Microsoft va commencer à notifier les utilisateurs des applications Microsoft 365 et du portail d’entreprise pour Android sur des périphériques Chrome OS que l’application ne sera plus disponible dans le Google Play Store à partir du 23 septembre 2021. Les utilisateurs pourront accéder à Microsoft 365 à partir du web. Outre cette annonce, Microsoft va aussi retirer le portail d’entreprise Intune, empêchant aussi l’application des stratégies de protection applicatives (APP/MAM).

Ce changement n’affecte pas les périphériques Android.

Il est recommandé d’informer les utilisateurs et de désinstaller les applications Microsoft 365. Ceci peut être réalisé partiellement si vous avez déployé des stratégies de protection applicatives sur Android en utilisant la fonctionnalité d’effacement sélectif (Selective Wipe).

Si vous ne prenez pas d’actions, les utilisateurs ayant le portail d'entreprise Intune installé peuvent ne plus recevoir la stratégie APP/MAM comme prévu. Cette configuration n'est pas prise en charge et peut laisser les données de l’entreprise sans protection.

Android 12 est attendu pour le 1^er octobre. A partir de cette publication, Android 9 ou ultérieur sera un prérequis pour l’utilisation des stratégies de protection applicative (APP/MAM) via Microsoft Endpoint Manager. Ceci permet de s’aligner sur le support des applications mobiles Office par les 4 dernières versions supportées d’Android. Si vous gérez des périphériques Android, il se peut que vous ayez des périphériques qui ne pourront pas être mis à niveau vers la version minimale prise en charge (Android 9).

Si l’utilisateur essaye de se connecter sur un système d’exploitation non supporté, l’utilisateur se retrouvera bloqué. Pour les utilisateurs déjà connectés, les stratégies de protection applicatives continueront de s’appliquer sur Android 6.x à 8.x mais si vous rencontrez des problèmes, aucun support ne sera fourni. Le support vous demandera donc de mettre à jour l’application et le système d’exploitation.

Cette fin de support ne s’applique pas à la gestion des périphériques mobiles via Microsoft Endpoint Manager / Intune.

Notez que les périphériques Teams sous Android ne sont pas impactés par cette annonce et par ces notions de support lié aux versions d’Android.

Vérifiez vos rapports Intune pour voir quels périphériques ou utilisateurs peuvent être affectés. Pour les périphériques gérés en MDM, allez dans Devices > All devices et filtrez par OS. Pour les périphériques avec des stratégies de protection des applications, allez dans Apps > Monitor > App protection status > App Protection report: iOS, Android.

Vous pouvez configurer des conditions de lancement sur les stratégies de protection applicatives pour afficher un avertissement à l’utilisateur s’il utilise une version ancienne du système d’exploitation.

Je vous propose un petit aperçu des nouveautés en août 2021 autour de la gouvernance, de la conformité et de la protection de données (MIP, etc.).

On retrouve notamment :

Classification des données

• Nouvelle version du SDK (1.10) pour Microsoft Information Protection.

Etiquettes de confidentialité (Sensitivity Labels)

• Améliorations apportées aux stratégies de labeling automatique comprennent un nombre plus élevé de sites et de stratégies pris en charge, la prise en charge de tous les sites OneDrive et SharePoint et la possibilité de sélectionner les sites SharePoint disponibles au lieu de devoir saisir chaque site par URL, ainsi que des améliorations de la simulation.
• Le labeling automatique dans les applications Office en tant que paramètre d'étiquette de sensibilité prend désormais en charge l’Exact Data Match (EDM).
• Les étiquettes par défaut sont maintenant étendues à Power BI (En Preview).
• Les événements d'audit pour Outlook web qui apparaissent dans l'explorateur d'activités sont maintenant entièrement déployés, ce qui signifie que l'activité de l'utilisateur pour les étiquettes intégrées est maintenant disponible pour toutes les applications Office sur toutes les plateformes.

Prévention de fuite de données (DLP)

• Public Preview de nouvelles conditions pour Teams DLP. Ces 4 conditions étaient déjà disponibles pour Exchange et viennent donc d’être proposées pour Teams : Sender is, Recipient is, Sender domain is, Recipient domain is
• Ajout d’une page de référence des stratégies pour aider à la création des stratégies.

Gestion des enregistrements et de la rétention

• Diagramme de flux permettant de déterminer quand un élément sera conservé ou définitivement supprimé pour compléter les concepts et les exemples des principes de conservation.

Gestion des risques internes

• Preview permettant la configuration de la détection des signaux (fichiers copiés vers le Cloud personnel, Fichiers imprimés localement vers des emplacements réseaux, fichiers transférés ou copiés vers des emplacements réseaux, etc. ) pour les navigateurs Edge et Chrome.

Conformité de la communication

• Preview d’une fonctionnalité pour l’analyse des pièces jointes modernes dans les chats et les canaux privés de Teams.

Gouvernance des applications

• De nouvelles entrées ont été ajoutées pour décrire les informations d'alerte supplémentaires.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft a annoncé la disponibilité générale de Windows Server 2022. Cette version est clairement tournée vers le Cloud. L’ISO est disponible en version d’évaluation pour le grand public. Parmi les nouveautés, on retrouve :

General

• Microsoft Edge (Chromium) est inclus dans Windows Server 2022 en remplacement d’Internet Explorer pour apporter toutes les innovations de sécurité.

Sécurité

• Secured-core server offre des protections utiles contre les attaques sophistiquées et peut fournir une assurance accrue lors de la manipulation de données critiques dans certains des secteurs les plus sensibles aux données. Il repose sur trois piliers essentiels : sécurité simplifiée, protection avancée et défense préventive.
  • Sécurité simplifiée : lors de l’achat du matériel à un OEM pour un serveur Secured-core, celui-ci fournit un ensemble de matériel, de micrologiciels et de pilotes qui satisfont les critères Secured-core. Ceci facilite l’expérience de configuration dans Windows Admin Center pour activer les fonctions de sécurité de Secured-core.
  • Protection avancée avec :
    • Puce Trusted Platform Module 2.0 (TPM 2.0) fournie en standard avec les serveurs capables d'utiliser les serveurs Secured-core. Le TPM 2.0 fournit un stockage sécurisé pour les clés et les données sensibles, telles que les mesures des composants chargés lors du démarrage. Cette racine de confiance matérielle renforce la protection fournie par des fonctionnalités telles que BitLocker, qui utilise TPM 2.0.
    • Protection des firmwares : Il y a une augmentation des vulnérabilités de sécurité signalées dans les firmwares, compte tenu des privilèges élevés dont ils bénéficient et de l'opacité relative de ce qui s'y passe pour les solutions antivirus traditionnelles. Grâce à la prise en charge par le processeur de la technologie DRTM (Dynamic Root of Trust of Measurement) et à la protection DMA, les systèmes Secured-core isolent l'hyperviseur essentiel à la sécurité d'attaques de ce type.
    • Sécurité basée sur la virtualisation (VBS) : Les serveurs Secured-core prennent en charge la VBS et l'intégrité du code basée sur l'hyperviseur (HVCI) pour protéger contre toute la catégorie de vulnérabilités utilisées dans les attaques de minage de crypto-monnaies, étant donné l'isolation que VBS fournit entre les parties privilégiées du système d'exploitation, comme le noyau, et le reste du système. VBS offre également davantage de fonctionnalités que les clients peuvent activer, comme Credential Guard, qui protège mieux les informations d'identification du domaine.
  • HTTPS et TLS 1.3 est activé par défaut pour protéger les données des clients qui se connectent au serveur.
  • Le client DNS de Windows Server 2022 prend désormais en charge le DNS-over-HTTPS (DoH) qui chiffre les requêtes DNS à l'aide du protocole HTTPS. Cela permet de garder le trafic aussi privé que possible en empêchant l'écoute clandestine et la manipulation des données DNS.
  • Windows Server prend en charge AES-256-GCM et AES-256-CCM pour le chiffrement et la signature SMB. Windows négocie automatiquement cette méthode de chiffrement plus avancée lorsqu'il se connecte à un autre ordinateur qui la prend également en charge, et elle peut également être imposée par la stratégie de groupe. Windows Server prend toujours en charge AES-128 pour une compatibilité de niveau inférieur.
  • Les clusters de basculement Windows Server prennent en charge le contrôle granulaire du chiffrement et de la signature des communications de stockage intra-nœuds pour les Cluster Shared Volumes (CSV) et la couche de bus de stockage (SBL). Cela signifie que lorsque vous utilisez Storage Spaces Direct, vous pouvez décider de chiffrer ou de signer les communications est-ouest au sein même du cluster pour une sécurité accrue.
  • SMB Direct supporte le chiffrement. Désormais, les données sont chiffrées avant d'être placées, ce qui entraîne une dégradation bien moindre des performances tout en ajoutant la confidentialité des paquets protégés AES-128 et AES-256.
  • SMB over QUIC met à jour le protocole SMB 3.1.1 dans Windows Server 2022 Datacenter : Azure Edition et les clients Windows pris en charge pour utiliser le protocole QUIC au lieu de TCP. En utilisant SMB over QUIC avec TLS 1.3, les utilisateurs et les applications peuvent accéder de manière sûre et fiable aux données des serveurs de fichiers périphériques exécutés dans Azure. Les utilisateurs mobiles et les télétravailleurs n'ont plus besoin d'un VPN pour accéder à leurs serveurs de fichiers via SMB sous Windows.

Capacités hybrides Azure 

• Intégration native avec Azure Arc afin de fournir une expérience de gestion consistante entre ces serveurs et vos machines virtuelles Azure.
• Les améliorations apportées au Windows Admin Center pour gérer Windows Server 2022 comprennent des capacités permettant à la fois de rendre compte de l'état actuel des fonctionnalités Secured-core.
• Support d’Azure Automanage - Hotpatch par Windows Server 2022 Datacenter : Azure Edition. Hotpatching est une nouvelle façon d'installer des mises à jour sur les nouvelles machines virtuelles (VM) de Windows Server Azure Edition qui ne nécessite pas de redémarrage après l'installation.

Plateforme applicative 

• Réduction de la taille des images Windows Container de plus de 40% avec un gain de 30% sur le temps de démarrage et sur les performances.
• Exécution des applications qui dépendent d'Azure Active Directory avec des comptes de services gérés par groupe (gMSA) sans joindre le domaine de l'hôte du conteneur.
• Les conteneurs Windows prennent désormais en charge Microsoft Distributed Transaction Control (MSDTC) et Microsoft Message Queuing (MSMQ).

• Plusieurs autres améliorations simplifient l'expérience des conteneurs Windows avec Kubernetes. Ces améliorations comprennent la prise en charge des conteneurs de processus hôte pour la configuration des nœuds, IPv6 et la mise en œuvre cohérente de la politique réseau avec Calico.

• Windows Admin Center a été mis à jour pour rendre plus facilement la conteneurisation des applications .NET. Lorsque l’application est dans un conteneur, vous pouvez l’héberger sur Azure Container Registry pour ensuite le déployer dans d’autres services Azure tels que Azure Kubernetes Services
• Avec le support des processeurs Intel Ice Lake, Windows Server 2022 supporte des applications comme SQL Server dans des modes d’exécution avec plus de 48 TB de mémoire, 2048 cœurs logiques s’exécutant jusqu’à 64 sockets physiques. En outre, Confidential Computing avec Intel Secured Guard Extension (SGX) sur Intel Ice Lake améliore la sécurité des applications en les isolant les unes des autres grâce à une mémoire protégée.

Virtualisation 

• Support de la virtualisation imbriquées par les processeurs AMD pour exécuter Hyper-V dans une machine virtuelle Hyper-V.

Réseau

• Améliorations des performances UDP avec l’introduction d’UDP Segmentation Offload (USO). USO déplace la majeure partie du travail nécessaire à l'envoi des paquets UDP du CPU vers le matériel spécialisé de la carte réseau. En complément de USO, UDP Receive Side Coalescing (UDP RSC), qui fusionne les paquets et réduit l'utilisation du CPU pour le traitement UDP. En outre, Microsoft a également apporté des centaines d'améliorations au chemin de données UDP, tant en émission qu'en réception.
• Amélioration des performances TCP avec l’utilisation de TCP HyStart++ pour réduire la perte de paquets lors du démarrage de la connexion (en particulier dans les réseaux à haut débit) et RACK pour réduire les délais de retransmission (RTO). Ces fonctions sont activées par défaut dans la pile de transport et permettent un flux de données réseau plus fluide avec de meilleures performances à haut débit.
• Améliorations des virtual switch Hyper-V avec la mise à jour de Receive Segment Coalescing (RSC). Cela permet au réseau de l'hyperviseur de fusionner les paquets et de les traiter comme un seul segment plus grand. Les cycles du CPU sont réduits et les segments restent coalisés sur l'ensemble du chemin de données jusqu'à ce qu'ils soient traités par l'application prévue. Cela signifie une amélioration des performances du trafic réseau provenant d'un hôte externe, reçu par une carte réseau virtuelle, ainsi que d'une carte réseau virtuelle vers une autre carte réseau virtuelle sur le même hôte.

Stockage 

• User adjustable storage repair speed est une nouvelle fonctionnalité de Storage Spaces Direct qui offre un meilleur contrôle du processus de resynchronisation des données en allouant des ressources soit pour réparer des copies de données (résilience), soit pour exécuter des charges de travail actives (performance).
• Storage bus cache est désormais disponible pour les serveurs autonomes. Il permet d'améliorer considérablement les performances en lecture et en écriture, tout en maintenant l'efficacité du stockage et en conservant des coûts opérationnels faibles.
• L’amélioration de SMB permet à un utilisateur ou à une application de compresser les fichiers lors de leur transfert sur le réseau. Les utilisateurs n'ont plus besoin de compresser manuellement les fichiers afin de les transférer beaucoup plus rapidement sur des réseaux plus lents ou plus encombrés.
• Les améliorations apportées à Storage Migration Service dans Windows Server 2022 facilitent la migration du stockage vers Windows Server ou vers Azure à partir d'un plus grand nombre d'emplacements sources avec notamment :
  • Migrer les utilisateurs et les groupes locaux vers le nouveau serveur.
  • Migrer le stockage depuis des failover clusters, migrer vers des failover clusters et migrer entre des serveurs autonomes et des failover clusters.
  • Migrer le stockage à partir d'un serveur Linux qui utilise Samba.
  • Synchroniser plus facilement les partages migrés dans Azure en utilisant Azure File Sync.
  • Migrer vers de nouveaux réseaux tels qu'Azure.
  • Migrer les serveurs CIFS NetApp des baies FAS NetApp vers des serveurs et clusters Windows.

Plus d’informations sur : Windows Server 2022 now generally available—delivers innovation in security, hybrid, and containers - Microsoft Windows Server Blog

Plus d’informations sur la partie Failover Cluster : New features of Windows Server 2022 Failover Clustering - Microsoft Tech Community

Télécharger Windows Server 2022 en version d’évaluation

Microsoft a annoncé la mise en rétrocompatibilité prochaine de pas moins de 1400 nouvelles stratégies de configuration MDM pour Windows 10 2004, 20H2, 21H1 et Windows 11. A date, ces éléments ont été intégré dans Windows 10 21H1 Build 19043.1200 Release Preview mais le travail de report sur les autres versions est en cours.

On retrouve de nombreux paramétrages des stratégies ADMX (Administrative Templates) incluant : App Compat, Event Forwarding, Servicing, Task Scheduler, etc. Vous pouvez retrouver la liste avec tous les CSPs préfixés par ADMX.

Les paramétrages seront visibles dans la version 2109 de Microsoft Endpoint Manager et dans de prochains correctifs cumulatifs pour les systèmes concernés.

Source : Releasing Windows 10 Build 19043.1200 (21H1) to Release Preview Channel | Windows Insider Blog

Microsoft a introduit un ensemble de nouveautés dans Azure Defender (anciennement Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Après le l’Ajout du modèle de Workbook 'Compliance over time' à la galerie de Workbooks Azure Monitor, Microsoft vient de l’intégrer directement dans Azure Security Center via le menu Regulatory Compliance et un onglet Compliance over time Workbook.
• Preview du déploiement automatique de Defender for Endpoint sur des machines Linux via Azure Security Center.
• Azure Defender for container registries recherche désormais les vulnérabilités dans les images dans les registres protégés par Azure Private Link.
• La page des recommandations comporte désormais deux onglets qui offrent d'autres moyens d'afficher les recommandations relatives à vos ressources :
  • Secure score recommendations - cet onglet permet d’afficher la liste des recommandations regroupées par contrôle de sécurité.
  • All recommendations - cet onglet permet d’afficher la liste des recommandations sous forme de liste globale. Cet onglet est également très utile pour comprendre quelle initiative (y compris les normes de conformité réglementaire) a généré la recommandation.

• Security Center peut désormais provisionner automatiquement l'extension Guest Configuration d’Azure Policy (En Preview).
• Les recommandations pour activer les plans Azure Defender prennent désormais en charge la fonction "Enforce" pour remédier automatiquement les ressources non conformes lorsqu'elles sont créées.
• Deux nouvelles recommandations (en Preview) pour gérer les solutions de protection de terminaux incluant :
  • Endpoint protection should be installed on your machines : Pour protéger vos machines contre les menaces et les vulnérabilités, installez une solution de protection des points de terminaison prise en charge.
  • Endpoint protection health issues should be resolved on your machines : Pour résoudre les problèmes de santé de la protection des points finaux sur vos machines virtuelles pour les protéger contre les dernières menaces et vulnérabilités.

• Dépréciation de la recommandation : 'Log Analytics agent health issues should be resolved on your machines'
• On retrouve une nouvelle zone dédiée dans Azure Security Center afin de fournir un ensemble d’éléments d'auto-assistance pour résoudre les problèmes courants avec Security Center et Azure Defender.

• Disponibilité Générale des rapports d’audit Azure du tableau de bord de conformité réglementaire

• Les exportations CSV de données de recommandation sont désormais limitées à 20 Mo.

Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs

Gartner vient de publier le résultat de l’étude 2021 sur l’Unified Endpoint Management (UEM). Microsoft creuse l’écart sur VMware et fait office de leader du marché. La capacité d’exécution est clairement mise en avant par Gartner. De l’autre côté, Ivanti (MobileIron) continue sa descente en passant dans les visionnaires. VMware reste leader mais en fort retrait.

Plusieurs éléments sont évalués : Les capacités sur la partie MDM, MAM, Identité Mobile, Gestion du contenu Mobile, et l’encapsulation. Microsoft a montré en moins d’un an des actions positives autour de l’Enterprise Mobility + Security (EMS), Office 365, les applications Office, Microsoft Information Protection, Azure Active Directory etc.

Parmi les forces :

• Intégration : L'intégration entre les produits Microsoft offre des capacités de sécurité qui sont difficiles à reproduire au coup par coup. Les preuves de l'amélioration de la stabilité et des performances obtenues en réduisant les plug-ins tiers ne peuvent être ignorées. Son intégration avec Azure AD, Defender xDR et les applications Microsoft 365 améliore la sécurité et l'expérience des administrateurs.
• Connecté au Cloud : Les améliorations apportées aux fonctions hybrides Azure AD Join et Tenant Attach ont accéléré l'adoption de la gestion cloud des appareils via la cogestion et la gestion moderne. La possibilité de migrer quand on est prêt est citée comme un avantage dans les commentaires des clients sur la plateforme Peer Insights de Gartner, dans les réactions recueillies lors des interactions avec les clients et dans les discussions sur les médias sociaux. Cela est particulièrement vrai pour les organisations qui ne peuvent pas ou ne sont pas encore prêtes à adopter exclusivement la gestion moderne.
• Stratégie de produit : Avec la croissance de Microsoft 365, Endpoint Manager continue de dominer la part de marché de l'UEM. Les nouvelles fonctionnalités et les correctifs sont priorisés en fonction de la demande des clients, qui semble dépasser la disponibilité des ressources de développement. La marque Endpoint Manager est devenue courante chez les clients, et sa popularité sur les médias sociaux a également augmenté.

Parmi les faiblesses :

• Manque de découverte : Endpoint Manager dépend d’Active Directory ou d'Azure AD pour identifier les périphériques qui doivent être inscrits et gérés. Les entreprises sont donc exposées à des risques, car les périphériques du réseau ne peuvent pas être découverts sans Microsoft Defender for Endpoint ou des outils tiers.
• Diversité des terminaux : Endpoint Manager manque de capacités pour gérer les terminaux Chrome OS et Linux, ainsi que certains périphériques IoT, wearables et robustes de terrain (Rugged). Au moment de la rédaction de cet article, Endpoint Manager ne dispose pas non plus d'un VPN pour l’ensemble des types de périphériques ; Microsoft Tunnel est en Preview pour iOS et Android, et aucune date n'a été fournie pour Windows.
• Complexité : Malgré un investissement accru dans les cours Microsoft Learn, les guides de démarrage rapide, les vidéos pratiques et les conseils plus prescriptifs, les commentaires recueillis lors des interactions avec les clients révèlent que ces derniers ont toujours du mal à suivre le rythme des changements. Ils sous-estiment également les frais généraux nécessaires pour exploiter Configuration Manager et l'intégrer à Intune, Azure AD et AD. Ceux qui ont migré à partir d'autres outils de gestion des clients sont également frustrés par le manque de capacités de correction des applications tierces qui nécessitent une solution tierce. Les responsables informatiques sont également souvent déroutés par l'utilisation incohérente des anciennes et des nouvelles marques.

Vous pouvez accéder au rapport sur : Gartner Reprint

Source : Microsoft a Leader in 2021 Gartner® Magic Quadrant for Unified Endpoint Management Tools | Microsoft Security Blog

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Public Preview de l’ajout de plus de colonnes aux tables EmailEvents, EmailAttachmentInfo, et  EmailPostDeliveryEvents :
  • AuthenticationDetails (table EmailEvents) - Cette colonne comprend des informations détaillées sur les différents contrôles d'authentification qui ont été appliqués ou analysés comme les méthodes SPF, DKIM, DMARC et CompAuth. Alors que SPF, DKIM et DMARC sont les contrôles standard du secteur, l'authentification composite ou compAuth est une valeur utilisée pour indiquer qu'une combinaison de différents contrôles d'authentification des e-mails, comme SPF, DKIM et DMARC, a été utilisée pour déterminer si le message est authentique. Elle utilise le domaine dans le champ From de l'e-mail comme base pour l'évaluation.
  • Filesize (table EmailAttachmentInfo) - Cette colonne indique la taille de la pièce jointe d'un e-mail en octets.
  • ThreatTypes and details (EmailPostDeliveryEvents table) - Avant la mise à jour, la table EmailPostDeliveryEvents contenait déjà des informations sur toutes les actions tentées sur un e-mail après sa livraison, y compris les actions ZAP et de remédiation manuelle.
• Les administrateurs peuvent renvoyer des modèles de messages aux utilisateurs après avoir examiné les messages signalés. Les modèles peuvent être personnalisés pour l’entreprise et en fonction du verdict de l’administrateur.
• Vous pouvez ajouter des entrées d'autorisation à la liste des autorisations/blocages du tenant si le message bloqué a été soumis dans le cadre du processus de soumission administrateur. En fonction de la nature du blocage, l'URL, le fichier et/ou l'expéditeur soumis seront ajoutés à la liste des autorisations/blocages du tenant. Dans la plupart des cas, les autorisations sont ajoutées pour donner du temps au système et l'autoriser naturellement si cela est justifié.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Azure Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Disponibilité d’une règle de détection pour Ransomware utilisant le modèle d’apprentissage machine Fusion. Un incident de sévérité haute “Multiple alerts possibly related to Ransomware activity detected” est levé fournissant un aperçu complet des activités suspectes qui se sont produites sur le même appareil/hôte en corrélant les signaux des produits Microsoft ainsi que les signaux du réseau et du cloud. Les données des connecteurs suivants sont utilisées : Azure Defender (Azure Security Center), Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Cloud App Security, certaines règles d'analyse planifiées d'Azure Sentinel.

• Nouvelle capacité de recherche d’incidents permettant de chercher au travers de l’Alert ID, Alert description, Alert name, Alert severity, Analytic rule ID, Bookmark ID, Closing comment, Comments, Entities, Incident description, Reason for closing, Tactics.

• Disponibilité Générale de la fonction permettant d’ajouter et choisir les colonnes d’affichage de la vue d’incident.
• Disponibilité Générale de la capacité d’utiliser une condition de déclenchement basé sur des standards de conformité de réglementation pour l’exécution de Workflow Automations
• Microsoft ajoute le schéma file activity à l’Azure Sentinel Information Model (ASIM).
• Nouvelle API pour gérer l’onboarding/offboarding Azure Sentinel sans avoir à faire plusieurs appels d’API. Microsoft introduit un nouveau endpoint dédié : « OnboardingStates »
• L’équipe Sentinel a publié un billet pour donner des éléments afin d’être informé dans les augmentations importantes du cout de l’ingestion afin d’être prévenu : Ingestion Cost Spike detection App - Microsoft Tech Community

Plus d’informations sur : What's new in Azure Sentinel | Microsoft Docs

Je vous en avais parlé à l’époque, On retrouve des mises à jour de la pile de maintenance qui viennent mettre à jour les composants servant aux mises à jour du système. Ces mises à jour Servicing Stack Update (SSU) doivent être passées avant les mises à jour cumulatives (LCUs). Les entreprises avaient tendance parfois à oublier de déployer les SSUs bloquant ainsi le déploiement des mises à jour cumulatives. Microsoft avait annoncé un travail visant à créer un seul package contenant à la fois la mise à jour de pile de maintenance (SSU) et la mise à jour cumulative (LCU), il y a quelques mois. Ceci a été mis en application pour plusieurs versions de Windows. Aujourd’hui, Microsoft étend ceci à Windows 10 1809, Windows Server 2019, et Windows 10 1909. Les mises à jour sont pour l’instant accessible dans la catégorie WSUS Windows Insider Pre-Release mais elles devraient être intégrée dans les prochains mois.

Microsoft élimine des dépendances régulières des Cumulative Updates sur des mises à jour SSU. Néanmoins, cela créé une dépendance des mises à jour cumulatives sur la première mise à jour cumulative qui introduit ce mécanisme. Cela a été le cas en mai dernier avec certaines versions de Windows 10 concernées. Pour les entreprises qui suivent les mises à jour cumulatives mensuelles mois par mois, il n’y a pas eu d’impacts mais pour certaines, il est devenu impossible de déployer les mises à jour récentes car elles n’avaient pas installé la mise à jour cumulative de mai. Cela a été lorsque les entreprises utilisaient l’option de remplacement des mises à jour (supersedence updates) de Microsoft Endpoint Configuration Manager.

Outre cette problématique, cela a eu un impact pour l’installation de nouvelles machines utilisant un niveau de mise à jour très ancien. Ces machines n’avaient pas accès au correctif cumulatif de mai et ne se voyait pas proposer la mise à jour cumulative de juillet ou août par exemple.

Pour répondre à ce besoin, Microsoft publie une mise à jour de pile de maintenance (SSU) autonome qui peut être appliquée sur toutes les machines qui n’auraient pas installé la mise à jour cumulative de mai.

Pour les entreprises qui avaient changé les délais de leur règle de remplacement (supersedence rules) dans Microsoft Endpoint Configuration Manager afin de conserver le correctif cumulatif de mai, vous pouvez revenir à vos valeurs historiques.

Plus d’informations sur : Simplified deployment of Windows servicing stack updates: what's new - Microsoft Tech Community

Cet été, un ensemble de vulnérabilités connues sous le nom PrintNightmare ont défrayé la chronique. Le problème touche le service Windows Print Spooler. Avec la mise à jour de sécurité d’août 2021, un changement est opéré sur le comportement de la fonctionnalité Point and Print afin de ne plus permettre l’ajout ou la mise à jour d’imprimantes stockés sur des serveurs distants par des utilisateurs sans privilèges (standards). Cette opération requiert maintenant les droits d’administrateur de la machine. Ce changement de paradigme peut avoir un impact pour les entreprises qui permettaient ce genre de scénario.

Microsoft donne une méthode permettant de contourner le mécanisme de sécurité via la création d’une clé de registre. Néanmoins, ceci expose à nouveau l’entreprise à des attaques via ces vulnérabilités.

Si vous souhaitez laisser ce mécanisme activé, vous pouvez inclure les drivers d’impression dans votre image d’installation de système d’exploitation ou utiliser un outil d’administration tels que Microsoft Endpoint Configuration Manager pour installer les drivers.

Plus d’informations sur : KB5005652—Manage new Point and Print default driver installation behavior (CVE-2021-34481) (microsoft.com)

Microsoft vient de mettre à disposition pour tous, la version finale (5.00.9058.1000) de Microsoft EndPoint Configuration Manager 2107. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1806 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 1806.

Notez qu’il est nécessaire de valider l’accès à l’URL configmgrbits.azureedge.net pour pouvoir télécharger cette version.

On retrouve seulement un seul problème connu sur la sauvegarde de paramétrages dans la console : Release notes - Configuration Manager | Microsoft Docs

Microsoft Endpoint Configuration Manager 2107 comprend les nouveautés suivantes : 

Administration

• Support de Windows Server 2022 comme serveur de site, systèmes de site et clients.
• Support de l’ADK de Windows 11.
• Configuration Manager requiert désormais Microsoft .NET Framework version 4.6.2 pour les serveurs de site, les systèmes de site spécifiques, les clients et la console. Avant d'exécuter le programme d'installation ou de mise à jour du site, mettez d'abord à jour le .NET et redémarrez le système. Si votre environnement le permet, installez la dernière version de .NET version 4.8. Il existe également une nouvelle règle Management Insights permettant de recommander les systèmes de site qui ne disposent pas encore de la version 4.8 ou ultérieure de .NET.
• Configuration Manager requiert maintenant les versions 14.28.29914.0 de Visual C++ 2015-2019 afin d’améliorer la stabilité générale du produit.
• Le vérificateur de prérequis avertit maintenant de la présence de SQL Server 2012 arrivant en fin de support au 12 juillet 2022.
• Il est maintenant possible d’envoyer des notifications vers des applications ou systèmes externes afin de simplifier le processus utiliser des méthodes basées sur des Web Services. Vous pouvez donc configurer des abonnements pour envoyer ces notifications en réponses à des événements donnés.

 Gestion attachée au Cloud (Cloud-attached Management)

• A partir de cette version la Cloud Management Gateway dans un mode Virtual Machine Scale Set n’est plus en préversion.
• A partir de ConfigMgr 2107, il n’est plus possible de créer d’instances de Cloud Distribution Point. Vous devez utiliser la Cloud Management Gateway pour distribuer du contenu.
• Microsoft a modifié les écrans de l’assistant lors de la mise à niveau de site pour inclure et inciter à onboarder l’infrastructure à Microsoft Endpoint Manager de façon à activer les fonctionnalités Tenant attach, co-management, et Endpoint Analytics.
• Il est maintenant possible de convertir une Cloud Management Gateway vers le mode Virtual Machine Scale Set (VMSS). L’usage du mode VMSS permet de débloquer les clients qui ont des abonnements Cloud Solution Provider (CSP). C’est la nouvelle mode de déploiement à utiliser en précision de l’annonce de dépréciation des Cloud Service (Classic).

• Lors du déploiement d’une Cloud Management Gateway dans un mode Virtual Machine Scale Set (VMSS), vous pouvez choisir une taille de machine virtuelle parmi : Lab (B2s), Standard (A2_v2 – Taille par défaut), Large (A4_v2). Ces différentes tailles permettent d’adapter la taille en fonction du nombre de clients à couvrir pour réduire le coût.

• Support de la fonctionnalité Tenant Attach pour le Cloud US Government.
• Le nœud Co-Management a été renommé en Cloud Attach. L’assistant de configuration a aussi été renommé.

Desktop Analytics

• Desktop Analytics prend désormais en charge la nouvelle configuration du processeur de données de diagnostic Windows. Cette configuration vous offre un meilleur contrôle de vos données de diagnostic Windows. Microsoft joue le rôle de processeur de données et traite les données de diagnostic Windows pour le contrôleur.

Gestion en temps réel

• Simplification des prérequis de permissions pour CPivot. Il n’est plus nécessaire de donner les droits de lecture sur SMS Scripts. Les permissions sur l’étendue par défaut (default scope) ne sont plus requises.
• Amélioration de CMPivot avec :
  • Ajout d'une valeur de clé à l'entité Registry
  • Ajout d'une nouvelle entité RegistryKey qui renvoie toutes les clés de registre correspondant à l'expression donnée.
  • Ajout des agrégateurs maxif et minif qui peuvent être utilisés avec l'opérateur summarize.
  • Améliorations des suggestions d'autocomplétion des requêtes dans l'éditeur de requêtes

Gestion des clients

• Support de macOS Big Sur version 11
• Microsoft introduit un moyen d’attacher des propriétés à des périphériques via l’administration service. Ces propriétés sont en général des éléments comme l’emplacement, la catégorie, le centre de coût, le département, et peuvent provenir d’outils externes basés sur ITIL (ITSM, etc.).
• Lorsque vous activez le site avec Enhanced HTTP, le Software Center et le portail d’entreprise préfèrent une communication sécurisée via HTTPS pour obtenir les applications disponibles pour l'utilisateur depuis le Management Point.
• A partir de cette version, l’activation de l’option Use encryption, force le client à utiliser l’algorithme AES-256 pour chiffrer les données d’inventaire et les messages d’état avant l’envoi au Management Point.

• Configuration Manager utilise des certificats auto-signés pour l'identité des clients et pour aider à protéger la communication entre le client et les systèmes du site. Lorsque vous mettez à jour le site et les clients vers la version 2107, le client stocke son certificat du site dans un fournisseur de stockage de clés (KSP) lié au matériel. Ce KSP est généralement le module de plate-forme de confiance (TPM). Le certificat est également marqué comme non exportable.
• Vous pouvez maintenant inventorier les paramètres des fichiers de journalisation du client, tels que les niveaux et la taille du journal. Cette nouvelle classe d'inventaire n'est pas activée par défaut.

Gestion des Applications

• A partir de cette version, vous pouvez activer le support de la désinstallation implicite sur un déploiement d’application. Si le périphérique est ajouté à la collection, l’application est alors installée. Si le périphérique est retiré de la collection, alors l’application est désinstallée.  

Mises à jour logicielles

• Vous pouvez désormais cliquer avec le bouton droit de la souris et notifier aux périphériques l'exécution d'un cycle d'évaluation des mises à jour logicielles à partir de l'état de déploiement des mises à jour logicielles. Vous pouvez cibler un seul périphérique dans le volet Asset Details ou sélectionner un groupe de périphériques en fonction de leur état de déploiement.

• Les Management insights proposent une nouvelle règle pour détecter si vos Software Update Point sont configurés pour utiliser TLS/SSL. Pour consulter la règle Configure software update points to use TLS/SSL, allez dans Administration > Management Insights > All Insights > Software Updates.

• Microsoft propose une page de documentation avec des liens vers des fournisseurs de catalogues de mises à jour tiers. Choisissez More Catalogs dans le ruban du nœud Third-party software update catalogs. Un clic droit sur le nœud Third-Party Software Update Catalogs affiche également L’option.

• Longtemps attendu, vous pouvez maintenant spécifier le type de déploiement pour le déploiement de mise à jour logicielle créé par un ADR. Sélectionnez Required pour créer un déploiement de mise à jour logicielle obligatoire ou Available pour créer un déploiement de mise à jour logicielle en libre-service.

• Si vous créez une ADR avec l'option No deployment package, vous ne pouvez pas revenir en arrière et en ajouter un plus tard. Pour résoudre le problème, Microsoft a publié un script dans le Community Hub.

• Le paramètre -Product de New-CMSoftwareUpdateAutoDeploymentRule a été mis à jour. Lorsqu'il existe plusieurs produits portant le même nom, -Product les sélectionne tous.

Déploiement de systèmes d’exploitation

• Cette version ajoute la prise en charge des pilotes de clavier en couches lors du déploiement du système d'exploitation. Ce pilote spécifie d'autres types de claviers qui sont communs aux langues japonaise et coréenne.

Protection

• Une option d'audit pour les applications potentiellement indésirables (PUA) a été ajoutée dans les paramètres de la politique Antimalware. Ceci permet de détecter les applications potentiellement indésirables sans les bloquer.

Community Hub

• Vous pouvez désormais publier une requête CMPivot sur le Community Hub directement depuis la fenêtre CMPivot.

Outils

• La vue Content dans les Outils Client du Support Center a été renommée en Deployments. Vous pouvez passer en revue tous les déploiements actuellement ciblés sur le périphérique. La nouvelle vue est regroupée par catégorie et par statut.
• Cette version inclut de multiples améliorations des performances de CMTrace.
• RBAViewer a été déplacé de <installdir>\tools\servertools\rbaviewer.exe. Il se trouve désormais dans le répertoire de la console Configuration Manager. Après avoir installé la console, RBAViewer.exe se trouvera dans le même répertoire. L'emplacement par défaut est C:\Program Files (x86)\Microsoft Endpoint Manager\AdminConsole\bin\rbaviewer.exe.

Console d’administration

• En s'appuyant sur les améliorations apportées à Configuration Manager 2010 pour la coloration syntaxique et l’éditeur de code, vous pouvez désormais modifier les scripts dans un éditeur amélioré. Le nouvel éditeur prend en charge la coloration syntaxique, le pliage de code, le retour à la ligne, les numéros de ligne, ainsi que la recherche et le remplacement. Le nouvel éditeur est disponible dans la console partout où les scripts et les requêtes peuvent être visualisés ou modifiés.

• À partir de cette version, les messages d'erreur comprennent un lien permettant de signaler l'erreur à Microsoft. Cette action ouvre la fenêtre standard " send a frown" pour fournir des informations. Elle inclut automatiquement des détails sur l'interface utilisateur et l'erreur afin de mieux aider l’équipe produit t à diagnostiquer l'erreur.

• À partir de cette version, vous pouvez choisir d'autoriser les extensions de console non signées approuvées par la hiérarchie. Vous pouvez avoir besoin d'autoriser des extensions de console non signées en raison d'une extension non signée développée en interne, ou pour tester votre propre extension personnalisée.
• On retrouve plusieurs améliorations sur la console d’administration :
  • Raccourcis vers les messages d'état ajoutés au nœud Administrative Users et au nœud Accounts. Sélectionnez un compte, puis sélectionnez Show Status Messages.
  • Vous pouvez naviguer vers une collection à partir de l'onglet Collections du nœud Devices. Sélectionnez Afficher la collection dans le ruban ou dans le menu contextuel de l'onglet.
  • Une colonne fenêtre de maintenance a été ajoutée à l'onglet Collections du nœud Devices.
  • Si la suppression d'une collection échoue en raison de l'affectation de l'étendue, les utilisateurs affectés sont affichés.
  • Vous pouvez désormais utiliser l'option de recherche All Subfolders à partir des nœuds Boot Images, Operating System Upgrade Packages, et Operating System Images.

Plus d’informations sur cette version : What's new in version 2107 - Configuration Manager | Microsoft Docs

Pour obtenir les éléments relatifs au processus de mise à jour : Updates and servicing - Configuration Manager | Microsoft Docs

Michael Hildebrand (MSFT) a publié un workbook permettant de suivre l’usage de Windows Hello for Business. Le Workbook permet de savoir qui utilise cette méthode, sur quel périphérique, depuis où, etc. 

Pour plus d’informations et obtenir le Workbook, rendez-vous sur : Azure AD Sign-in Logs + Workbooks = Know Who is Using Windows Hello for Business - Microsoft Tech Community

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

• Microsoft annonce l’arrivée d’un nouveau type de licence : Microsoft Defender for Endpoint Plan 1. Ce plan inclut les capacités de protection de génération suivante, les règles de réduction de surface d’attaque (ASR), de gestion centralisée, de reporting, et d’API. Ce plan permet à des clients qui souhaitent essayer la solution de mettre un premier pied à l’étrier. La licence historique avec les capacités complètes devient Microsoft Defender for Endpoint Plan 2 .
• Annonce du support natif des périphériques Apple équipés de la puce ARM Apple M1. Pour cela, il faut utiliser Microsoft Defender for Endpoint version 101.40.84 ou ultérieur. Cette version donne accès au package unifié permettant de déployer sur les mac équipes d’un processeur Intel ou M1. Cela signifié qu’il n’est plus nécessaire de déployer l’émulateur Rosetta 2.
• Microsoft a annoncé l’intégration avec la plateforme de gestion prédictive de vulnérabilités : DeepSurface. Ce permet d’importer des informations sur les vulnérabilités des hôtes Microsoft, Linux et MacOS directement dans la plateforme de gestion des vulnérabilités DeepSurface, ce qui renforce encore l'importance que nous accordons à l'interopérabilité.
• Public Preview permettant de définir un indicateur de compromission (IoC) sans pour autant lever une alerte associée en mode audit.
  • L'action de réponse "alerte uniquement" a été renommée en "audit" avec le paramètre de génération d'alerte activé.
  • L'action de réponse "alerte et blocage" a été renommée en "blocage et remédiation" avec le paramètre facultatif de génération d'alerte.
• Le schéma de l'API IoC et les identifiants de menace dans l’Advanced Hunting ont été mis à jour pour s'aligner sur le changement de nom des actions de réponse IoC. Les modifications du schéma API s'appliquent à tous les types d'IoC.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Les versions 207, 208 apportent les changements suivants :

• Public Preview d’une nouvelle fonctionnalité permettant de bloquer de manière douce une application cloud via un avertissement. L’utilisateur peut alors passer l’avertissement pour accéder au site en question. L’administrateur peut ensuite superviser les accès et les outre-passages en voyant les tendances. La fonctionnalité fait appel à Microsoft Cloud App Security et Microsoft Defender for Endpoint.
• Public Preview d’une nouvelle expérience modernisée pour les applications découvertes (Web Apps ou OAuth) afin de fournir une vue unifiée.
• Public Preview du composant additionnel de gouvernance d’applications permettant de fournir des capacités de gestion des stratégies et de la sécurité pour les applications OAuth qui utilisent des données Microsoft 365 au travers de Graph API. Ce module fournit une vision complète, de la remédiation et de la gouvernance sur comment ces applications utilisent, accèdent et partagent vos données sensibles.
• Public Preview du connecteur d’application SmartSheet afin de superviser et protéger les utilisateurs et activités.

Plus d’informations sur : What's new with Microsoft Cloud App Security

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Cloud App Security. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve :

• Public Preview de l’ajout de plus de colonnes aux tables EmailEvents, EmailAttachmentInfo, et EmailPostDeliveryEvents.

Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

Microsoft a annoncé le support natif de Microsoft Defender for Endpoint pour les périphériques Apple équipés de la puce ARM Apple M1.

Pour cela, il faut utiliser Microsoft Defender for Endpoint version 101.40.84 ou ultérieur. Cette version donne accès au package unifié permettant de déployer sur les mac équipes d’un processeur Intel ou M1. Cela signifié qu’il n’est plus nécessaire de déployer l’émulateur Rosetta 2. Si vous l’aviez installé, charge à vous de le désinstaller.

Ce support requiert macOS 11 (Big Sur) ou une version ultérieure. Pour l’instant, la version est disponible pour les périphériques dans le canal Beta et Preview via Microsoft AutoUpdate mais elle sera disponible via le canal Current.

Plus d’informations sur : Announcing Apple M1 native support - Microsoft Tech Community

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.158 inclut une nouvelle alerte de sécurité : Suspicious network connection over Encrypting File System Remote Protocol (ID externe 2416). Dans cette détection, Microsoft Defender for Identity déclenchera une alerte de sécurité chaque fois qu'un attaquant tentera d'exploiter le protocole EFS-RPC contre le contrôleur de domaine. Ce vecteur d'attaque est associé à la récente attaque PetitPotam.  Plus d’informations sur : PetitPotam? Microsoft Defender for Identity has it covered! - Microsoft Tech Community
• Les versions 2.158 et 2.159 incluent une nouvelle alerte de sécurité : Exchange Server Remote Code Execution (CVE-2021-26855) (external ID 2414). Dans cette détection, Microsoft Defender for Identity déclenchera une alerte de sécurité chaque fois qu'un attaquant tentera de modifier l'attribut "msExchExternalHostName" de l'objet Exchange pour l'exécution de code à distance. Pour en savoir plus sur cette alerte : Microsoft Defender for Identity lateral movement security alerts | Microsoft Docs. Cette détection repose sur l'événement 4662 de Windows, il doit donc être activée au préalable. Microsoft a étendu la prise en charge de cette détection pour qu'elle se déclenche lorsqu'un attaquant potentiel communique sur un canal EFS-RPC chiffré. Les alertes déclenchées lorsque le canal est chiffré seront traitées comme des alertes de gravité moyenne, par opposition aux alertes de gravité élevée lorsqu'il n'est pas chiffré.
• Les versions 2.157, 2.158, 2.159, et 2.160 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft vient de mettre à disposition la Technical Preview 2108 (5.0.9060.1000) de Microsoft Endpoint Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2010 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

Microsoft Endpoint Configuration Manager TP 2108 comprend les nouveautés suivantes :

Administration

• Vous pouvez désormais exporter le contenu d'une vue en grille dans la console d’administration, ainsi que les en-têtes de colonne, vers un fichier CSV. Il était déjà possible de couper et coller à partir d'une vue. Vous pouvez exporter tous les éléments ou certains éléments sélectionnés dans les nœuds suivants : Device Collections, User Collections, Devices, Users. Pour exporter les informations, sélectionnez Export to CSV file depuis le ruban ou dans le menu contextuel. Choisissez Export selected items pour exporter uniquement les éléments que vous avez déjà sélectionnés.

• Dans la ConfigMgr 2107, il est possible d’utiliser l’administration service pour configurer des propriétés personnalisées sur un périphérique. Ceci permet d’ajouter des données externes au périphérique faciliter le déploiement, la création de collection, etc. Cette Technical Preview permet de créer et d’éditer les propriétés personnalisées depuis la console d’administration depuis l’enregistrement.

Clients

• Vous pouvez maintenant séparer le logo que vous avez spécifier pour les notifications Windows 10 de celui du logo du Software Center/Centre Logiciels.  

PowerShell

• On retrouve de nouvelles cmdlets :
  • Get-CMDeploymentTypeRequirement.  
  • Get-CMSecurityRolePermission
  • Set-CMSecurityRolePermission

Plus d’informations sur : Technical preview 2108 - Configuration Manager | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [iOS/iPadOS/macOS] Disponibilité Générale de la méthode d’authentification moderne dans Setup Assistant lors de l’utilisation du mode d’enregistrement Automated Device Enrollment (ADE).  Ceci permet de bénéficier de l’authentification à facteurs multiples pour enregistrer un périphérique. Microsoft donne des directives pour migrer du mode hérité vers le mode moderne : Move to Setup Assistant with Modern Authentication for Automated Device Enrollment - Microsoft Tech Community

• [iOS/iPadOS/macOS] Vous pouvez utiliser la méthode d’authentificaiton moderne dans Setup Assistant dans les filtres pour déployer des stratégies : Using filters with Setup Assistant with modern auth for ADE for corporate iOS/iPadOS/macOS devices - Microsoft Tech Community
• [macOS] Le portail d’entreprise Intune pour macOS est maintenant une application universelle qui peut s’exécuter nativement sur les macs Apple Silicon mais aussi sur les mac Intel x64. Ceci est applicable à partir de la version 2.18.2107.

Gestion du périphérique

• [Windows 10] Microsoft a ajouté les informations du journal d’événements opérationnel pour Windows Hello for Business à la fonction de collecte des informations diagnostic de Windows 10.
• [Windows 10] Endpoint Analytics montre des scores par périphériques afin d’évaluer l’impact de l’expérience utilisateur par périphérique.

Configuration du périphérique

• [Général] Une nouvelle version (6.2108.18.0) du Certificate Connector incluant un correctif pour afficher l’état actuel du connecteur dans le centre d’administration MEM et un correctif pour renvoyer les échecs de délivrance de certificats SCEP.
• [Windows 10] Vous pouvez créer et utiliser des filtres pour déployer un profil Device Firmware Configuration Interface (DFCI) sur des périphériques Windows 10 1809+.
• [Windows 10] Microsoft a augmenté la taille des fichiers XML GPO exporté par la fonction Group Policy Analytics à 4 MB.
• [macOS] Lors de la création d'une stratégies de restriction de périphérique personnalisée pour les périphériques macOS, un nouveau paramètre de canal de déploiement permettant de déployer vers le canal utilisateur ou le canal périphérique. Si vous envoyez le profil au mauvais canal, le déploiement peut échouer.

• [macOS] Il existe de nouveaux paramètres que vous pouvez configurer sur les périphériques macOS 10.13+ :
  • Block adding Game Center friends (App Store, Doc Viewing, Gaming) : Empêche les utilisateurs d'ajouter des amis au Game Center.
  • Block Game Center (App Store, Doc Viewing, Gaming) : Désactive le Game Center, et l'icône du Game Center est supprimée de l'écran d'accueil.
  • Block multiplayer gaming in the Game Center (App Store, Doc Viewing, Gaming) : Empêche les jeux multijoueurs lors de l'utilisation du Game Center.
  • Block modification of wallpaper (Général) : Empêche la modification du papier peint.
• [iOS/iPadOS] Sur les périphériques iOS/iPadOS, vous pouvez configurer la taille de la grille de l'écran d'accueil (Devices > Device Configuration > Create profile > iOS/iPadOS comme plateforme > Device features pour profile > Home screen layout). Par exemple, vous pouvez définir la taille de la grille sur 4 colonnes x 5 lignes. La taille de la grille aura plus d'options :4 colonnes x 5 lignes, 4 colonnes x 6 lignes, 5 colonnes x 6 lignes

• [iOS/iPadOS] Lors de la création d'une stratégie de restriction de périphériques pour les périphériques iOS/iPadOS, un nouveau paramètre Require devices to use Wi-Fi networks set up via configuration profiles est disponible pour que les périphériques n'utilisent que les réseaux Wi-Fi définis par les profils de configuration.

• [Android] Sur les périphériques Android, vous pouvez utiliser l'authentification par certificat pour les réseaux Wi-Fi sur les périphériques personnels avec Work Profile. Lorsque vous utilisez le type Wi-Fi d'entreprise et que vous sélectionnez le type EAP, un nouveau paramètre Certificate server names apparaît. Utilisez ce paramètre pour ajouter une liste des noms de domaine du serveur de certificat utilisés par votre certificat. Sur les appareils Android 11 et plus récents, si vous utilisez le type Enterprise Wi-Fi, vous devez ajouter les noms de serveur de certificat. Si vous n'ajoutez pas les noms de serveurs de certificats, les utilisateurs auront des problèmes de connexion.

Gestion des applications

• [Général] Une nouvelle application protégée est disponible : F2 Touch Intune by cBrain A/S
• [Général] Si vous utilisez des filtres pour assigner des applications en libre-service, vous pouvez voir le résultat dans le rapport d’évaluation des filtres sur la page du périphérique en naviguant dans Devices > All Devices > sélectionnez un périphérique > Filter evaluation (preview).
• [Android] Les stratégies de protection applicatives (MAM/APP) supportent maintenant l’évaluation SafetyNet device attestation comme condition de lancement. Ce type d'évaluation est une clé liée au matériel. La présence d'une clé liée au matériel comme type d'évaluation indique une plus grande intégrité d'un périphérique. Les périphériques qui ne prennent pas en charge les clés adossées à du matériel seront bloqués par la politique MAM s'ils sont ciblés par ce paramètre.
• [iOS/Android] Vous pouvez désormais activer les paramètres Outlook S/MIME pour toujours signer et/ou toujours chiffrer sur les périphériques iOS et Android lorsque vous utilisez l'option applications gérées. Vous pouvez trouver ce paramètre dans le centre d'administration Microsoft Endpoint Manager lorsque vous utilisez des applications gérées en sélectionnant Apps > App configuration policies. En outre, vous pouvez ajouter une URL LDAP (Lightweight Directory Access Protocol) pour Outlook S/MIME sur les périphériques iOS et Android pour les applications gérées et les périphériques gérés.
• [macOS] Intune peut désormais afficher le contenu des applications macOS LOB (fichiers .intunemac) dans la console. Vous pouvez examiner et modifier les détails de la détection des applications dans la console Intune qui sont capturés à partir du fichier .intunemac lors de l'ajout d'une application macOS LOB. Lors du téléchargement d'un fichier PKG, les règles de détection seront créées automatiquement.

Sécurité du périphérique

• [Android] Microsoft a ajouté un paramètre de conformité pour les périphériques Android personnels avec Work Profile afin de spécifier le type d’évaluation SafetyNet (Hardware-backed key). Celle-ci est disponible après la configuration de Safety device attestation.

• [macOS] Microsoft a ajouté 8 Nouveaux paramètres pour gérer Microsoft Defender for Endpoint sur macOS via le catalogue de paramétrages. Ceci inclut :
  • Microsoft Defender - Antivirus engine: Disallowed threat actions, Exclusions merge, Scan history size, Scan Results Retention, Threat type settings merge
  • Microsoft Defender - Cloud delivered protection preferences: Automatic security intelligence updates
  • Microsoft Defender - User interface preferences: User initiated feedback
  • Microsoft Defender - Network protection : Enforcement level

Supervision et Dépannage

• [Général] Tous les profils de configuration des périphériques et Endpoint Security sont désormais fusionnés en un seul rapport. Vous pouvez visualiser toutes les stratégies appliquées à votre périphérique dans le nouveau rapport unique qui contient des données améliorées. Par exemple, vous pouvez voir la distinction des types de profils dans le nouveau champ Type de politique. De plus, en sélectionnant une stratégie, vous obtiendrez des détails supplémentaires sur les paramètres appliqués au périphérique et sur l'état de ce dernier. Dans le centre d'administration e Microsoft Endpoint Manger, vous devez sélectionner Devices > All devices > sélectionnez un périphérique > Device configuration pour voir ce rapport quand il sera disponible.
• [Général] Microsoft a ajouté au centre d'administration Microsoft Endpoint Manager la possibilité de confirmer que les serveurs Tunnel Gateway peuvent accéder au réseau interne, sans que quelqu'un ait à accéder directement aux serveurs. Pour activer cette fonction, vous devez configurer une nouvelle option appelée URL for internal network access check dans les propriétés de chaque site Tunnel Gateway. Après avoir ajouté une URL de votre réseau interne à un site Tunnel Gateway, chaque serveur de ce site tente périodiquement d'y accéder, puis renvoie le résultat.
• [Général] Vous pouvez désormais personnaliser les seuils qui déterminent l'état de santé pour plusieurs métriques de Microsoft Tunnel Gateway. Les métriques de l'état de santé ont des valeurs par défaut qui déterminent si le rapport d'état est sain, en warning ou non sain. On retrouve : L’Utilisation du CPU, L’Utilisation de la mémoire, L’Utilisation de l'espace disque, la Latence, le débit.
• [Général] Vous pouvez voir les tendances de l’état de santé des différentes métriques de Microsoft Tunnel Gateway sous la forme d’un tableau comprenant : les connexions, l’usage CPU, l’usage de l’espace disque, l’usage mémoire, la latence moyenne,
• [Windows 10] Microsoft a ajouté deux colonnes aux rapports Windows 10 Unhealthy endpoints et Antivirus agent status :
  • MDE Onboarding status- (HealthState/OnboardingState) Indique la présence de l'agent Microsoft Defender for Endpoint sur le périphérique.
  • MDE Sense running state - (HealthState/SenseIsRunning) Indique l'état opérationnel du capteur Microsoft Defender for Endpoint sur un périphérique.

RBAC

• [Android] Les balises d’étendue (Scope Tags) sont maintenant disponibles pour les applications issues du Managed Google Play. Le mécanisme permet d’assigner automatiquement une balise d’étendue pour toutes les nouvelles applications synchronisées via le connecteur Managed Google Play. Ceci s’applique uniquement aux applications nouvelles synchronisées et non pas aux anciennes applications.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Si vous utilisez Microsoft Endpoint Manager (Intune), vous savez qu’il est parfois compliqué d’utiliser les informations renvoyées par le portail. C’est notamment le cas pour les périphériques Windows 10 où on retrouve différents problèmes avec les rapports d’état des stratégies :

Un rapport de stratégies indique deux ou plusieurs enregistrements pour le même périphérique : un ou plusieurs comptes "utilisateur" et un avec un compte "système"

Le cas du compte system survient si le périphérique récupère des stratégies (toutes les 8 heures) et qu’aucun utilisateur n’est connecté. Cela peut aussi survenir dans le cas d’Autopilot.

Microsoft va d'ajouter plus d'options de rapport afin de comprendre clairement quand et quels enregistrements utilisateurs ont eu lieu sur le périphérique avec un statut de stratégie. En outre, Microsoft va fournir un rapport supplémentaire qui ne comporte pas d'entrées doubles par périphérique.

Un rapport de stratégies montre des périphériques bloqués dans l’état Pending

Lorsqu'un périphérique a le statut "Pending", cela signifie qu'il ne s'est pas connecté pour recevoir la stratégie. Il existe un scénario connu dans lequel l'état du périphérique peut encore apparaître comme "Pending" dans un rapport, même après que la politique ait été livrée au périphérique. Pour remédier à ce problème, il faut synchroniser le périphérique pour refléter précisément l'état de l'appareil.

Microosft est en train de s’assurer que les rapports sur les stratégies affichent le dernier ensemble de données exactes pour les périphériques ciblés. Pour les périphériques dans un état Pending, Microsoft est en train de vérifier que le calcul de ces données est correct et cohérent dans toute la console.

Les données des listes de rapports et des tableaux récapitulatifs ne sont pas cohérentes.

Les listes de rapports sur les stratégies et les pages de résumé se mettent à jour à une cadence différente, ce qui peut entraîner des incohérences dans les données rapportées. En outre, les graphiques récapitulatifs en forme de donuts sont agrégés sur la base du pire cas d'un périphérique ciblé pour une politique. Cela peut avoir pour conséquence que les chiffres récapitulatifs affichent des totaux différents du nombre d'entrées dans la liste détaillée complète.

Microsoft est en train de travailler sur des améliorations pour garantir que les rapports soient toujours cohérents. En outre, Microsoft envisage de modifier la manière dont ils agrègent les graphiques récapitulatifs afin de refléter le même nombre d'entrées que dans la vue en liste.

Plus d’informations sur : Support Tip: Known Issues with Intune policy reports - Microsoft Tech Community

Depuis le Patch Tuesday d’août 2021, Microsoft a introduit un nouveau paramètre de stratégie de groupes (GPO) permettant une meilleure gestion des périphériques d’une machine. Le paramètre Apply Layered order of evaluation for Allow and Prevent device installation policies s’adresse à Windows 10, Windows 11 et prochainement Windows Server. Le paramètre a été backporté sur toutes les versions de Windows 10 supportées à l’occasion du Patch Tuesday d’août.

On retrouvait déjà les Device Installation Policies mais qui démontrait des limitations.

Il n’est plus nécessaire de connaître les différentes classes de périphériques pour empêcher l'installation des classes USB uniquement. La nouvelle stratégie vous permet de concentrer les scripts sur les classes USB et d'être sûr qu'aucune autre classe ne sera bloquée, sauf si l'administrateur le spécifie.

En outre auparavant, chaque politique de prévention (Prevent) avait la priorité sur toute politique d'autorisation (allow), ce qui créait un ensemble de définitions et un ensemble rigide d'autorisation/prévention de périphériques, provoquant des problématiques de mise à jour chaque fois qu'un nouvel ensemble de périphérique entrait sur le marché. Avec la nouvelle stratégie, Microsoft introduit une hiérarchisation dans l'ordre suivant :

• ID de l'instance : le rang le plus élevé
• IDs de matériel et IDs compatibles (Device IDs)
• Classe
• Propriété du périphérique amovible : le rang le plus bas

Le classement de l'identifiant du périphérique est évalué et, si le classement est le même, la priorité d'empêcher est donnée sur la priorité d'autoriser. Par exemple, les administrateurs peuvent empêcher toutes les classes USB et n'autoriser qu'un petit ensemble de périphériques USB par le biais d'identifiants matériels, car ils ont un rang plus élevé ; toutefois, la liste des autorisations ne prend le pas sur la liste des interdictions que lorsque les périphériques répertoriés dans la liste des autorisations sont connectés à la machine.

Plus d’informations sur : Manage Device Installation with Group Policy (Windows 10) - Windows Client Management | Microsoft Docs

Microsoft a publié le correctif KB10589155 de Microsoft Endpoint Configuration Manager 2103 (MECM/SCCM). Ce correctif n’est applicable que si vous avez déjà installé l’Update Rollup KB10036164.

Il corrige les problèmes suivants :

• Le client peut échouer à télécharger la stratégie Endpoint Security via Tenant Attach, si le site est configuré pour utiliser uniquement HTTPS.
• Les clients sont considérés à tort comme étant en mode de coexistence si l'inscription à Intune échoue.
• Les clients sans certificat PKI, utilisant l'authentification Azure Active Directory, peuvent tenter de s'inscrire plusieurs fois sur le site.

Plus d’informations sur :  Client update for Microsoft Endpoint Configuration Manager version 2103 - Configuration Manager | Microsoft Docs

Forrester a publié son rapport sur les solutions Augmented BI Platforms. Microsoft ressort comme le leader suivi d’Oracle, Salesforce, TIBCO Software, Sisense parmi les leaders du marché.

Le commentaire de Forrester est le suivant :

Microsoft Power BI est un choix évident pour les clients Azure et/ou O365. Il est difficile de ne pas considérer Power BI comme votre premier choix pour une plateforme de BI d'entreprise, surtout si votre organisation prévoit de déployer la plupart de ses applications métier et de productivité et de stocker et traiter la plupart des données sur Microsoft Azure. Ses capacités de BI améliorées comprennent 32 modèles ML prêts à l'emploi (OOTB) pour les utilisateurs professionnels, le ML guidé (Azure AutoML) pour les scientifiques de données citoyens et l'intégration avec les carnets Jupyter pour les pros de la science des données. La plateforme se targue d'une fonctionnalité unique de "préparation des données par l'exemple" permettant d'ingérer des ensembles de données non basés sur des lignes/colonnes (comme les étiquettes) dans le cadre de sa fonction de préparation des données augmentée (Power Query) et de l'analyse des graphiques (Forced Directed Graph) - une rareté parmi les plateformes de BI traditionnelles basées sur SQL/OLAP. La plateforme met également les points sur les i pour la plupart des fonctionnalités de base de la BI d'entreprise, y compris le reporting d'entreprise que beaucoup reconnaîtront comme la version moderne de SQLServer Reporting Services (SSRS).

Lire le rapport de Forrester

Plus d’informations sur : Microsoft named a Leader in The Forrester Wave: Augmented BI Platforms, Q3 2021 | Microsoft Power BI Blog | Microsoft Power BI

Microsoft a publié le correctif KB10582136 de Microsoft Endpoint Configuration Manager 2103 (MECM/SCCM). Ce correctif n’est applicable que si vous avez déjà installé l’Update Rollup KB10036164. Il remplace aussi les KBs :

• KB10216365: Unable to move site database to SQL Always On availability group in Configuration Manager, version 2103
• KB10372804: Using the MBAM Agent to escrow BitLocker recovery keys generates excessive policies in Configuration Manager, version 2103

Il corrige un problème sur la fonctionnalité Tenant-Attach concernant la création de rapports sur les détails au niveau des périphériques concernant les politiques Endpoint Security déployées sur les clients Configuration Manager.

Plus d’informations sur :  Tenant attach update for Configuration Manager current branch version 2103 - Configuration Manager | Microsoft Docs