identities). Cela permet aux entreprises de mieux protéger leurs applications, leurs principaux services et leurs identités gérées. Microsoft a également étendu l'accès conditionnel afin de pouvoir bloquer les identités de charge de travail à risque.. Plus d'infos sur : Extend the reach of Azure AD Identity Protection into workload identities - Microsoft Tech Community

• Public Preview des paramétrages d’accès au tenant pour la collaboration B2B. Ceci vous permet de contrôler la façon dont les utilisateurs de l’entreprise collaborent avec les membres d’entreprises Azure AD externes. Vous disposez désormais de paramètres de contrôle d'accès entrants et sortants granulaires qui fonctionnent par entrceprise, utilisateur, groupe et application. Ces paramètres vous permettent également de faire confiance aux demandes de sécurité des entreprises Azure AD externes, comme l'authentification à facteurs multiples (MFA), la conformité des périphériques et les périphériques hybrides joints à Azure AD.

• Public Preview permettant la création de révision des accès avec plusieurs étapes pour les réviseurs. Cela permet de créer des examens d'accès à Azure AD en plusieurs étapes séquentielles, chacune avec son propre ensemble d'examinateurs et de configurations. Le but est de satisfaire à des scénarios tels que : groupes indépendants de réviseurs atteignant le quorum, escalades vers d'autres réviseurs, et réduction de la charge en permettant aux réviseurs des étapes ultérieures de voir une liste filtrée. Pour l’instant, ceci n’est supporté que pour les révisions de groupes et d'applications.

• Identity Protection a ajouté deux nouvelles détections de Microsoft Defender for Cloud Apps, (anciennement MCAS). La détection d'accès massif à des fichiers sensibles détecte les activités anormales des utilisateurs, et l'ajout inhabituel d'informations d'identification à une application OAuth détecte les activités suspectes des principaux services.
• Il est maintenant possible d'exécuter des workflows personnalisés dans Azure AD Entitlement Management en utilisant Azure Logic Apps.
• Disponibilité Générale du rapport téléchargeable de l’historique de révision des accès. Avec Azure Active Directory (Azure AD) Access Reviews, vous pouvez créer un historique des révisions téléchargeable pour aider l’entreprise à mieux comprendre. Le rapport extrait les décisions qui ont été prises par les réviseurs lors de la création d'un rapport. Ces rapports peuvent être construits pour inclure des révisions d'accès spécifiques, pour une période spécifique, et peuvent être filtrés pour inclure différents types de révision et de résultats de révision.

On retrouve les modifications de service suivantes :

• Ce changement fournit aux utilisateurs qui se connectent à Azure Active Directory sur iOS, Android et les interfaces Web des informations sur l'accessibilité des services en ligne de Microsoft via un lien sur la page de connexion. Cela permet de s'assurer que les exigences de conformité de l'accessibilité numérique de la France sont respectées. Le changement ne sera disponible que pour les expériences en langue française.

• Microsoft a amélioré le délai d'activation des rôles dans Privileged Identity management (PIM) pour SharePoint Online. Désormais, lorsque vous activez un rôle dans PIM pour SharePoint Online, vous devriez être en mesure d'utiliser vos autorisations immédiatement dans SharePoint Online.

Plus d’informations sur : What’s new Azure AD

Microsoft vient de mettre à disposition une nouvelle version (1.2.2925) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction de la vulnérabilité CVE-2022-21990.
• Correction de la vulnérabilité CVE-2022-24503.
• Correction d'un problème où les mises à jour en arrière-plan pouvaient fermer les connexions distantes actives.

La version précédente 1.2.2925 apportait :

• Le client Desktop prend désormais en charge les raccourcis clavier Ctrl+Alt+flèche pendant les sessions de bureau.
• Amélioration des performances graphiques avec certains types de souris.
• Correction d'un problème qui provoquait le plantage aléatoire du client lorsque quelque chose mettait fin à une connexion RemoteApp.
• Amélioration de la journalisation du client, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.
• Mises à jour de Teams pour Azure Virtual Desktop, notamment les suivantes :
  • La fonctionnalité de flou en arrière-plan est déployée cette semaine pour Windows.
  • Correction d'un problème qui faisait que l'écran devenait noir pendant les appels vidéo Teams.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft a ajouté le FQDN du compte impliqué dans l'alerte au message envoyé au SIEM. Pour plus d'informations, voir Microsoft Defender for Identity SIEM log reference.

• Toutes les fonctionnalités de Microsoft Defender for Identity sont désormais disponibles sur le portail Microsoft 365 Defender. Ceci implique :
  • Toutes les évaluations de la gestion de la posture de sécurité de l’identité initialement accessibles dans Microsoft Defender for Cloud Apps, sont maintenant dans le Secure Score du portail.
  • La fonctionnalité de recherche universelle comprend les éléments de Microsoft Defender for Identity.
  • L’intégration de l’expérience d’administration et d’intégration de Microsoft Defender for Identity.
  • La corrélation des alertes et des incidents de Microsoft Defender for identity est intégrée aux autres alertes.
  • Defender for Identity est disponible dans Advanced Hunting.
  • L’Amélioration de l'expérience d'exclusion des alertes en ajoutant notamment une fonction de recherche utile. Microsoft a introduit des exclusions globales. Cela signifie que toute entité peut être exclue de toutes les alertes générées par Defender for Identity

• Cette version corrige des problèmes lors de l'installation du capteur sur Windows Server 2019 avec la KB5009557 installé, ou sur un serveur avec des permissions durcies sur l’EventLog.
• Les versions 2.172, 2.173, et 2.174 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft a communiqué un changement à partir de Mars 2022 (2203) concernant Microsoft Endpoint Manager (Intune). Les administrateurs vont pouvoir utiliser des guillemets dans les valeurs de détection du registre pour les applications Win32. Cela apporte une flexibilité supplémentaire et permet aux administrateurs de spécifier les valeurs de détection de registre exactes qu'ils souhaitent.

Le comportement actuel supprime les guillemets. Après le changement, les guillemets ne seront plus supprimés et peuvent avoir un impact sur vos règles de détection s'ils ne sont pas mis à jour.

Mettez à jour vos valeurs de détection pour supprimer les guillemets afin que vos règles de détection ne soient pas affectées. Après la version de service de mars 2203, vous pourrez alors utiliser des guillemets dans vos règles de détection, si cette flexibilité répond aux besoins de l’entreprise.

Microsoft a communiqué un changement à partir de Mars 2022 (2203) concernant Microsoft Endpoint Manager (Intune). Les administrateurs ne pourront pas auto attribuer les permissions pour la caméra, l’emplacement et le microphone pour Android Enterprise Work Profile. Si l'option d'octroi automatique est choisie pour le paramètre de restrictions de l'appareil " Default app permissions", les autorisations relatives à l'appareil photo, au microphone et à la localisation seront toujours demandées.

Les permissions sont inclues :

• Camera: CAMERA
• Location access (fine): ACCESS_FINE_LOCATION
• Location access (coarse): ACCESS_COARSE_LOCATION
• Location access (background): ACCESS_BACKGROUND_LOCATION
• Access media location: ACCESS_MEDIA_LOCATION
• Record audio: RECORD_AUDIO
• Record background audio: RECORD_BACKGROUND_AUDIO

En outre, si l'option d'octroi automatique est choisie pour les autorisations par le biais d'une stratégie de configuration des applications, les autorisations relatives à la caméra, au microphone et à la localisation seront toujours demandées. Pour les applications pour lesquelles ces autorisations sont déjà accordées automatiquement en raison de stratégies existantes, Microsoft ne demandera pas ces permissions de caméra, de microphone et de localisation pour ces applications.

Si les utilisateurs de périphériques précédemment ciblés par des politiques d'octroi automatique ont des applications qui nécessitent ces autorisations pour la première fois, ils seront invités à autoriser l'accès. Si vous utilisez une application Mobile Threat Detection qui nécessite des autorisations de localisation, après ce changement, les utilisateurs devront peut-être autoriser les autorisations de localisation lorsqu'ils y seront invités afin de maintenir la conformité du périphérique.

Vous devez donc informer les utilisateurs en ce sens.

L’équipe Compliance a publié un billet visant à créer une formation complète sur Compliance Manager allant jusqu’à un niveau d’expertise. On retrouve notamment :

• MSCM – Fundamentals [Niveau débutant]
  • MSCM Overview:  Introduction to Microsoft Compliance Manager
  • Getting started with MSCM
  •  Assessment Types and working with assessments (workflow and tracking)
  • Automated Compliance Scoring
  • Assigning Improvement Actions  & action types (RBAC)
  • MSCM Recommendation Wizard
  • Automation with MSCM
• MSCM – Intermediate [Niveau Associé]
  • Introduction to Templates:  Template library, premium templates, and universal templates
  • Creating an Assessment from a template
  • Importing Templates
  • Regulatory and Compliance updates
  • Improving Compliance Score
  • Skip to primary navigation
• Microsoft Compliance Manager – Advanced [Niveau Expert]
  • Extending Templates
  • Integration of Excel into MSCM and how to use it to modify templates
  • MSCM Scenario
  • Microsoft Compliance Manager Considerations & Wrap Up

Voici le lien pour faire la vérification des compétences : Knowledge Check - Microsoft Compliance Manager Advanced

Accéder à Microsoft Compliance Manager Ninja Training

Avec la fin du portail UserVoice, Microsoft a mis en place un nouveau portail pour donner des retours et des commentaires sur les solutions de conformité incluant Microsoft Information Protection (MIP) et Data Loss Prevention (DLP). Le portail vous permet aussi de voter pour donner plus de visibilité à certaines idées.

On retrouve donc les portails suivants :

• Microsoft Information Protection: https://aka.ms/MIP/Feedback
• Data Loss Prevention: https://aka.ms/DLP/Feedback
• Insider Risk Management: https://aka.ms/IRM/Feedback
• Communication Compliance: https://aka.ms/CC/Feedback

En avril 2022, Microsoft va réaliser une mise à jour dans le service de Microsoft Endpoint Manager (Intune) qui va impacter les notifications envoyées à destination d’iOS/iPadOS. Cette mise à jour va demander la mise à jour du portail d’entreprise en mars 2022. Veillez donc à ce que les utilisateurs mettent à jour le portail d’entreprise (en version 5.2203.0 ou plus) à cette date.

S’ils ne le font pas, ils ne recevront pas les messages envoyés par l’entreprise et ils recevront en lieu et place une notification les invitant à mettre à jour l’application. Une fois à jour, ils verront les notifications manquées dans la section Notification du portail d’entreprise.

Mise à jour de la Portail d'entreprise’application | Microsoft Docs

A partir du 11 mai 2022, Microsoft va réaliser une amélioration de la collecte de journaux d’applications Win32 va demander l’utilisation de Windows 10 1909 ou plus. Si vous utilisez la fonction sur des périphériques Windows 10 1903 ou inférieurs, vous ne pourrez plus utiliser l’action à distance Collect logs pou dépanner les échecs d’installation d’application.

Vous devez donc mettre à jour ces périphériques vers Windows 10 1909 ou plus.

Résolution des problèmes d’installations d’applications Win32 avec Intune - Intune | Microsoft Docs

Certains ont peut-être constaté un problème avec la découverte Active Directory des utilisateurs et des groupes associés dans Microsoft Endpoint Configuration Manager (MECM / SCCM). Le problème semble être présent depuis janvier 2022. Il semble que le correctif cumulatif pour Windows Server de janvier 2022 ait durcit l’usage du fallback de Kerberos à NTLM. Dans ce contexte, ceci a deux impacts :

Problème N°1 : Le premier concerne la découverte des groupes qui n’arrivent pas à lire le nom de domaine NETBIOS lors de l’utilisation d’espace de nom disjoints. Dans ce cas, tous les groupes découverts à partir du domaine change le domaine selon la première partie du FQDN.

Exemple: domaine AAA (Netbios), BBB.COM (FQDN).
Cas attendu : AAA\Group
Cas constaté: BBB\Group
Ceci peut avoir un impact sur vos règles d’évaluation de collections quand vous utilisez le nom netbios comme condition. Dans ce cas, vous pouvez vous retrouver avec des collections ne présentant pas les membres attendus.

En attendant une meilleure solution, vous pouvez mettre à jour les collections pour inclure à la fois les noms de domaine Netbios et DNS :
(SMS_R_System.ResourceDomainORWorkgroup like "NETBIOS NAME" or SMS_R_System.ResourceDomainORWorkgroup like "DNS NAME")

Problème N°2 : La découverte et la publication Active Directory n’arrive pas à se connecter à des domaines non trustés sous un compte de service. Dans ce cas de figure, vous recevez l’erreur "0x8007052E" ("The user name or password is incorrect") même si les identifiants sont corrects.

Pour contourner le problème, vous pouvez spécifier un contrôleur de domaine dans l’étendue de découverte en utilisant : LDAP://DomainController.DOMAIN.LAB/OU=Groups,DC=DOMAIN,DC=LAB au lieu de LDAP://OU=Groups,DC=DOMAIN,DC=LAB

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Mise à jour des expériences de chasse et d'investigation pour Microsoft Defender for Office 365 : Introduction du panneau de résumé des e-mails pour les expériences dans Defender for Office 365, ainsi que des mises à jour des expériences pour Threat Explorer et les détections en temps réel.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a mis à jour sa documentation pour Azure Active Directory Connect à l’occasion de la disponibilité générale d’un scénario qui était recherché par de nombreuses entreprises afin de permettre la synchronisation d’objets vers plusieurs tenants Azure AD. Ceci permet donc de couvrir :

• La synchronisation des utilisateurs et des groupes d’Active Directory vers plusieurs tenants Azure AD
• La synchronisation des mots de passe à travers plusieurs tenants
• La synchronisation des mêmes utilisateurs, groupes ou contacts à travers différents Cloud Azure.

Parmi les règles de base, on retrouve :

• La même ancre source peut être utilisée pour un seul objet dans des tenants différents (mais pas pour plusieurs objets dans le même tenant).
• Vous devrez déployer un serveur AADConnect pour chaque tenant Azure AD que vous souhaitez synchroniser - un serveur AADConnect ne peut pas synchroniser avec plus d'un tenant Azure AD.
• Il est possible d'avoir différentes portées de synchronisation et différentes règles de synchronisation pour différents tenants.
• Une seule synchronisation avec un tenant Azure AD peut être configurée pour réécrire dans Active Directory pour le même objet. Cela inclut la réécriture de périphériques et de groupes ainsi que les configurations Exchange Hybrid - ces fonctionnalités ne peuvent être configurées que dans un seul tenant. La seule exception ici est la réécriture de mot de passe.
• Il est possible de configurer la synchronisation du hash du mot de passe (Password Hash Sync) depuis Active Directory vers plusieurs tenants Azure AD pour le même objet utilisateur. Si la synchronisation des hachages de mots de passe est activée pour un tenant, la réécriture des mots de passe peut également être activée, et cela peut être fait sur plusieurs tenants : si le mot de passe est modifié sur un tenant, la réécriture du mot de passe le mettra à jour dans Active Directory, et la synchronisation des hachages de mots de passe mettra à jour le mot de passe dans les autres tenants.
• Il n'est pas possible d'ajouter et de vérifier le même nom de domaine personnalisé dans plus d'un tenant Azure AD, même si ces tenants se trouvent dans des environnements Azure différents.
• Il n'est pas possible de configurer des expériences hybrides telles que Seamless SSO et Hybrid Azure AD Join sur plus d'un tenant. Cela écraserait la configuration de l'autre tenant et la rendrait inutilisable.
• Vous pouvez synchroniser les objets de périphérique sur plus d'un tenant, mais un seul tenant peut être configuré pour faire confiance à un périphérique.
• Chaque instance d'Azure AD Connect doit être exécutée sur une machine reliée à un domaine.

Plus d’informations dans le documentation => Azure AD Connect: Supported topologies | Microsoft Docs