Microsoft met à disposition des icônes qui peuvent être utilisées pour construire vos schémas d’architecture selon les services Microsoft Azure utilisés.

Pour les télécharger : Azure Icons - Azure Architecture Center | Microsoft Docs

Depuis plusieurs années, je profite de ce billet sur les vœux pour faire un bilan de l’année. Nul doute que cette année a marqué un tournant sur de nombreux sujets de par la crise que nous sommes en train de vivre. Microsoft continue sa transformation et accélère pour offrir une nouvelle approche autour de l’environnement utilisateur, du Cloud et de la sécurité !

Les sujets sont nombreux :

• Modern Workplaceavec Microsoft Endpoint Manager qui prend une part très importante mais aussi et toujours Microsoft Endpoint Configuration Manager et une adoption massive du Co-Management et de la Cloud Management Gateway. La crise sanitaire a fait apparaître les premières implémentations globalisées et à grande échelle de Windows Autopilot.
• Sur la sécurité, Microsoft a tapé fort avec l’arrivée de nombreuses fonctionnalités sur Microsoft Defender for Endpoint (ex MD ATP) et le support d’IOS, Android et Linux. Ceci en fait une des solutions leaders. En parallèle, on retrouve un travail similaire pour le SIEM de Microsoft : Azure Sentinel. La solution fait l’objet de tous les intérêts auprès des entreprises et ce à peine un an après sa mise à disposition. Les autres services tels que Microsoft Cloud App Security, Microsoft Defender for Identity, Microsoft Defender for Office 365, continuent leur mutation.
• Sur la gouvernance et la protection de l’information, Microsoft propose là aussi une offre cohérente avec Microsoft Information Protection, le récent Azure PurView, Microsoft 365 Endpoint Data Loss Prevention, Compliance Manager, etc. Ces solutions offrent une vraie réponse aux enjeux de réglementations et législations (RGPD, etc.).
• Sur le Cloud, Microsoft Azure continue de fournir une quantité phénoménale de service accélérant toujours plus l’adoption des clients.

Je me permets de vous faire passer mes meilleurs vœux pour cette année 2021. Je vous souhaite beaucoup de réussite personnelle et professionnelle.

Stay Tuned !

Je vous propose un petit aperçu des nouveautés en décembre 2020 autour de la gouvernance, de la conformité et de la protection de données (MIP, etc.).

On retrouve notamment :

• Début décembre, Microsoft annonce la disponibilité générale de Microsoft 365 Endpoint Data Loss Prevention (DLP). Ce service permet d’étendre les capacités d’étiquetage et de classification aux périphériques afin d’assurer la prévention et la fuite de données (extraction clé USB, extraction via le navigateur Web, etc.). Endpoint DLP utilise les capacités du service Microsoft Defender for Endpoint (MD ATP) présent nativement sur les machines Windows 10 pour assurer les mécanismes de protection visant à brider les capacités du système vis-à-vis d’un fichier donné.
• Toujours sur Microsoft 365 Endpoint DLP, Microsoft a annoncé les Previews des fonctionnalités suivantes :
  • Les étiquettes de sensibilité sont maintenant incluses comme condition des stratégies DLP.
  • Un nouveau tableau de bord dans le centre de conformité Microsoft 365 permet de gérer les alertes DLP.
  • De nouvelles conditions et exception permettent de mieux prédire via des conditions d'"inclusion" et d'"exclusion" applicables dans les politiques DLP afin de garantir que des stratégies spécifiques sont appliquées aux courriers électroniques qui correspondent uniquement aux conditions définies.
• L’annonce de la Preview du service Azure PurView offrant un outil de cartographie, gestion et de gouvernance de la donnée qu’elle soit dans le Cloud ou On-Premises. Azure PurView utilise les capacités de Microsoft Information Protection (Labeling, types d’information sensibles, etc.) afin de les étendre vers différentes sources de données dont SQL Server, SAP, Teradata, Azure Data Services, et Amazon AWS S3. Azure PurView est un service dont le coût dépend de la consommation. Plus d’informations sur : https://aka.ms/AzurePurview et Microsoft Information Protection and Microsoft Azure Purview: Better Together - Microsoft Tech Community
• Disponibilité Générale de l’interface utilisateur permettant la gestion et la configuration d’Exact Data Match (EDM) dans le centre de conformité Microsoft 365. EDM C'est une méthode de classification qui vous permet de créer des types d'informations sensibles personnalisés qui utilisent des valeurs de données exactes. Vous commencez par configurer le type d’information sensible personnalisé de l'EDM et uploader un fichier CSV des données spécifiques à protéger, qui peuvent comprendre des informations sur les employés, les patients ou d'autres informations spécifiques aux clients.
• Disponibilité générale des correspondance configurable (la normalisation). Cette fonction apporte une souplesse supplémentaire dans la définition des correspondances, vous permettant de protéger plus largement vos données confidentielles et sensibles. Par exemple, vous pouvez choisir d'ignorer la casse afin que l'adresse électronique du client corresponde, qu'elle soit en majuscule ou non. De même, vous pouvez choisir d'ignorer les signes de ponctuation tels que les espaces ou les tirets dans les données, par exemple pour le numéro de sécurité sociale.
• Il est maintenant possible d’appliquer des étiquettes de sensibilité à une équipe Teams ou un site SharePoint afin de restreindre l’accès à des périphériques ou des cas d’usages. Cela permet de sécuriser de manière globale les contenus sensibles, qu'ils se trouvent dans un fichier ou dans un chat, en gérant l'accès à une équipe ou à un site spécifique.
• En lien avec la fonctionnalité précédente, les étiquettes peuvent être associées à une stratégie de partage externe afin de sécuriser la collaboration externe (en Public Preview).
• La Public Preview du support de la clé client pour Microsoft Teams permettant de contrôler la clé qui est utiliser pour chiffrer ou déchiffrer les données et répondre ainsi à des enjeux de conformité.
• Microsoft étend le support des étiquettes/labels de sensibilité à l’application Power BI Desktop (PBIX) en plus du service Power BI qui avait déjà été annoncé en juin dernier. Vous pouvez donc appliquer une étiquette à un fichier PBIX avec le client. En outre, Microsoft a annoncé une API qui permet aux administrateurs d’obtenir les informations de sensibilité appliquées à un contenu dans le service Power BI.
• Le client Azure Information Protection Unified Labeling propose la fonctionnalité de Suivi et Révocation (Track & Revoke) en Public Preview. La fonctionnalité est activée sur le client en dernière version (Public Preview) et permet à l’administrateur de traquer et révoquer un document en PowerShell. L’utilisateur peut quant à lui révoquer l’accès à document depuis le bouton de Sensibilité.

Plus d’informations sur : Announcing new Microsoft Information Protection capabilities to know and protect your sensitive data - Microsoft Tech Community

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduit dans le mois.

• Microsoft Defender for Endpoint ajoute maintenant le support d’iOS avec des fonctionnalités d’anti-phishing, de blocage des connexions non sécurisées, de l’ajout d’indicateurs de compromission (IoC).
• Microsoft Defender for Endpoint sur Android se voit complété avec le support des périphériques Android Enterprise dans un mode Fully Managed (COBO).
• Le processus d’onboarding sur Android a été simplifié permettant aux administrateurs de pousser la configuration VPN sur les périphériques et notamment les permissions associées qui devaient auparavant être configurées par l’utilisateur.
• Disponibilité Générale de la fonction Block Mode permettant aux détections de fonctionner dans un mode blocage. La fonctionnalité est principalement à destination des entreprises qui utilisent Microsoft Defender for Endpoint avec un autre antivirus. Il permet à Microsoft Defender for Endpoint de bloquer des menaces qui n’auraient pas été bloqué par l’antivirus tiers. Par exemple, Microsoft a réussi à bloquer la campagne IceID.
• Frontline Active Threat Sweep s’intègre avec Microsoft Defender for Endpoint pour identifier les malwares qui tentent d’échapper aux solutions EDR. Plus d’informations sur : Digital Defense integrates with Microsoft to detect attacks missed by traditional endpoint security - Microsoft Security

Plus d’informations sur : What’s new in Microsoft Defender for Endpoint

A partir du 1^er Avril 2021, Microsoft passe le niveau de service (SLA) d’Azure Active Directory de 99,9% à 99,99% pour les authentifications d’utilisateurs Azure AD. Ceci est le résultat d’un programme d’amélioration de la résilience du service Azure AD. Microsoft s’apprête à lancer d’autres chantiers pour améliorer la résilience d’Azure AD B2C ou proposer d’autres axes sur Azure AD en 2021.

Parmi les progrès réalisés, on retrouve :

• Les services d’authentification ont été améliorés pour aller vers un modèle d’isolation granulaire du domaine de défaillance avec une architecture cellulisée “cellularized architecture”. Cette architecture est conçue pour évaluer et isoler l'impact de nombreuses catégories de défaillances pour un petit pourcentage de l'ensemble des utilisateurs du système. Au cours de l'année dernière, Microsoft a multiplié par plus de 5 le nombre de domaines de défaillance et Microsoft continuera à faire évoluer ce système au cours de l'année prochaine.
• Microsoft a démarré le déploiement du service Azure AD Backup Authentication qui peut s’exécuter avec des modes d’échec décorrélés du système Azure AD principal. Ce service de sauvegarde traite de manière transparente et automatique les authentifications des charges de travail participantes, ce qui constitue une couche de résilience supplémentaire en plus des multiples niveaux de redondance de l'AD Azure. Vous pouvez considérer ce service comme un générateur de secours conçu pour fournir une tolérance supplémentaire aux pannes tout en restant complètement transparent et automatique. Actuellement, Outlook Web Access et SharePoint Online sont intégrés à ce système. Microsoft déploiera les protections sur les applications et services Microsoft essentiels au cours des prochains trimestres.
• Pour l'authentification de l'infrastructure Azure, les capacités de gestion de l'identité pour les ressources Azure sont désormais intégrées de manière transparente aux points de terminaison d'authentification régionaux. Ils fournissent des niveaux supplémentaires importants de résilience et de protection, même en cas de panne du système d'authentification Azure AD principal.
• Microsoft a continué à investir dans l'extensibilité et l'élasticité du service. Ces investissements ont fait leurs preuves dans les premiers jours de la crise COVID, lorsque Microsoft a constaté une forte croissance de la demande. Microsoft a été en mesure de faire évoluer de manière transparente et sans impact ce qui est déjà le plus grand système d'authentification d'entreprise au monde. Il s'agissait non seulement d'une croissance globale, mais aussi d'une montée en charge très rapide, des nations entières ayant mis en ligne leur système scolaire (des millions d'utilisateurs) du jour au lendemain.
• Microsoft s’apprête aussi à innover avec le protocole d'évaluation d'accès continu pour les services critiques de Microsoft 365 (CAELe CAE améliore à la fois la sécurité en permettant l'application instantanée des changements de politique et la résilience en prolongeant la durée de vie des jetons en toute sécurité.

Plus d’informations sur : 99.99% uptime for Azure Active Directory - Microsoft Tech Community

Azure ATP étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.135 intègre une amélioration sur l’alerte de reconnaissance des attributs d’Active Directory (LDAP) (ID externe 2210) pour prendre en charge de nouveaux attributs liés à la récente campagne Solorigate. L'alerte détectera désormais également l'utilisation de l'outil ADFSDump, qui était l'outil initial utilisé dans la campagne Solorigate.
• La version 2.134 intègre une amélioration sur le détecteur NetLogon pour fonctionner également lorsque la transaction du canal Netlogon se fait sur un canal chiffré.

• Les versions 2.133, 2.134, 2.135 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft a communiqué un problème connu (MC230744) dans le centre de messages de Microsoft 365 concernant le problème d’autorisation biométrique sur les Samsung A10 équipés d’Android 10 et gérés par Microsoft Endpoint Manager. Lorsque vous lancez des applications avec des stratégies de protection applicatives (APP/MAM), le périphérique crash lors de l’utilisation de la reconnaissance faciale ou de l’empreinte digitale.
Microsoft a déposé une requête auprès de Google et de Samsung, mais n’a pas reçu de solution. Dans la version de janvier du portail d’entreprise, nous allons désactiver l'authentification biométrique sur les appareils concernés et ces appareils utiliseront plutôt un code PIN.

Pour contourner le problème, vous pouvez éditer vos stratégies de protection applicatives Android et passer le paramétrage Block for device biometrics à Block pour un groupe de périphériques Sansung A10.

Plus d’informations sur : Known Issue: Android 10 Samsung A10 Biometric Authentication - Microsoft Tech Community

Avec la multiplication des services et produits proposés au travers des différents bundles d’abonnements et suites de produits, cela devient de plus en plus compliqué de savoir dans quel bundle, on retrouve un service ou quels services sont proposés dans un bundle d’abonnements que vous auriez pu souscrire.  Aaron Dinnage offre des diagrammes présentant les licences/abonnements et les services associés avec une vue relativement facile à comprendre. Une nouvelle version de ses diagrammes a été publiée sur GitHub afin de répondre aux récents changements. On retrouve des diagrammes pour :

• EMS Enterprise
• Microsoft 365 Business Basic
• Microsoft 365 Business Premium
• Microsoft 365 Business Standard
• Microsoft 365 Business
• Microsoft 365 Eduction
• Microsoft 365 Enterprise (E3, E5, F1, F3, etc.)
• Office 365 Education
• Office 365 Education (E3, E5, F1, F3, etc.)
• Windows 10 Enterprise
• Windows 10 Pro
• Windows 10 VL

Télécharger Release December 2020 Release · AaronDinnage/Licensing · GitHub

Mark Skorupa (Pincipal Program Manager dans l’équipe Digital Security de Microsoft) répond à certaines questions vis-à-vis de l’application du modèle de sécurité Zero Trust chez Microsoft.

On apprend notamment que concernant les périphériques Windows personnels BYOD, Microsoft requiert que ces derniers soient enregistrés dans Microsoft Intune. Si l’employé ne veut pas l’enregistrer, Microsoft fournit une des solutions suivantes :

• L’accès à des ressources telles que SharePoint et Microsoft Teams via Windows Virtual Desktop depuis n’importe quel périphérique.
• L’utilisation d’Outlook Web depuis un navigateur pour accéder à son compte email.

Concernant les périphériques IoT, Microsoft fait face aux mêmes challenges sur les autres entreprises ; c’est ce qui a d’ailleurs motivé le rachat de CyberX. Micorsoft segmente le réseau et isole les périphériques IoT selon différentes catégories : y compris les appareils à haut risque (comme les imprimantes) ; les appareils anciens (comme les machines à café numériques) qui peuvent manquer de contrôles de sécurité requis ; et les appareils modernes (comme les assistants personnels intelligents comme un Amazon Echo) avec des contrôles de sécurité qui répondent à nos normes.

En parallèle, Microsoft continue son travail visant à ne plus utiliser de VPN en migrant les applications héritées On-Premises vers des applications Cloud. En outre, Microsoft a implémenté une configuration Split tunneling pour son VPN pour répondre aux enjeux du COVID. En parallèle, Microsoft a segmenté son réseau selon le schéma suivant :

Concernant les accès invités, Microsoft applique des étiquettes sur ses documents même lorsque la diffusion est publique. Certraines ressources comme SharePoint ou Teams se voient bloquer un accès en invité. Concernant l’accès au réseau, Microsoft fournit un SSID WiFi dédié et isolé.

Pour prendre connaissance de toutes les autres recommandations, je vous invite à lire : Microsoft’s digital security team answers your Top 10 questions on Zero Trust - IT Showcase Blog

Microsoft a publié la Public Preview (v2.9.109.0) du client Unified Labeling d’Azure Information Protection.  Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Pour les fonctionnalités proposées par le client, on retrouve :

• Une fois que vous avez effectué la mise à niveau vers la version 2.9.109.0, tous les documents qui ne sont pas encore enregistrés pour le suivi/tracking sont enregistrés la prochaine fois qu'ils sont ouverts sur une machine avec le client AIP unified labeling installé. L'enregistrement des documents pour le suivi permet aux administrateurs d'utiliser PowerShell pour suivre l'accès aux documents, et de révoquer l'accès si nécessaire. Une fois la mise à niveau effectuée, les utilisateurs peuvent également révoquer l'accès aux documents qu'ils ont protégés. Pour révoquer l'accès à partir des applications Microsoft Office, utilisez la nouvelle option Révoquer l'accès dans le menu Sensibilité.

On retrouve les correctifs et améliorations suivants :

• Correction des problèmes d'étiquetage des courriers électroniques provenant d'Office MSI, comme la réponse ou la transmission d'un courrier électronique.
• Les événements du journal d'audit NewLabel incluent désormais la source de l'action, pour les événements générés par les courriels envoyés depuis Outlook.
• Correction de problèmes pour lesquels la politique n'était parfois pas mise à jour sans vider le cache, après avoir apporté des modifications à la stratégie de labeling dans Microsoft 365.
• Le mode Preview d'Outlook génère désormais des journaux d'audit pour les événements de découverte
• Les étiquettes recommandées et filigranes sont appliqués comme prévu dans Outlook.
• Ajout de la prise en charge des paramètres OutlookBlockTrustedDomains et OutlookBlockUntrustedCollaborationLabel pour les contacts des listes de distribution.
• Mises à jour de l'ordre de priorité utilisé lorsque plusieurs stratégies d'étiquetage sont configurées pour un utilisateur, chacune ayant des paramètres avancés contradictoires.
• Dans un scénario où %APPDATA% (AppData\Roaming) pointe vers une structure de dossiers Windows non par défaut, les fichiers des dossiers qui sont mappés aux répertoires des utilisateurs sont désormais exclus de l'étiquetage et de la protection comme prévu, en fonction de la configuration.
• Nouveau paramètre client avancé (PowerPointRemoveAllShapesByShapeName), ajouté pour supprimer les formes des en-têtes ou des pieds de page PowerPoint, en utilisant le nom de la forme au lieu du texte à l'intérieur d'une forme.

Télécharger Azure Information Protection unified labeling client

Microsoft a publié la version 1.456.0 de l’extension Cluster Creation permettant la création aisée de cluster Azure Stack HCI avec Windows Admin Center. Cette version finale apporte le support de RDMA, des clusters étendus sur plusieurs sites. Pour rappel, Windows Admin Center est l’interface web de gestion des infrastructures (Windows Server, etc.). L’outil devient un élément central de l’administration des infrastructures On-Premises.

Obtenir plus d’informations sur l’extension : Announcing general availability of the cluster creation extension in Windows Admin Center - Microsoft Tech Community

Microsoft publie une nouvelle version (Décembre 2020) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

Cette version intègre les changements suivants :

• Mise à jour de l’extension Database Projects avec l’ajout des espaces de travail et l’amélioration de la barre latérale.
• Corrections de bugs

Quand utiliser Azure Data Studio ?

• Vous devez utiliser macOS ou Linux
• Vous devez vous connecter sur un cluster big data SQL Server 2019
• Vous passez plus de temps à éditer ou exécuter des requêtes
• Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
• Vous avez un besoin minimal d’assistants
• Vous n'avez pas besoin de faire de configuration administrative profonde

Quand utiliser SQL Server Management Studio ?

• Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
• Vous avez besoin de faire une configuration administrative importante
• Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
• Vous utilisez les rapports pour SQL Server Query Store
• Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
• Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

Plus d’informations : SQL Tools December release recap - SQL Server Blog (microsoft.com)

Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

Télécharger Azure Data Studio

Microsoft vient d’annoncer un changement de comportement prévu pour le 8 février 2021. A cette date, Microsoft activera l’accès invité dans Microsoft Teams par défaut pour tous les clients qui n’ont pas configurés cette option. Le but est d’aligner le comportement sur le reste des services où l’activation est faite par défaut.

Avant que ce changement ne soit effectif le 8 février 2021, si vous souhaitez que l'accès invité reste désactivé pour votre entreprise, vous devrez confirmer que le paramètre d'accès invité est réglé sur "Off" au lieu de "Service default".

Plus d’informations sur la configuration : Teams guest access settings

Annoncé il y a déjà plusieurs mois/années, la fin de connectivité aux différents service Office 365 pour certaines versions du client Office, s’approche puisqu’elle est fixée au 1^er Novembre 2021. Microsoft vient de préciser les numéros de versions des applications concernées :

Jason Sandys (PM Microsoft) a publié un billet expliquant la procédure à suivre afin d’ajouter un certificat au magasin Trusted Publisher sur des machines Windows 10 avec Microsoft Endpoint Manager (Intune). Ceci peut être utile si vous souhaitez exécuter des scripts PowerShell signés ou exécuter des installations de mises à jour tierces.

Je vous invite à lire son billet : Adding a Certificate to Trusted Publishers using Intune - Microsoft Tech Community

SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 18.8 a été mise à disposition et permet de se connecter de SQL Server 2008 à SQL Server 2019.

Cette nouvelle version apporte :

• L’installation de SQL Server Management Studio installe Azure Data Studio 1.15.1.
• Pour Analysis Services, ajout du support des workspaces Power BI Premium Gen2
• Pour l’audit, ajout du support de EXTERNAL_MONITOR et "operator audit"t
• Pour Integration Services, amélioration de l’assistant de création du runtime d’intégration de manière à ce que la création de la base de données SSIS soit optionnelle quand vous créez un runtime d’intégration SSIS.
• Correction de bugs

Plus d’informations sur la Release Notes

Télécharger SQL Server Management Studio (SSMS) 18.8

Avec Android Enterprise Work Profile, on retrouve deux espaces : Un espace personnel et un espace professionnel. Ceci engendre le fait qu’il peut y’avoir deux instances des applications et notamment Outlook. A partir d’Android 9, Google a ajouté l’API CrossProfileApps permettant d’adapter l’expérience utilisateur dans l’application en fonction du profil. Ceci donne un cas très concret qui permet donc à un utilisateur (à partir d’Outlook 4.2039.0) de basculer dans l’application Outlook de l’instance personnelle à l’instance professionnelle tout en respectant bien entendu le principe de segmentation. L’utilisateur dispose pour cela dans le menu d’une icône avec un bonne homme (pour basculer vers l’instance personnelle) ou une valise (pour basculer vers l’instance professionnelle).

Je vous invite à lire l’article pour en observer l’expérience et en apprendre plus : Outlook for Android and Cross-Profile Switching Experience Improvements in Android Enterprise - Microsoft Tech Community

Microsoft propose l’approche Zero Trust partant du principe que l’infrastructure est globalement faillible et qu’il faut mettre en place des mécanismes pour y remédier. Aujourd’hui, Microsoft propose un centre de déploiement sous la forme d’une page permettant d’aborder les différents chantiers de déploiement de l’approche Zero Trust :

• Secure identity with Zero Trust
• Secure endpoints with Zero Trust
• Secure applications with Zero Trust
• Secure data with Zero Trust
• Secure infrastructure with Zero Trust
• Secure networks with Zero Trust
• Visibility, automation, and orchestration with Zero Trust

L’accès au : Zero Trust Deployment Center | Microsoft Docs

Annoncé à l’Ignite 2019, Microsoft vient d’activer le score de productivité (Microsoft Productivity Score) pour tous les tenants. Par conséquent, tous les utilisateurs ayant un rôle Report Reader ou des permissions supérieures, peuvent voir ces informations visant à améliorer la productivité avec les outils Microsoft 365. Ce score est un service d’analyse qui fournit des éléments sur la façon donc l’entreprise travaille afin d’identifier des moyens d’améliorer les flux et la productivité. La solution se focalise sur deux aspects : l’expérience de l’employé et l’expérience technologique. L’expérience technologique permet de donner des éléments sur les performances des stratégies, de paramétrages, du matériel et des applications.

Parallèlement à cette activation, Microsoft a écrit un article visant à réaffirmer son but de respecter la vie privée avec les actions suivantes :

• Tout d'abord, Microsoft a retiré les noms d'utilisateur du produit. Pendant la Preview, nous Microsoft avait ajouté fonction qui affichait les noms des utilisateurs et les actions associées sur une période de 28 jours. En réponse aux commentaires reçus, Microsoft a supprimé entièrement cette fonctionnalité. À l'avenir, les communications, les réunions, la collaboration sur le contenu, le travail d'équipe et les mesures de mobilité dans le score de productivité ne feront que regrouper les données au niveau de l'organisation, ce qui permettra de mesurer clairement l'adoption des principales fonctionnalités au niveau de l'organisation. Personne au sein de l'organisation ne pourra utiliser le score de productivité pour accéder aux données sur la façon dont un utilisateur individuel utilise les applications et les services de Microsoft 365.
• Deuxièmement, Microsoft a modifié l'interface utilisateur pour qu'il soit plus clair que le score de productivité est une mesure de l'adoption de la technologie par l'organisation, et non du comportement des utilisateurs individuels. Le score de productivité produit un score pour l'organisation et n'a jamais été conçu pour évaluer les utilisateurs individuels

Si vous ne souhaitez pas activer le score de productivité, vous devez le désactiver depuis le centre d’administration Microsoft 365 en naviguant dans Settings > Org Settings. Sous l’onglet Services, choisissez Reports puis décochez Allow Microsoft 365 usage data to be used for People experiences insights.

Plus d’informations sur : Our commitment to privacy in Microsoft Productivity Score - Microsoft 365 Blog  

L’équipe ConfigMgr a publié un correctif (KB4594176) à destination de Microsoft Endpoint Configuration Manager 2010. Le correctif s’applique au serveur de site, aux consoles, et aux clients.

Note : les sites secondaires doivent être mis à jour manuellement et une procédure permet de vérifier la mise à jour effective de leurs bases de données.

Parmi les corrections, on retrouve :

Administration

• Après avoir créé plusieurs groupes d'orchestration, seul le premier groupe fonctionne comme prévu. Les clients qui appartiennent à d'autres groupes d'orchestration au-delà du premier recevront une stratégie incorrecte, ce qui entraînera des résultats inattendus tels que la non-installation de logiciels.
• Pour l’Early Wave de la version 2010, si vous utilisez un certificat basé sur l'ICP pour l’image de démarrage, configurez-le pour SHA256 avec le fournisseur Microsoft Enhanced RSA et AES. Pour les versions ultérieures, y compris la version 2010 disponible globalement, cette configuration de certificat est recommandée mais pas obligatoire. Le certificat peut être un certificat v3 (CNG).

Systèmes de site et serveurs de site

• Si vous disposez d'un serveur de site hautement disponible, lorsque vous effectuez une mise à jour vers la version 2010, le serveur de site en mode passif ne se met pas à jour. Ce problème est dû à un changement de Microsoft Monitoring Agent (MMA) pour la protection avancée contre les menaces Microsoft Defender. Les fichiers MMA requis ne sont pas copiés à tous les endroits nécessaires.

Gestion des mises à jour logicielles

• L'état de conformité des appareils sur le tableau de bord Software Update Dashboard peut afficher un nombre d'appareils et un pourcentage de conformité incorrects.

Déploiement de système d’exploitation

• Après l'intégration à Desktop Analytics, la valeur Importance des applications n'apparaît pas dans l'onglet Apps du centre d'administration de Microsoft Endpoint Manager. De plus, les applications déployées avec ConfigMgr peuvent ne pas être listées du tout dans l'onglet Apps.

Console d’administration

• Les utilisateurs ne peuvent supprimer une collection que s'ils ont le rôle Full Administrator en matière de sécurité, même s'ils sont propriétaires de la collection et s'ils ont le pouvoir d'effectuer la suppression.
• La console ConfigMgr se termine de manière inattendue lors de l'affichage de l'aperçu des résultats de la requête avec un jeu de résultats important.
• La console ConfigMgr se termine de manière inattendue s'il existe un fichier ConsoleUsage-{date}-{time}.xml de zéro octet sous USERPROFILE%\AppData\Local\Microsoft\ConfigMgr10. Si ce problème survient, vérifiez et supprimez le fichier à zéro octet.

Pour installer la mise à jour, rendez-vous dans la partie Updates and Servicing de la console d’administration.

Plus d’informations sur la Update for Microsoft Endpoint Configuration Manager version 2010, early update ring

Microsoft a annoncé la version finale des baselines de paramétrages de sécurité pour Windows 10 et Windows Server 20H2. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft. Il est à noter qu’il n’y a pas de changements avec la version Draft.

Voici les différences avec la baseline pour Windows 10 2004 :

• Ajout de nouveaux paramétrages pour la configuration du mécanisme Block at first sight dans MSFT Windows 10 20H2 and Server 20H2 – Defender Antivirus group policy:
  • Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MAPS\Configure the ‘Block at first sight’ à Enabled
  • Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\Real-time Protection\Scan all downloaded files and attachments à Enabled
  • Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\Real-time Protection\Turn off real-time protection à Disabled
  • Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MPEngine\Select cloud protection level à High blocking level
• Deux paramétrages additionnels sont recommandés sur les règles de réduction de surface d’attaque. Vous pouvez les configurer en mode audit dans un premier temps avant de les passer en mode application. Ces paramétrages ont été ajoutés dans MSFT Windows 10 20H2 and Server 20H2 – Defender Antivirus group policy :
  • Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction\Configure Attack Surface Reduction rules: Use advanced protection against ransomware
  • Block persistence through WMI event subscription.
• Microsoft recommande à nouveau la configuration du paramétrage Require UEFI Memory Attributes Table : Computer Configuration\Administrative Templates\System\Device Guard\Turn on Virtualization Based Security\Require UEFI Memory Attributes Table.

Depuis cette version Microsoft Edge (Chromium) fait partie du système d’exploitation. Microsoft recommande donc l’application de la baseline de sécurité Microsoft Edge car cette dernière reste séparée.

Plus d’informations sur l’article suivant : Security baseline (FINAL) for Windows 10 and Windows Server, version 20H2 - Microsoft Tech Community

Télécharger les baselines via Microsoft Security Compliance Toolkit 1.0

Je voulais vous partager deux très bons billets d’Ingmar Oosterhoff (Customer Engineer chez Microsoft) qui détaille comment convertir en masse des applications et des packages App-V 5 vers le format MSIX. Ceci peut notamment être très utile si vous souhaitez convertir des applications et utiliser MSIX App Attach de Windows Virtual Desktop ou plus généralement passer dans ce nouveau format.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Lire :

• MSIX – Using the Bulk Conversion Scripts - Microsoft Tech Community
• MSIX – Batch Conversion of Your App-V 5 Packages - Microsoft Tech Community

Microsoft a annoncé l’alignement des canaux de déploiement de Microsoft Teams sur ce que l’on peut déjà observer pour Windows et Office. On retrouve notamment de nouveaux canaux de préversions permettant de voir les nouveautés qui arriveront prochainement dans les versions finales.

On retrouve donc les canaux :

• Beta Channel (accessible uniquement pour les membres du programme TAP)
• Private Preview Channel (accessible uniquement pour les membres du programme TAP)
• Public Preview Channel

Vous pouvez configurer ces canaux depuis le centre d’administration de Microsoft Teams : Public preview in Microsoft Teams - Microsoft Teams | Microsoft Docs

Plus d’informations : Launch of Microsoft Teams preview experience and alignment with Microsoft 365 deployment channels - Microsoft Tech Community

Il y a plusieurs jours, l’annonce d’une cyberattaque d’ampleur est apparue. Solorigate correspond à l’attaque de la société SolarWinds et de la plateforme Orion. En effet, les attaquants ont intégré l’entreprise et ont réussi à entrer dans le système de gestion de développement et des versions. Pendant plusieurs mois, une DLL utilisée dans plusieurs applications Solarwinds légitimes, a été manipulée afin d’y inclure du code malveillant permettant la prise de contrôle des machines. Des entreprises partout dans le monde (FireEye, etc.) mais aussi des agences gouvernementales (Department of State, etc.) utilisent les applications de Solarwinds. Cette attaque permet à des attaquants de rentrer dans le réseau des entités utilisant ces outils initialement légitimes. L’ampleur de l’attaque et sa sophistication porte à croire qu’elle n’a pu être réalisée que par une organisation puissante telle qu’un état.

Microsoft a fourni une réponse rapide à cette annonce via plusieurs éléments :

1. Le 13 décembre, Microsoft a supprimé le certificat numérique utilisé par les fichiers afin que Windows ne fasse plus confiance aux fichiers.
2. Le 15 décembre, Microsoft et plusieurs autres acteurs, ont agi pour prendre la main sur le domaine qui était utilisé pour la partie Command and Control (C2)
3. Depuis le 16 décembre, Microsoft Defender Antivirus a commencé à bloquer le processus des applications légitimes de Solarwinds afin d’empêcher le code malicieux de pouvoir s’exécuter. Si pour une raison particulière, vous devez continuer d’autoriser les outils Solarwinds, Microsoft donne des éléments pour réaliser les exclusions nécessaires en attendant que vous trouviez des solutions : Ensuring customers are protected from Solorigate - Microsoft Security
4. Si vous utilisez Azure Sentinel, Microsoft fournit des requêtes, un workbook, un notebook pour détecter les machines concernées. En outre, Microsoft fournit une règle d’analyse comme détection directement dans la console Azure SentineL. Plus d’informations sur : How to Use Azure Sentinel to Detect SolarWinds SUNBURST – Azure Cloud & AI Blog ou SolarWinds Post-Compromise Hunting with Azure Sentinel - Microsoft Tech Community
5. On retrouve le rapport d’analyse dans les consoles Microsoft Defender for Endpoint et Microsoft 365 Defender pour vous informer : New Threat analytics report shares the latest intelligence on recent nation-state cyber attacks - Microsoft Tech Community
6. Le 21 décembre, Microsoft publie la liste des indicateurs de compromission (IoC) caractéristique de l'attaque : Solorigate AzureAd IOCs (microsoft.com)
7. Le 28 décembre, Microsoft complète ses recommandations par un article pour investiguer Solorigate avec Microsoft 365 Defender : Using Microsoft 365 Defender to protect against Solorigate - Microsoft Security
8. Le 31 décembre, Microsoft communique plus en détail l'investigation sur son réseau : Microsoft Internal Solorigate Investigation Update – Microsoft Security Response Center
9. Le 4 février 2021, Microsoft répond à certaines questions relatives à l'attaque : Sophisticated cybersecurity threats demand collaborative, global response - Microsoft Security
10. Microsoft a communiqué le rapport final de l'attaque. Ce dernier est consultable sur : Microsoft Internal Solorigate Investigation – Final Update – Microsoft Security Response Center

L’équipe de sécurité Microsoft a fourni une analyse poussée de la DLL utilisée pour l’attaque : Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers - Microsoft Security

Voici un centre de ressources mis à disposition par Microsoft : December 21st, 2020 – Solorigate Resource Center – Microsoft Security Response Center

Plus d’informations sur l’attaque :

• A moment of reckoning: the need for a strong and global cybersecurity response - Microsoft On the Issues
• Advice for incident responders on recovery from systemic identity compromises - Microsoft Security

Les migrations vers Microsoft Endpoint Manager (Intune) ont commencé il y a quelques années et elles s’accélèrent depuis plusieurs mois déjà. Une question récurrente revient autour de la migration des périphériques iOS enregistrés dans un autre MDM au travers du programme Automated Device Enrollment (ADE) (anciennement Device Enrollment Program) et d’Apple Business Manager (ABM) vers Microsoft Intune. La procédure est presque toujours la même mais voici un billet de l’équipe du support Intune qui résume les grandes étapes/options disponibles.

Lire : Migrating ADE iOS Devices to Intune