Microsoft a mis à jour sa documentation pour proposer plusieurs articles comprenant les bonnes pratiques d’utilisation d’Azure Sentinel :

• General Best Practices
• Best Practices for Deployment
• Best Practices for Data Collection
• Azure Sentinel workspace architecture best practices
  • Design your Azure Sentinel workspace architecture
  • Azure Sentinel sample workspace designs

En juin dernier, Microsoft annonçait l’arrivée d’un nouveau service Compliance Retrivial en remplacement de son ancien service Intune NAC pour Microsoft Endpoint Manager / Intune. Ce service permet à un partenaire offrant une solution de contrôle d’accès réseau (NAC) de s’interfacer afin d’utiliser les informations de conformité du périphérique.

Ce nouveau service apporte de nombreux avantages par rapport à l’ancien. Par exemple, il utilise la recherche par l’identifiant de périphérique Intune uniquement, ce qui supprime la dépendance vis-à-vis des identifiants internes, tels que les numéros de série, qui ne sont pas toujours accessibles. Il élimine également les identifiants d'adresse MAC, qui posent problème car les périphériques peuvent avoir des adresses MAC multiples ou aléatoires. Le nouveau service est également rationalisé pour ne renvoyer que les données d'inscription et de conformité d'Intune. Toute autre donnée sur les appareils non liée au contrôle d'accès n’est plus disponible dans ce service.

Afin d’utiliser ce nouveau service, vous devez l'authentification par certificat pour les réseaux NAC. Vous devrez également inclure l'identifiant du périphérique Intune dans le nom alternatif du sujet (SAN) de vos profils de certificat. Pour ce faire, ajoutez un attribut Uniform Resource Identifier (URI) au format défini par votre fournisseur NAC, par exemple : IntuneDeviceId://{{DeviceID}}. Pour des instructions détaillées, consultez la documentation de votre partenaire NAC.

Les partenaires NAC travaillent actuellement à adapter leurs solutions selon leurs calendriers de développement. Microsoft mettra à jour le billet avec les informations de support provenant des partenaires : New Microsoft Intune service for network access control - Microsoft Tech Community

Microsoft retirera le service Intune NAC à la fin de l'année 2022 pour donner le temps aux partenaires NAC et aux entreprises d'effectuer la transition vers le service Compliance Retrieval et/ou d'adopter la solution Microsoft Graph.

Microsoft a introduit un ensemble de nouveautés dans Azure Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Acquisition de RiskIQ par Microsoft.
• Microsoft a participé à l’élaboration de la matrice ATT&CK pour les conteneurs.
• Microsoft est nommé visionnaire dans le Magic Quadrant pour les SIEM.
• Ajout d’une nouvelle règle d’analyse Microsoft Threat Intelligence Analytics qui fait correspondre les données de renseignement sur les menaces générées par Microsoft avec vos journaux et génère des alertes/incidents avec une gravité appropriée en fonction du contexte du journal. Une fois qu'une correspondance est générée, l'indicateur est publié dans votre référentiel de renseignements sur les menaces dans Azure Sentinel.

• Disponibilité Générale des Watchlists Azure Sentinel pour toutes les régions. Ces dernières permettent de créer une collection de données à partir de sources de données externes afin de les corréler avec les évènements d’Azure Sentinel.

• Public Preview des modèles pré-inclus de Watchlists. On retrouve par défaut les modèles suivants : VIP Users, Terminated Employees, Service Accounts, Identity Correlation, High Value Assets, et Network Mapping.

• Il est maintenant possible (en Preview) d’activer la synchronisation bidirectionnelle des alertes entre Azure Sentinel et Azure Defender.

• Amélioration de la liste d’assignation des incidents aux analyses où la liste affiche d’abord les analyses récemment assignés plutôt que la liste alphabétique des utilisateurs.
• Microsoft introduit les Query Packs permettant de sauvegarder des requêtes afin de les rendre déployable immédiatement.

• Public Preview de la table IdentityInfo permettant de rassembler les informations des comptes utilisateurs et comptes de services incluant les privilèges et les données afin de les utiliser dans les requêtes par les analyses.

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en juillet 2021.

Microsoft apporte les nouveautés suivantes :

• Microsoft fait l’acquisition de CloudKnox Security afin de compléter son catalogue Azure AD avec des capacités de Cloud Infrastructure Entitlement Management. Attendez-vous à voir arriver prochainement des fonctionnalités de Privileged Access Management (PAM)
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Clebex
  • Exium
  • SoSafe
  • Talentech
  • Thrive LXP
  • Vonage
  • Zip
  • TimeClock 365
• Disponibilité Générale d’une nouvelle expérience de configuration d’Authenticator pour ajouter un compte Azure Active Directory en se connectant directement à l’application.  Les utilisateurs n'ont plus besoin de scanner un QR Code et peuvent utiliser un Pass d'accès temporaire (TAP) ou un mot de passe + SMS (ou une autre méthode d'authentification) pour configurer leur compte dans l'application Authenticator.
• Microsoft introduit Separation of Duties en Public Preview dans Azure AD Entitlement Management. Cette fonction permet de s’assurer qu’un utilisateur ne reçoit pas une combinaison de permissions qui peut résulter à un risque exposé et à un mauvais usage.
• Disponibilité Générale pour configurer un manager comme un examinateur dans les packages d’accès d’Azure AD Entitlement Management.

• Public Preview du rappel des méthodes d’authentification pour télécharger Microsoft Authenticator. Cette stratégie permet aux administrateurs d'améliorer la sécurité en incitant les utilisateurs à adopter l'application Microsoft Authenticator. Avant cette fonctionnalité, il n'y avait aucun moyen pour un administrateur de pousser ses utilisateurs à configurer l'application Authenticator.
• Sur Azure AD B2B, les flux utilisateurs pour les identités externes ont été simplifiés à quelques clics :
  • Disponibilité Générale d’une fonctionnalité permettant aux utilisateurs externes de s'inscrire en libre-service dans Azure Active Directory en utilisant des comptes Microsoft.
  • Disponibilité Générale d’une fonctionnalité permettant aux utilisateurs externes de s'inscrire en libre-service dans Azure Active Directory à l'aide de leur courriel et de leur code d'accès à usage unique.
• La détection de jetons anormaux est en disponibilité générale dans Identity Protection. Cette fonction permet de détecter la présence de caractéristiques anormales dans le jeton, telles que le temps d'activité et l'authentification à partir d'une adresse IP inconnue.
• Disponibilité Générale des fonctions d’enregistrement ou de jointure de périphérique dans l’accès conditionnel. Cette action utilisateur permet de contrôler les stratégies d'authentification à facteurs multiples (MFA) pour l'enregistrement des périphériques Azure AD. Actuellement, cette action utilisateur vous permet uniquement d'activer l'authentification multifactorielle en tant que contrôle lorsque les utilisateurs enregistrent ou rejoignent des périphériques à Azure AD. Les autres contrôles qui dépendent de l'inscription des périphériques Azure AD ou qui ne sont pas applicables à celle-ci continuent d'être désactivés par cette action utilisateur.
• Public Preview des stratégies de méthode d'authentification des applications dans MS Graph permettant aux administrateurs informatiques d'imposer la durée de vie des informations d'identification secrètes des mots de passe des applications ou de bloquer complètement l'utilisation des secrets. Les stratégies peuvent être appliquées à l'ensemble d'un tenant en tant que configuration par défaut et elles peuvent être étendues à des applications ou des services spécifiques.
• Public Preview d’une nouvelle fonctionnalité qui permet l’envoi des utilisateurs à risque et les journaux de détection des risques à Azure Monitor, Storage Accounts ou Log Analytics en utilisant les paramètres de diagnostic.
• Public Preview du type de ressource onPremisesPublishing comprenant désormais la propriété "isBackendCertificateValidationEnabled" qui indique si la validation du certificat SSL backend est activée pour l'application dans Azure Active Directory. Pour toutes les nouvelles applications Application Proxy, la propriété sera définie à true par défaut. Pour toutes les applications existantes, la propriété sera définie sur false.

Outre ces éléments, je voulais revenir sur plusieurs annonces de juin que j’avais loupé :

• Public Preview de la possibilité de mettre une revue des accès (Access Review) pour les Service Principals.
• Public Preview du contexte de l’authentification de l’accès conditionnel (Conditional Access). Le contexte d'authentification permet aux applications de déclencher l'application de politiques lorsqu'un utilisateur accède à des données ou à des actions sensibles. Vous pouvez ainsi exiger une authentification à facteurs multiples, un périphérique conforme ou même une localisation par GPS.

On retrouve les modifications de service suivantes :

• Le 12 juillet 2021, les clients Azure AD B2B et B2C qui configurent une nouvelle connexion Google ID dans leurs applications personnalisées pour inviter des utilisateurs externes ou activer l'inscription en libre-service verront ces restrictions appliquées immédiatement. Par conséquent, les utilisateurs finaux verront apparaître un écran d'erreur qui bloque leur connexion Gmail si l'authentification n'est pas déplacée vers une vue web du système.
• Il y a environ deux mois, Microsoft a annoncé que l'exception pour les WebViews embarqués pour l'authentification Gmail expirerait dans la seconde moitié de 2021. Récemment, Google a précisé que la date était le 30 septembre 2021.
• Dans le passé, les utilisateurs pouvaient créer des groupes de sécurité et des groupes Microsoft 365 dans le portail Azure. Désormais, les utilisateurs auront la possibilité de créer des groupes à travers les portails Azure, PowerShell et l'API. Les clients sont tenus de vérifier et de mettre à jour les nouveaux paramètres ont été configurés pour leur organisation.
• Dans le portail My Apps, la collection qui s'appelait " All Apps" a été renommée pour s'appeler "Apps". À mesure que le produit évolue, "Apps" est un nom plus approprié pour cette collection par défaut.
• Correction de bugs dans My Apps.

Plus d’informations sur : What’s new Azure AD

Je vous propose un petit aperçu des nouveautés en Juillet 2021 autour de la gouvernance, de la conformité et de la protection de données (MIP, etc.).

On retrouve notamment :

Classification des données

• Disponibilité Générale du classificateur entrainé (Trainable Classifier) de discrimination permettant de détecte les propos discriminatoires explicites et est particulièrement sensible aux propos discriminatoires à l'encontre des communautés afro-américaines/noires par rapport aux autres communautés.

Etiquettes de confidentialité (Sensitivity Labels)

• Disponibilité Générale de la classification automatique (Auto-Labeling) en utilisant les classificateurs entrainés (Trainable Classifiers) dans Office pour Windows et Office Web. Ces capacités sont disponibles à la fois pour les classificateurs entrainés inclus par défaut dans Microsoft 365 mais aussi pour ceux que vous auriez créé vous-même. Côté client Office pour Windows, vous devez utiliser Microsoft 365 Apps for Enterprise Current Channel en version 2009 ou ultérieure. La capacité de classification automatique requiert un niveau de licence : Microsoft 365 E5, Office 365 E5 ou Azure Active Directory Premium P2.
• Preview des étiquettes obligatoires (Mandatory Labeling) est maintenant étendu à Power BI.
• Pour la corédaction de fichiers chiffrés avec des étiquettes de confidentialité, Microsoft déploie la prise en charge des stratégies DLP qui utilisent des étiquettes de confidentialité comme conditions et des pièces jointes non chiffrés pour les courriers électroniques.
• Les événements d'audit pour Outlook sont désormais disponibles pour macOS, iOS et Android, et sont en cours de déploiement pour Outlook web.
• HALOCAD s’intègre avec Microsoft Information Protection pour permettre la protection des fichiers de données CAD.

 Prévention de fuite de données (DLP)

• Une nouvelle capacité permet d’activer ou désactiver de toujours auditer l'activité des fichiers sur les périphériques. Dans ce cas de figure, les activités sur les fichiers Word, PowerPoint, Excel, PDF et .csv sont toujours auditées, même si le périphérique n'est visé par aucune stratégie.
• Disponibilité Générale du scanner On-Premises pour la prévention de fuite de données (DLP).

Gestion de la confidentialité

• Microsoft annonce l’arrivée d’un module Privacy Management permettant de gérer les données personnelles. Ce module est disponible en Preview dès aujourd’hui dans Microsoft 365 et permet d’identifier, protéger les risques sur les données personnelles mais aussi de gérer les demandes de droits personnels.

Gestion des enregistrements et de la rétention

• En Preview, on retrouve des stratégies de rétention pour Teams permettant le support des canaux privés comme un nouvel emplacement Teams lors de la création ou l’édition des stratégies de rétention.
• Les enregistrements réglementaires et les dépendances sont maintenant listées pour chaque entrée dans l'importation d'un plan de classement.

Gestion des risques internes

Public Preview de nouvelles fonctionnalités sur le module de gestion des risques internes (Insider Risk Management) avec :

• Des contrôles d’accès granulaires RBAC permettant de limiter la visibilité des alertes, cas, et activités selon les analystes et l’organisation en place.
• Amélioration du contrôle et de la flexibilité dans la gestion des alertes permettant la multi sélection et l’acquittement en masse.
• Support des signaux d’exfiltration pour tous les fichiers non exécutables à partir de Microsoft Edge et Google Chrome permettant de détecter les fichiers copiés vers le cloud ou les partages réseaux, et les médias amovibles, les fichiers imprimés, etc.

Advanced eDiscovery

Public Preview de nouvelles fonctionnalités :

• Nouveaux workflow Advanced eDiscovery pour le contenu dans Microsoft Teams incluant :
  • Les chats Teams 1:1
  • Les chats de groupe Teams
  • Les canaux Teams
  • Les canaux Teams privés
• Support pour des cas importants et complexes
  • Créer jusqu'à 1 To par collection et ajoutez jusqu'à 40 millions d'éléments à un seul dossier.
  • Exporter le contenu des équipes sous forme de transcription HTML plutôt que d'éléments individuels.
  • Collecter du contenu temporel avant et après l'élément sensible.
  • Exporter des grands ensembles de contenu dans un seul travail, 5 millions de documents ou 500 Go, selon le plus petit des deux.

Gouvernance des applications

• Public Preview du composant additionnel de gouvernance des applications pour Microsoft Cloud App Security. Ceci permet d’assurer la surveillance des applications OAUth dans le tenant M365 et génère des alertes en cas d'activité pouvant représenter des logiciels malveillants ou des niveaux de permissions inappropriés.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Les versions 204, 205, 206 apportent les changements suivants :

• Public Preview de nouveaux connecteurs d’applications permettant de connecter Microsoft Cloud App Security à ces applications pour surveiller et protéger les utilisateurs et les activités :
  • Slack
  • OneLogin
  • ZenDesk
• Nouveau parseur pour la découverte Cloud pour Wandera. Celui-ci permet d’analyser un large éventail de journaux de trafic pour classer et noter les applications. Désormais, Cloud Discovery comprend un analyseur de journal intégré pour prendre en charge le format Wandera.
• Nouveau parseur de journaux Open Systems pour la découverte Cloud.

Plus d’informations sur : What's new with Microsoft Cloud App Security

Microsoft a publié un billet concernant un problème connu touchant les applications Office ciblées par des stratégies de protection applicatives de Microsoft Endpoint Manager / Intune sur la plateforme iOS.

Le problème n'affecte pas la majorité des utilisateurs mais certains utilisateurs peuvent voir les applications Office se déconnecter automatiquement. Lorsqu'il se déconnecte, les stratégies de protection applicatives ne s'appliquent plus (puisque les politiques sont attribuées aux utilisateurs et que l'utilisateur s'est déconnecté). L'utilisateur peut ensuite se reconnecter, et les stratégies sont réappliquées. Ce comportement peut se répéter. Microsoft a découvert que si l'une des applications Office sur iOS voit quelque chose qui lui fait penser qu'une déconnexion a eu lieu dans une autre application Office, elle déclenche alors la déconnexion dans les autres applications Office.

L'utilisateur recevra un message indiquant " Org Data Removal – Your organization has removed its data associated with this app. (607) To continue you must restart this app. To reconnect to your organization, sign-in to your work or school account." Ce message est attendu lorsqu'un utilisateur se déconnecte manuellement d'une application Office. L'utilisateur se retrouvait dans une boucle d'authentification et voyait ce message plusieurs fois, malgré l'authentification unique dans toutes les applications.

Pour contourner ce problème, si un utilisateur voit une boucle d'authentification, vous devez effacer les informations d'identification sur l'appareil concerné. En utilisant OneNote comme exemple, sur le périphérique concerné, allez dans Paramètres > OneNote > Réinitialiser OneNote > Supprimer les informations d'identification.

Microsoft communiquera sur ce problème en fonction des corrections apportées : Support Tip: Known Issue occasionally occurring with iOS MAM and Office apps - Microsoft Tech Community

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Cloud App Security. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Parmi les nouveautés de ce mois, on retrouve :

• Acquisition de RiskIQ par Microsoft.

• Public Preview des paramétrages pour Microsoft Defender for Identity dans le portail Microsoft 365 Defender. Les paramètres se retrouvent dans la partie Identities. On y retrouve les paramètres des capteurs, des comptes de service, du VPN, des balises d’entités (honeytoken, Exchange Server, etc.).
• Les alertes de Microsoft Defender for Office 365 sont maintenant intégrées dans Microsoft 365 Defender

• Microsoft a ajouté un catalogue de services professionnel au portail.

Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

C’est l’été et c’est une bonne occasion de se former ou de se mettre à jour sur de nouvelles technologies ! Microsoft vient de publier une mise à jour de ses guides de formation (Ninja) pour ses solutions de sécurité incluant :

• Microsoft 365 Defender
• Microsoft Defender for Office / MDO
• Microsoft Defender for Endpoint / MDE
• Microsoft Cloud App Security / MCAS
• Microsoft Defender for Identity / MDI
• Azure Defender

Bonne Lecture !

Microsoft propose une nouvelle version (1.2021.709.0) de son outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Concernant les changements relatifs à cette version, on retrouve

• Correction de la version minimale requise pour les packages avec les services
• Corrections de bugs

Plus d’informations sur : MSIX Packaging Tool July 2021 Release is now available! - Microsoft Tech Community

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Microsoft a publié un Management Pack (10.1.100.0) pour Microsoft 365 en version finale. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système. Il est à noter que cette version supporte System Center Operations Manager 2019.

Ce Management Pack permet de :

• Surveiller de manière proactive le niveau de service fourni par les services Microsoft 365, notamment la messagerie, Teams et SharePoint (qui comprend OneDrive), en effectuant des transactions synthétiques sécurisées à l'aide de Graph API.
• Superviser l'utilisation des licences Microsoft 365 et émettre une alerte lorsque l'utilisation répond à certains critères.
• Monitorer les transactions de messagerie vers et depuis le serveur Exchange On-Prem.
• Surveiller la santé des connexions entre divers sites et le service Microsoft 365.
• Refléter les messages d'incidents, de centre de messages et de maintenance planifiée de Microsoft 365 pour l'abonnement dans les alertes de SCOM.
• Visualiser l'état de santé des abonnements et les alertes correspondantes via les tableaux de bord et les vues d'alerte, y compris les tableaux de bord HTML5 (nécessite Operations Manager 2019).

Microsoft prévoit d’ores et déjà des mises à jour pour adresser les éléments suivants :

• Mécanisme d'alerte amélioré à partir de Microsoft 365 Service Communications.
• Authentification moderne supplémentaire avec certificat.
• Surveillance de plusieurs SKUs avec un seul nœud de surveillance.
• Amélioration de la surveillance de la connectivité du réseau M365 et des tableaux de bord.

Plus d’informations sur : Announcement: New SCOM Management Pack for Microsoft 365 - Microsoft Tech Community

Télécharger Microsoft System Center Operations Manager Management Pack for Microsoft 365

Microsoft a communiqué un problème touchant les périphériques iOS/iPadOS provisionnés au travers du mode Automated Device Enrollment (ADE) d’Apple avec Microsoft Endpoint Manager. Dans ce cas de figure, l’écran de configuration du code de verrouillage sur la phase initiale n’était pas affiché sur les versions 14.5 et 14.6.

A date, le problème a été résolu avec l’arrivée d’iOS/iPadOS 14.7. Vous devez donc vous assurer que les périphériques utilisent bien cette version.

Plus d’informations sur : Resolved - Support Tip:Users unable to view passcode setup screen when enrolling devices through ADE - Microsoft Tech Community

Microsoft a publié le correctif KB10372804 de Microsoft Endpoint Configuration Manager 2103 (MECM/SCCM). Ce correctif n’est applicable que si vous avez déjà installé l’Update Rollup KB10036164.

Il corrige un problème lors de l'utilisation du script PowerShell Invoke-MbamClientDeployment.ps1 ou d'autres méthodes qui utilisent l'API de l'agent MBAM pour enregistrer les clés de récupération vers un Management Point. Ceci génère une grande quantité de stratégies ciblant tous les périphériques, ce qui peut provoquer des stratégies de politiques. Cela entraîne une grave dégradation des performances dans Configuration Manager, principalement avec SQL et les Management Points.

Pour savoir si vous êtes affecté par ce problème, vous pouvez exécuter la requête SQL suivante :

SELECT PA.PolicyID, RPM.* FROM PolicyAssignment PA JOIN ResPolicyMap RPM ON PA.PADBID = RPM.PADBID

WHERE PA.PolicyID like 'TPM%' AND RPM.MachineID = 0 AND RPM.IsTombstoned = 0

Cette mise à jour empêche la création de politiques excessives, mais elle ne supprime pas celles qui ont été créées précédemment. Si la requête ci-dessus renvoie un grand nombre de lignes, contactez le support Microsoft pour obtenir de l'aide sur la suppression de ces politiques.

Plus d’informations sur :  Using the MBAM Agent to escrow BitLocker recovery keys generates excessive policies in Configuration Manager version 2103 - Configuration Manager | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

• Microsoft propose de nouveaux mécanismes pour protéger les périphériques amovibles et les imprimantes :
  • Le contrôle d’accès au stockage amovible est en disponibilité générale sur Windows à partir de Microsoft Defender 4.18.2106+. Elle permet de définir les actions d’accès Lecture, Ecriture, exécution sur des périphériques amovibles en fonction de propriétés comme l’identifiant du vendeur, le numéro de série, le nom commun, etc.
  • La protection du stockage amovible est en disponibilité générale sur mac à partir de Microsoft Defender 101.34.20+. De la même façon vous pouvez contrôler l’accès en auditant ou en bloquant. Les périphériques USB proposent les permissions de lecture, d’écriture, d’exécution ou de non accès.
  • La protection d’imprimante est en Public Preview sur Windows. Ceci permet de bloquer les utilisateurs d’imprimer via des imprimantes réseaux ou USB ne faisant pas partie de l’entreprise.
• De nouveaux mécanismes
• Public Preview d’une fonction permettant de télécharger très simplement les fichiers qui ont été mis en quarantaine. Pour en bénéficiez, vous devez remplir les conditions suivantes : Utiliser Microsoft Defender Antivirus avec un moteur 1.1.17300.4 dans un mode actif avec la protection cloud, la soumission de fichiers sur des périphériques Windows 10 1703+ ou Windows Server 2016/2019.
• Les labs d’évaluation dans Microsoft Defender for Endpoint peuvent maintenant être renouvelés une fois par mois.
• Microsoft propose deux nouvelles simulations dans les labs d’évaluation dont notamment Carbanak & FIN7, et SolarWinds (via SafeBreach).
• Public Preview de l’API pour Live Response permettant d’automatiser de manière programmer aux fonctions Live Response (envoi ou téléchargement de fichiers, exécution de scripts, etc.) L’API supporte pour l’instant Windows 10 et Windows Server 2019. Les autres systèmes sont attendus très prochainement.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Azure Defender (anciennement Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview de la synchronisation bidirectionnelle des alertes via le connecteur Azure Defender de Azure Sentinel.
• Disponibilité Générale de la fonctionnalité d’export continu des données de conformité réglementaire et du Secure Score. Ces dernières peuvent être utilisées avec d’autres outils de supervision de votre environnement.
• Disponibilité Générale de l’option de déclenchement de l’automatisation des Workflows (Workflow Automation) par des changements dans les évaluations de la conformité.
• Ajout du modèle de Workbook 'Compliance over time' à la galerie de Workbooks Azure Monitor.
• Réorganisation logique des alertes Azure Defender pour Resource Manager. Certaines alertes ont été déplacées d’Azure Defender for Resource Manager vers Azure Defender for servers. Les alertes sont organisées selon deux grands principes :
  • Les alertes qui assurent la protection du plan de contrôle - sur de nombreux types de ressources Azure qui font partie d'Azure Defender for Resource Manager.
  • Les alertes qui protègent des charges de travail spécifiques se trouvent dans le plan Azure Defender qui se rapporte à la charge de travail correspondante.
• Changement du nom de la recommandation pour activer Azure Disk Encryption (ADE). Elle est renommée de Disk encryption should be applied on virtual machines à Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources.
• Ajout de deux champs dans l’API Assessment : FirstEvaluationDate et StatusChangeDate.

Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Amélioration de l'analyse des e-mails dans les enquêtes automatisées. Au cours de l'analyse de clustering d'e-mails, toutes les requêtes de clustering ignorent les boîtes aux lettres de sécurité configurées comme boîtes aux lettres des opérations de sécurité dans la stratégie Advanced Delivery. De même, les requêtes de clustering d'e-mails ignoreront les messages de simulation de phish (éducation) qui sont configurés dans la stratégie Advanced Delivery.
• Advanced Delivery  : Introduction d'une nouvelle fonctionnalité permettant de configurer la distribution de simulations tierces de phishing aux utilisateurs et de messages non filtrés aux boîtes aux lettres des opérations de sécurité.
• Disponibilité Générale de Safe Links pour Microsoft Teams permettant d’empêcher les alertes basées sur les URLs. Le mécanisme analyse les URLs avec du contenu potentiellement malicieux et les réévaluent lorsque l’utilisateur clique sur le lien. Ceci permet d’éviter des attaques de plus en plus complexes.
• Nouvelles stratégies d'alerte pour les scénarios suivants : boîtes aux lettres compromises, hameçonnage par formulaires, courriers malveillants délivrés en raison de surcharges ZAP
  • Activité suspecte de transfert d'e-mails
  • L'utilisateur ne peut pas partager les formulaires et recueillir les réponses
  • Formulaire bloqué en raison d'une tentative potentielle de phishing
  • Formulaire signalé et confirmé comme étant du phishing
  • Nouvelles stratégies d'alerte ZAP
• Les alertes de Microsoft Defender for Office 365 sont maintenant intégrées dans Microsoft 365 Defender
• Les étiquettes d'utilisateur (User Tags) sont désormais intégrées dans les expériences d'alerte de Microsoft Defender for Office 365, notamment : la file d'attente des alertes et les détails dans Office 365 Security & Compliance, et l'attribution de stratégies d'alerte personnalisées aux étiquettes d'utilisateur pour créer des stratégies d'alerte ciblées. Les étiquettes sont également disponibles dans la file d'attente des alertes unifiées dans le centre Microsoft 365 Defender (Microsoft Defender for Office 365 Plan 2).

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a annoncé le support des périphériques équipés d’Android 12 par Microsoft Endpoint Manager / Microsoft Intune. Ce support est effectif dès la mise à disposition de cette nouvelle version. Toutes les fonctionnalités existantes (MDM/MAM) qui ciblaient Android 11 et inférieures sont supportées.

Google a procédé à des changements sur les capacités de gestion avec Android 12 incluant :

• La suppression de la capacité de collecte du numéro de série, IMEI, MEID sur les périphériques Android Enterprise Personally-Owned Work Profile (BYOD). Ainsi :
  • Ces informations ne seront plus visibles dans le centre d’administrateur.
  • Il ne sera plus possible de les utiliser pour identifier les périphériques comme étant d’entreprise
  • Les certificats ne pourront être déployés si ces informations sont utilisés comme variables du sujet et SAN.
  • Le contrôle d’accès réseau (NAC) avec certains fournisseurs ou certains VPNs tiers peuvent être affectés aussi. Plus d'informations sur : Support Tip: Android 12 upgrade can affect NAC-enabled network access - Microsoft Tech Community
• La dépréciation des paramétrages de configuration Safe boot et Debugging features. Ceci affecte le mode Fully Managed, Dedicated et Corporate-owned work profile. Microsoft va ajouter un paramétrager Developer Settings dans la version 2109 de Intune.

En outre, Android 12 apporte de nombreux changements à l'apparence et à la convivialité des applications, notamment en ce qui concerne les animations de défilement et le comportement de lancement des applications. Le portail de l'entreprise et l'application Intune adopteront ces changements visuels, donnant aux utilisateurs un aspect et une sensation cohérents sur la plate-forme.

Microsoft recommande la mise à jour avec les dernières versions du portail d’entreprise, Intune, Microsoft Edge et toutes applications utilisant les stratégies de protection applicatives.

Source : Android 12 Day Zero Support with Microsoft Endpoint Manager - Microsoft Tech Community

Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Desktop Analytics prend désormais en charge la nouvelle configuration du processeur de données de diagnostic Windows. Cette configuration offre un meilleur contrôle des données de diagnostic Windows. Microsoft agit en tant que processeur de données et traite les données de diagnostic Windows pour vous, en tant que contrôleur. Vous continuerez à obtenir des informations pour planifier vos déploiements et pourrez répondre aux demandes des personnes concernées. Ces demandes concernent généralement l'accès ou l'exportation des données de diagnostic Windows pour un utilisateur particulier. Pour prendre en charge ceci :
  • Vous devez utiliser Configuration Manager 2006 avec l’update rollup (4575789) ou plus.
  • Vous devez utiliser une version de Windows 10 1809 ou plus incluant une mise à jour cumulative de Juillet 2021 avec des éditions Pro, Education, Enterprise.

Notez que les périphériques dotés d'une version plus ancienne du système d'exploitation, comme Windows 7, continueront d'apparaître dans Desktop Analytics jusqu'au 31 janvier 2022. Vous devez utiliser Desktop Analytics pour mettre à jour ces périphériques vers une version prise en charge de Windows 10. Après cette date, Desktop Analytics n'affichera que les périphériques avec des versions prises en charge de Windows 10.

Plus d’informations sur : What’s new in Desktop Analytics

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v92. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

Cette version comprend 11 nouveaux paramétrages utilisateurs et 11 nouveaux paramétrages ordinateurs :

• Allow unconfigured sites to be reloaded in Internet Explorer mode
• Configure Automatic HTTPS
• Control use of the Headless Mode
• Single sign-on for work or school sites using this profile enabled
• Specifies whether SharedArrayBuffers can be used in a non cross-origin-isolated context
• Specify the number of days that a site remains on the local IE mode site list
• Allow unconfigured sites to be reloaded in Internet Explorer mode
• Configure Automatic HTTPS
• Single sign-on for work or school sites using this profile enabled
• Allow the listed sites to make requests to more-private network endpoints from insecure contexts
• Specifies whether to allow insecure websites to make requests to more-private network endpoints.

Microsoft supprime le paramétrage suivant :  Allow certificates signed using SHA-1 when issued by local trust anchors.

Plus d’informations sur l’article suivant :  Security baseline for Microsoft Edge v92 - Microsoft Tech Community

Télécharger Security Compliance Toolkit

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version inclut une nouvelle alerte de sécurité : Suspected Windows Print Spooler service exploitation attempt (CVE-2021-34527 exploitation) (external ID 2415). Dans cette détection, Defender for Identity déclenche une alerte de sécurité lorsqu'un attaquant tente d'exploiter le service Windows Print Spooler contre le contrôleur de domaine. Ce vecteur d'attaque est associé à l'exploitation du spouleur d'impression, et est connu sous le nom de PrintNightmare.
• À partir de la version 2.156, Microsoft ajoute l'exécutable du pilote Npcap au paquet d'installation du capteur.
• Les versions 2.153, 2.154, 2.155, 2.156 et 2.157 apportent des améliorations et des corrections de bugs sur les capteurs.
• Public Preview des paramétrages pour Microsoft Defender for Identity dans le portail Microsoft 365 Defender.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft a rappelé la fin de support dans moins d’un an pour System Center 2012 Configuration Manager. En effet, le 12 juillet 2022, les produits suivants ne seront plus supportés :

• System Center 2012 Configuration Manager(ConfigMgr 2012)
• System Center 2012 R2 Configuration Manager(ConfigMgr 2012 R2)
• System Center 2012 Endpoint Protection(SCEP 2012)
• System Center 2012 R2 Endpoint Protection(SCEP 2012 R2)

Cela signifie que Microsoft ne fournira plus de support technique en cas de problème, de mises à jour de sécurité ou de correctifs. Plus important, Microsoft ne fournira plus de mises à jour de définition, de moteur ou de plateforme pour SCEP 2012.

En outre, les add-ons suivants seront surement retirés :

• System Center Monitoring Pack for Configuration Manager
• System Center Configuration Manager Cmdlet Library
• SCAP Extensions for System Center Configuration Manager
• System Center Configuration Manager - Clients for Additional Operating Systems
• Configuration Manager 2012 R2 Toolkit
• Vulnerability Assessment Configuration Pack

Il vous reste donc un an pour migrer vers System Center Configuration Manager Current Branch.

Source : One year of support remaining for System Center 2012 Configuration Manager - Microsoft Tech Community

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement du périphérique

• [Windows 10] Disponibilité Générale de Windows Autopilot pour HoloLens 2.

Gestion du périphérique

• [Windows 10] Le service Windows 365 est en disponibilité générale. Il permet de créer automatiquement des PCs Cloud. Les administrateurs peuvent utiliser Microsoft Endpoint Manager pour définir les configurations et les applications qui sont provisionnées pour le Cloud PC de chaque utilisateur. Les utilisateurs finaux peuvent accéder à leur PC Cloud depuis n'importe quel périphérique et n'importe où. Windows 365 stocke le Cloud PC et les données de l'utilisateur final dans le Cloud, et non sur l'appareil, offrant ainsi une expérience sécurisée.
• [Windows 10] Public Preview permettant d’utiliser des filtres pour assigner des stratégies Windows 10 Update Rings. Il est donc possible de filtrer les périphériques sur des propriétés telles que la version du système d’exploitation, le fabricant du périphérique, etc.

• [Windows 10] L’action à distance de collecte des journaux de diagnostique est en disponibilité générale. Les journaux incluent la partie MDM, Autopilot, les journaux d’événements, les clés de registre, les journaux du client ConfigMgr, les journaux réseaux, etc.:

Configuration du périphérique

• [Général] Microsoft a publié le Certificate Connector pour Microsoft Intune remplaçant les connecteurs séparés pour SCEP, PKCS. Il inclut les fonctionnalités suivantes :
  • La configuration de chaque instance du connecteur pour prendre en charge une ou plusieurs des capacités suivantes : SCEP, PKCS, Certificats importés PFX.
  • La révocation de certificats
  • L’utilisation d’un compte Active Directory normal ou le compte système pour le service du connecteur.
  • La sélection du type d’environnement pour le tenant.
  • Supprime la nécessité de sélectionner un certificat client pour l'intégration SCEP avec NDES.
  • Mise à jour automatique de la dernière version du connecteur. La mise à jour manuelle de ce connecteur est également prise en charge.
  • Amélioration de la journalisation.
• [iPadOS] Public Preview du support des stratégies améliorés permettant de les cibler à l’utilisateurs pour des périphériques iPadOS enregistrés comme iPads for Business partagés. Grâce à ce changement, les réglages tels que la disposition de l'écran d'accueil et la plupart des restrictions affectées aux groupes d'utilisateurs s'appliquent aux iPad partagés lorsqu'un utilisateur appartenant aux groupes d'utilisateurs affectés est actif sur l'appareil.
• [Windows 10] Public Preview de nouveaux paramétrages sur la page d’état de l’enregistrement (ESP) de Allow users to collect logs about installation errors à Turn on log collection and diagnostics page for end users pour supporter la page de diagnostique Windows Autopilot proposée par Windows 11.

Gestion des applications

• [Général] De nouvelles applications supportent les stratégies de protection applicatives :
  • Webex for Intune par Cisco Systems, Inc.
  • LumApps for Intune par LumApps
  • ArchXtract (MDM) par CEGB CO., Ltd..
• [MacOS] Microsoft a amélioré l'écran d'authentification du portail d'entreprise Intune qui invite les utilisateurs de macOS à se connecter à leur compte à l'aide de l'authentification unique (SSO). Les utilisateurs peuvent désormais voir les applications qui demandent du SSO et sélectionner « Don’t ask me again » afin d’éviter d’avoir à sélectionner à nouveau.

Sécurité du périphérique

• [Windows 10] Endpoint Analytics propose un nouveau rapport intitulé Work from anywhere. Le rapport Work from anywhere est une évolution du rapport Recommended software. Le nouveau rapport contient des mesures pour Windows 10, la gestion à partir de cloud, l'identité cloud et le provisionnement à partir du cloud.

• [macOS] Support des catalogues de paramétrages (Settings Catalog) pour Microsoft Defender for Endpoint. Ceci permet de configurer les éléments suivants :
  • Microsoft Defender - Antivirus engine : Allowed threats, Enable passive mode, Enable real-time protection, Scan exclusions, et Threat type settings
  • Microsoft Defender - Cloud delivered protection preferences: Diagnostic collection level, Enable - disable automatic sample submissions, Enable - disable cloud delivered protection
  • Microsoft Defender - EDR preferences: Device tags, Enable - disable early preview
  • Microsoft Defender - User interface preferences: Show - hide status menu icon

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

• ProcDump v10.1 : Cette mise à jour de ProcDump, un utilitaire en ligne de commande pour générer des vidages de mémoire à partir de processus en cours d'exécution, ajoute une nouvelle option (-dc) pour spécifier un commentaire de fichier de vidage et supporte les vidages de "triage" (-mt).
• RDCMan v2.82 : Cette mise à jour de RDCMan ajoute une option pour la mise en cache des bitmaps et corrige une série de plantages.
• Sigcheck v2.82 : Cette mise à jour de Sigcheck corrige un crash survenant lors de l'analyse de fichiers non signés sur VirusTotal.
• Sysmon v13.23 : Cette mise à jour de Sysmon corrige un bug où les règles avec de longs noms étaient incorrectement traitées et un rare plantage de mémoire survenant sur les systèmes 32-bit.

Microsoft vient de mettre à disposition la Technical Preview 2107 (5.0.9059.1000) de Microsoft Endpoint Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2010 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

Microsoft Endpoint Configuration Manager TP 2017 comprend les nouveautés suivantes :

Administration

• Vous pouvez désormais publier une requête CMPivot sur Community hub directement depuis la fenêtre CMPivot. La soumission de vos requêtes directement par CMPivot facilite la contribution au Community hub.

Tenant-Attach

• Il y a une nouvelle page de mises à jour logicielles pour les périphériques tenant-attach. Cette page affiche le statut des mises à jour logicielles sur un périphérique. Vous pouvez consulter les mises à jour qui ont été installées avec succès, celles qui ont échoué et celles qui ont été attribuées mais pas encore installées. L'utilisation de l'horodatage pour l'état de la mise à jour facilite le dépannage.  

Plus d’informations sur : Technical preview 2107 - Configuration Manager | Microsoft Docs

Microsoft a communiqué un changement prévu en janvier 2022 sur l’API serviceEndpoints de Microsoft Endpoint Manager (Intune). Cette dernière demandera des permissions spécifiques pour toutes les applicaitons Azure AD qui feront des appels sur ces points de terminaison :

• https://graph.windows.net/servicePrincipals/0000000a-0000-0000-c000-000000000000/serviceEndpoints
• https://graph.microsoft.com/v1.0/servicePrincipals/0000000a-0000-0000-c000-000000000000/serviceEndpo...

Ceci peut vous concerner si vous utiliser les solutions suivantes :

• Telecom Expense Management
• Mobile Threat Defense
• Network Access Control
• De la conformité de périphérique tierce
• Les services SCEP

Une des permissions suivantes sera requise :

• Read.All (Préférence pour cette dernière)
• ReadWrite.All
• OwnedBy
• Read.All

L’article du blog de l’équipe Intune décrit les actions à entreprendre : Support Tip: Intune service discovery API endpoint will require specific permissions - Microsoft Tech Community