Gartner vient de sortir un nouveau Magic Quadrant pour les plateformes de services de contenu.  Microsoft ressort avec Hyland parmi les leaders du marché avec sa solution SharePoint.

Parmi les forces, on retrouve :

• Intégration à la suite de productivité : Microsoft 365 occupe une position dominante sur le marché des suites de collaboration Cloud. L'analyse des médias sociaux renforce cette position, Microsoft étant le fournisseur ayant le plus grand nombre de part de marché. Les services de contenu fournis par Microsoft, principalement soutenus par SharePoint, sont étroitement intégrés dans la plupart des aspects de la suite et constituent le référentiel de contenu par défaut. Les clients de Gartner évaluent de plus en plus Microsoft 365 comme la composante fondamentale de leurs stratégies de services de contenu.
• SaaS : Microsoft 365 est une plateforme SaaS qui bénéficie du cycle de développement et de mise à jour continu que cela implique. Il s'agit d'un service mature offrant de nombreuses options de résidence des données et des contrôles de confidentialité supplémentaires, tels que des clés de cryptage gérées par le client.
• Écosystème de partenaires tiers : Microsoft dispose d'un vaste réseau de partenaires qui fournissent des solutions et des services conçus pour améliorer Microsoft 365, Un programme de partenariat dédié aux services de contenu est en place et actif. De nombreux produits, y compris des adaptateurs d'intégration pour l'automatisation(Power Automate), peuvent être ajoutés directement à partir de l'app store de Microsoft, ce qui permet de renforcer l'activité des développeurs.

Les faiblesses suivantes sont identifiées :

• Dépendances fonctionnelles de tiers : Les clients de Microsoft exigent souvent des fournisseurs tiers pour qu'ils atteignent des capacités totalement équivalentes à celles des autres leaders du Magic Quadrant. L'absence de capacités de capture de gros volumes et les limites de l'automatisation des processus signifient souvent que les entreprises doivent envisager et évaluer des modules complémentaires pour les cas d'utilisation plus traditionnels. Il s'agit notamment de l'automatisation des comptes fournisseurs et de la gestion des dossiers des employés.
• Préoccupations en matière de gestion des dossiers axées sur la conformité : Malgré des investissements supplémentaires, Microsoft présente encore plusieurs lacunes dans ses capacités de gestion des documents. Ces lacunes peuvent être une source de préoccupation pour les entreprises qui ont des exigences importantes en matière de conformité des documents. L'incapacité à détruire immédiatement le contenu et à contrôler entièrement l'immuabilité du contenu est constamment mise en avant comme étant les plus grands défis. Cependant, la simplicité générale de la conservation et de la gestion des documents signifie souvent que des ajouts de tiers sont nécessaires dans les organisations réglementées.
• Limites architecturales : SharePoint impose des limites de taille architecturale qui ne sont pas présentes dans les autres grandes plateformes. La topologie de longue date de SharePoint, basée sur les sites, associée aux limites associées à ces sites, rend plus difficile la conception de processus complexes et centrés sur le contenu. C'est particulièrement vrai lorsqu'il s'agit de prendre en charge des cas d'utilisation de transactions ou d'archivage à haut volume nécessitant, par exemple, des milliards de documents. Bien qu'il ne s'agisse pas d'une limite stricte, il faut tenir compte de la conception et des solutions de contournement supplémentaires, ce qui peut avoir une incidence sur la facilité d'utilisation.

Lire la copie du rapport

Plus d’informations sur : Over 200 million users rely on SharePoint as Microsoft is again recognized as a Leader in the 2020 Gartner Content Services Platforms Magic Quadrant Report - Microsoft 365 Blog

Début décembre, Gartner a sorti un nouveau Magic Quadrant pour les plateformes Cloud de systèmes de gestion de base de données (DBMS).  Microsoft ressort avec Oracle, Amazon Web Services, et Google parmi les leaders du marché. Microsoft propose pour cela une large gamme de service dans Microsoft Azure (Azure SQL, Azure Synapse Analytics, Azure Cosmos DB, etc.).

Parmi les forces, on retrouve :

• Vision de l'écosystème des données Cloud : Microsoft a articulé une vision forte de l'écosystème des données cloud avec Azure Synapse Analytics. Cette vision est plus affinée et plus complète que celle de ses principaux concurrents, et inclut des aspects de sécurité et de métadonnées. La facilité d'intégration avec les autres offres d'Azure est un argument de vente majeur, et l'écosystème est également ouvert aux offres des éditeurs tiers.
• Chemin de migration vers le cloud : Presque toutes les entreprises ont une relation commerciale avec Microsoft, par l'utilisation de ses produits de gestion des données (tels que Microsoft SQL Server), de ses outils de productivité, de ses logiciels de gestion des identités et des accès, et d'autres offres. Azure représente une extension logique de cet écosystème Microsoft, avec un ensemble complet d'offres de cloud computing, une forte communauté d'utilisateurs et une disponibilité immédiate des compétences.
• Etendue et profondeur du portefeuille avec des capacités multimodèles : Microsoft Azure est le deuxième CSP pour la gestion des données par revenus (selon les estimations de Gartner), et la maturité et la profondeur de ses offres reflètent cette force fondamentale. Contrairement à certains de ses concurrents, Microsoft a adopté une stratégie multimodèle pour nombre de ses offres de gestion de données, ce qui peut simplifier le déploiement. Azure Synapse Analytics reflète cette stratégie d'analyse, et Azure Cosmos DB l'incarne pour les SGBD opérationnels non relationnels. Microsoft établit également des liens entre ses offres analytiques et opérationnelles.

Les faiblesses suivantes sont identifiées :

• Maturité de l'écosystème des données Cloud : Bien que la vision de Microsoft pour un écosystème de données dans le Cloud ait été clairement définie, l'écosystème réel est encore en train d'émerger. Alors que les capacités principales d'entreposage de données d'Azure Synapse Analytics sont généralement disponibles au moment de la rédaction du présent document, les autres composants n'atteindront pas leur disponibilité générale complète avant la fin du quatrième trimestre 2020, et des fonctionnalités supplémentaires sont attendues périodiquement dans le cadre des cycles de publication réguliers. Les utilisateurs potentiels doivent vérifier avec soin que les capacités actuelles de Microsoft répondent à leurs besoins et que les délais de livraison des fonctionnalités supplémentaires requises sont clairs.
• Gouvernance financière : Les contributeurs à la plateforme Peer Insights du Gartner rapportent que le passage à Azure a souvent été plus coûteux que leurs déploiements sur site. Cela reflète à la fois un manque de maturité par rapport aux pratiques générales de gouvernance financière au sein de la communauté des utilisateurs finaux et un manque de normalisation de la structure des coûts dans l'ensemble du vaste portefeuille Azure de Microsoft.
• Intercloud et multicloud : Bien que SQL Server soit disponible sur d'autres clouds (c'est l'un des seuls services SGBD qui peut fonctionner dans les trois plus grands clouds publics), les versions prises en charge par la plate-forme en tant que service (PaaS) ont tendance à être à la traîne par rapport aux dernières versions. Bien que Microsoft n'ait aucun contrôle sur ce phénomène, il reflète la tendance des autres compétiteurs à se concentrer d'abord sur leurs propres offres. En outre, les conditions de licence sont structurées (via Azure Hybrid Benefit) de manière à ce que la base de données SQL et/ou l'instance gérée SQL d'Azure soient plus rentables sur Azure que sur d'autres Cloud. Les capacités d'intercloud pour la gestion des données via Azure Arc sont encore en cours de maturation et se limitent à Azure SQL Managed Instance et Azure Database for PostgreSQL Hyperscale.

Lire le rapport.

Plus d’informations sur : Microsoft named a Leader in Gartner’s 2020 Magic Quadrant for Cloud DBMS Platforms | Blog Azure et mises à jour | Microsoft Azure

Ce script fait référence depuis plusieurs années chez les administrateurs SQL (DBA), Ola Hallengren vient de publier une série de mise à jour de son script de maintenance de base de données.

Télécharger la solution de maintenance

Plus d’informations sur les changements : SQL Server Maintenance Solution Version History (hallengren.com)

Forrester a réalisé une étude sur l’impact économique d’adopter Azure Active Directory pour sécuriser ses applications. L’étude revient sur :

• Les challenges clés
• Les économies de coûts
• L’amélioration de la productivité des utilisateurs finaux avec le Seamless SSO.
• La réduction des coûts avec la réinitialisation de mot de passe en libre-service
• La réduction des risques d’un fuite de données.
• Le coût des licences
• Le coût de l’intégration

On apprend qu’Azure AD fournit un ROI de 123%, un payback après 6 mois, etc.

Je vous recommande donc de lire : The Total Economic Impact Of Securing Apps With Microsoft Azure Active Directory

Microsoft vient de mettre à disposition pour tous, la version finale (5.00.9040.1000) de Microsoft EndPoint Configuration Manager 2010. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1806 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 1806.

On retrouve seulement un problème connu avec les droits RBAC : Release notes - Configuration Manager | Microsoft Docs

Microsoft Endpoint Configuration Manager 2010 comprend les nouveautés suivantes : 

Administration

• Le réveil des machines à la date butoir du déploiement prend maintenant en compte la fonctionnalité Wake-up Client afin qu’un client d’un même sous-réseau envoie l’ordre de réveille
• Un paramétrage client When a deployment requires a restart, allow low-rights users to restart a device running Windows Server permet à des utilisateurs à faible droits sur Windows Server de redémarrer ces machines Windows Server pour par exemple des mises à jour logicielles.

• On retrouve plusieurs améliorations autour des collections :
  • Vous pouvez maintenant prévisualiser le résultat d’une requête construite dans l’éditeur de requêtes.

• • Intégration de l’outil Collection Evaluation Viewer directement dans le produit afin de fournir voir les temps d’évaluation, les dates de dernières évaluations, etc.

• • Un diagramme permet de voir les relations de dépendances entre collections de façon graphique. Cela montre les collections limitantes, les inclusions et les exclusions. Ceci permet de vous aider à comprendre l’impact de changements sur des collections.

• ConfigMgr est compliqué à dépanner. Il est particulièrement complexe de comprendre la latence du système et le retard entre les composants. Les fonctions de service Cloud augmentent cette complexité. Vous pouvez désormais utiliser ConfigMgr pour surveiller l’état des scénarios de bout en bout. Il simule les activités pour exposer les mesures de performance et les points de défaillance. Ces activités synthétiques sont similaires aux méthodes que Microsoft utilise pour surveiller certains composants de ses services dans le Cloud. Cette version comprend les deux scénarios suivants :
  • SQL Server Service Broker : Le Service Broker est une configuration requise pour la base de données du site. De nombreux sous-systèmes de base de ConfigMgr utilisent le Service Broker.
  • Client action health : Surveiller la santé du Fast Channel utilisé pour les actions des clients. Si votre environnement est attaché au tenant avec l’upload des périphériques, cette fonction vous aide à détecter les problèmes potentiels liés aux actions des clients à partir du centre d'administration de Microsoft Endpoint Manager. Vous pouvez également utiliser cette fonction pour les actions des clients sur site. Par exemple, CMPivot, l'exécution de scripts et le réveil de périphérique.

• Si le processus d'installation ou de mise à jour ne se déroule pas correctement, vous pouvez désormais signaler l'erreur directement à Microsoft. En cas d'échec, le bouton Signaler l'erreur de mise à jour à Microsoft est activé. Lorsque vous utilisez ce bouton, un assistant interactif s'ouvre et vous permet de fournir plus d'informations.
• Microsoft introduit une tâche d’administration appelée Delete Aged Collected Diagnostic Files permettant d’effacer les fichiers de diagnostic. Les fichiers collectés par la partie Software Inventory ne sont pas supprimés par cette tâche. Les fichiers de diagnostic sont par défaut supprimés après 14 jours.

• L’Administration Service ne requiert plus l’installation de IIS sur le SMS Provider comme auparavant. Le rôle nécessite toujours une connexion HTTPS sécurisée néanmoins à partir de cette version car lorsque vous activez Enhanced HTTP, il crée un certificat auto-signé pour le SMS Provider et le lie automatiquement sans avoir besoin d'IIS.

Gestion attachée au Cloud (Cloud-attached Management)

• Les déploiements de Cloud Management Gateway (CMG) peuvent désormais utiliser une virtual machine scale set dans Azure pour prendre en charge les abonnements des Cloud Service Provider (CSP). Cette fonctionnalité est actuellement en préversion. Pour l'instant, elle n'est destinée qu'aux clients CSP qui n'ont pas déjà une CMG dans un autre abonnement.

• Vous pouvez désormais désactiver l'authentification Azure Active Directory (Azure AD) pour les tenants qui ne sont pas associés aux utilisateurs et aux périphériques. Lorsque vous enregistrez ConfigMgr à Azure AD, il permet au site et aux clients d'utiliser une authentification moderne. Actuellement, l’authentification du périphérique Azure AD est activée pour tous les tenants embarqués, qu'ils disposent ou non de périphériques. Ceci est utile par exemple si vous avez un tenant séparé avec un abonnement que vous utilisez pour exécuter la Cloud Management Gateway et qui ne comprend pas d'utilisateurs ou de périphériques. Dans ce cas, il y a un intérêt de désactiver l'authentification Azure AD.

• Lors de l’enregistrement de ConfigMgr à Azure AD et la création des applications nécessaires à l’authentification, il est maintenant possible de spécifier une expiration à Never pour la clé secrète.

• Si vous utilisez Desktop Analytics ou tenant-attach, le Service Connection Point vérifie maintenant les URLs importantes. Ces vérifications permettent de s'assurer que les services connectés au Cloud sont disponibles. Il vous aide également à résoudre les problèmes en déterminant rapidement si la connectivité du réseau pose un problème.
• Le portail de dépannage du centre d'administration de Microsoft Endpoint Manager permet de rechercher un utilisateur et de visualiser les périphériques qui lui sont associés. À partir de cette version, les périphériques rattachés à un tenant qui se voient attribuer automatiquement une affinité utilisateur/périphérique en fonction de l'utilisation seront désormais renvoyés lors de la recherche d'un utilisateur. 

• Les administrateurs peuvent désormais effectuer les actions suivantes pour les applications dans le centre d'administration de Microsoft Endpoint Manager :
  • Désinstaller une application
  • Réparation de l'installation d'une application
  • Réévaluer le statut d'installation de l'application
  • Réinstaller une application a remplacé Réessayer l'installation

Desktop Analytics

• Support des nouveaux niveaux de diagnostic Windows 10. Microsoft accroît la transparence en classant les données de diagnostic Windows 10 tel que :
  • Les données de diagnostic Basic sont recatégorisées Required
  • Full est recatégorisé comme Optional

Si vous avez déjà configuré des périphériques en Enhanced ou Enhanced (Limited), dans une prochaine version de Windows 10, ils utiliseront le niveau requis.

• Desktop Analytics supporte maintenant Windows 10 Enterprise LTSC 2019 pour permettre aux entreprises d’évaluer la transition vers la version Semi-Annual.

Gestion du contenu

• Le tableau de bord Client data sources offre désormais une sélection élargie de filtres permettant de visualiser les informations sur les sources de contenu des clients. Ces nouveaux filtres comprennent : Single boundary group, All boundary groups, Internet clients, Clients not associated with a boundary group. Le tableau de bord comprend également une nouvelle tuile pour les téléchargements de contenu utilisant une source de repli (fallback). Ces informations vous aident à comprendre la fréquence à laquelle les clients téléchargent du contenu à partir d'une autre source.

• Si vous retirez un contenu d'un point de distribution alors que le système du site est hors ligne, un enregistrement orphelin peut exister dans WMI. Avec le temps, ce comportement peut éventuellement entraîner un état d'alerte sur le point de distribution. Dans le passé, pour pallier ce problème, vous deviez supprimer manuellement les entrées orphelines de WMI. L'outil content library cleanup en mode suppression peut désormais supprimer ces enregistrements de contenu orphelins de WMI.

Gestion des Applications

• Un périphérique basé sur Internet et joint à un domaine qui n'est pas joint ou enregistré à Azure Active Directory (Azure AD) et qui communique via une Cloud Management Gateway (CMG) peut voir les déploiements d'applications en libre-service. L'utilisateur du domaine Active Directory sur le périphérique a besoin d'une identité Azure AD correspondante. Lorsque l'utilisateur démarre le Software Center, Windows lui demande de saisir ses identifiants Azure AD. Il peut alors voir toutes les applications disponibles.  

Mises à jour logicielles

• À partir de la mise à jour cumulative de septembre 2020, les serveurs WSUS en mode HTTP seront sécurisés par défaut. Par défaut, un client qui recherche des mises à jour par rapport à un serveur WSUS HTTP ne peut pas utiliser un proxy utilisateur. Si vous avez toujours besoin d'un proxy utilisateur malgré les compromis en matière de sécurité, un nouveau paramètre client de mise à jour logicielle est disponible pour permettre ces connexions. Pour plus d'informations sur les changements : Changes to improve security for Windows devices scanning WSUS - Microsoft Tech Community

• Pour vous aider à gérer les risques de sécurité, vous serez averti dans la console des périphériques dont le système d'exploitation est dépassé par la date de fin support. Ces périphériques peuvent ne plus recevoir de mises à jour de sécurité. En outre, une nouvelle règle de Management Insights a été ajoutée pour détecter Windows 7, Windows Server 2008 et Windows Server 2008 R2 sans mises à jour de sécurité étendues (ESU).

• Il y a un nouveau paramètre client pour les mises à jour de logiciels. Si le contenu delta n'est pas disponible à partir des points de distribution du groupe de limites actuel, vous pouvez autoriser un repli immédiat vers un voisin ou vers les points de distribution du groupe limite par défaut du site. Ce paramètre est utile lorsque vous utilisez le contenu delta pour les mises à jour logicielles, car le délai d'attente par tâche de téléchargement est de cinq minutes.

Déploiement de systèmes d’exploitation

• Il est désormais possible de déployer un système d’exploitation via la Cloud Management Gateway (donc potentiellement sur Internet) en utilisant un média de démarrage. Vous pouvez donc envoyer une clé USB à vos employés pour qu’ils réimagent leur machine depuis chez eux par exemple.
• Microsoft avait ajouté un type de déploiement pour associer une séquence de tâches à une application. Avec cette version, il est possible de déployer cette application sur une collection utilisateur. Dans ce cas le déploiement ciblé sur l’utilisateur s’exécute dans le contexte System.
• Sur la gestion de la taille de la séquence de tâches :
  • ConfigMgr restreint maintenant les actions pour une séquence de tâches d'une taille supérieure à 2 Mo. L'éditeur de séquence de tâches affichera une erreur si vous essayez de sauvegarder les modifications d'une grande séquence de tâches.
  • Lorsque vous consultez la liste des séquences de tâches dans la console, vous pouvez ajouter la colonne Size (KB) afin d’identifier identifier les grandes séquences de tâches qui peuvent poser des problèmes.
• Depuis Windows 10 2004, l'outil de diagnostic SetupDiag est inclus dans le setup de Windows. En cas de problème avec la mise à jour, SetupDiag s'exécute automatiquement pour déterminer la cause de la panne. ConfigMgr rassemble et résume désormais les résultats de SetupDiag à partir des déploiements de mise à jour des fonctionnalités avec Windows 10 Servicing.
• Depuis ConfigMgr 1910, pour améliorer la vitesse globale de la séquence des tâches, vous pouvez activer le plan d'alimentation High Performance de Windows. À partir de cette version, vous pouvez désormais utiliser cette option sur les périphériques dotés d'un mode de veille moderne et sur d'autres appareils qui n'ont pas ce plan d'alimentation par défaut.

Protection

• Vous pouvez désormais gérer les stratégies BitLocker et ingérer les clés de récupération via une Cloud Management Gateway (CMG). Ce changement permet également de gérer BitLocker via une gestion des clients basée sur Internet (IBCM). Ceci ne requiert pas de changement dans le processus de configuration de la gestion de BitLocker.
• Vous pouvez appliquer des stratégies Microsoft Defender Application Control sur des périphériques exécutant Windows Server 2019.

Console Configuration Manager

• La console ConfigMgr dispose d'un nouvel assistant pour l'envoi de commentaires. L'assistant remanié améliore le flux de travail en donnant de meilleures indications sur la manière de soumettre les bonnes de retour d’information. Il y a également une nouvelle requête de message d’état, Feedback sent to Microsoft afin de trouver facilement les messages d’état de retour.

(screen)

• La présentation a été améliorée pour les notifications dans la console. Les notifications sont plus lisibles et le lien d'action est plus facile à trouver. En outre, l'âge de la notification est affiché pour vous aider à trouver les dernières informations. Si vous rejetez une notification ou si vous faites Snooze, cette action est désormais persistante pour votre utilisateur sur toutes les consoles.

• Vous pouvez désormais copier les données de découverte des périphériques et des utilisateurs dans la console. Copiez les détails dans le presse-papiers, ou exportez-les tous dans un fichier. Ces nouvelles actions vous permettent d'obtenir plus facilement et rapidement ces données à partir de la console. Par exemple, vous pouvez copier l'adresse MAC d'un périphérique avant de le réimager.
• Diverses zones de la console utilisent désormais la police à largeur fixe Consolas. Cette police de caractères offre un espacement cohérent et facilite la lecture.

• Vous disposez désormais d'un moyen plus simple de visualiser les messages d’état des objets. Sélectionnez un objet dans la console, puis sélectionnez Show Status Messages dans le menu ruban.

• Désormais, lorsque vous importez un objet dans la console, il importe vers le dossier en cours. Auparavant, ConfigMgr mettait toujours les objets importés dans le nœud racine. Ce nouveau comportement s'applique aux applications, aux packages, aux drivers packages, et aux séquences de tâches.
• Pour vous aider à créer des scripts et des requêtes dans la console, vous verrez désormais la coloration syntaxique et le code folding, si disponible.

PowerShell

• Vous pouvez maintenant utiliser Update-Help pour obtenir les dernières informations du module PowerShell de Configuration Manager via la commande Update-Help -Module Configuration Manager.
• Le module PowerShell supporte maintenant PowerShell 7.
• Avec plus de clients qui gèrent désormais des périphériques à distance, cette version comprend plusieurs nouvelles cmdlets PowerShell améliorées pour la Cloud Management Gateway (CMG). Vous pouvez utiliser ces cmdlets pour automatiser la création, la configuration et la gestion des exigences du service CMG et de l'Azure Active Directory (Azure AD).

Plus d’informations sur cette version : What’s new in version 2010

Pour obtenir les éléments relatifs au processus de mise à jour : Updates and servicing - Configuration Manager | Microsoft Docs

Microsoft vient d’annoncer la dépréciation des APIs d’Exchange Online : Outlook REST (Beta) et Outlook REST API v2.0 au profit de Microsoft Graph API. Ces points de terminaison seront retirés le 30 novembre 2022.

Vous devez donc votre faire votre transition vers Microsoft Graph. Pour cela, vous pouvez vous aider de la documentation : Compare Microsoft Graph and Outlook endpoints - Outlook Developer | Microsoft Docs

Source : Outlook REST API beta and Outlook REST API v2.0 Deprecation Notice - Microsoft Tech Community

Microsoft a publié un rapport Power BI pour suivre le Secure Score à travers le temps pour suivre l’état de sécurité des ressources supervisées avec Azure Defender (anciennement Azure Security Center).

Les prérequis suivants sont nécessaires :

• Un compte Power BI
• L’utilisation du Playbook Get-SecureScoreData pour exporter les données
• L’utilisation de Power BI Desktop (version 2.86.727.0 ou plus)

Pour obtenir plus d’informations et télécharger le rapport : Azure-Security-Center/Secure Score/PowerBI-SecureScoreReport at master · Azure/Azure-Security-Center · GitHub

En outre, Microsoft a publié un article pour exporter le Secure Score de manière continue : Continuously Export Secure Score for Over-Time Tracking and Reporting (Preview) - Microsoft Tech Community

Microsoft vient de publier un guide complet sur la mise en place d’une résilience basée sur Azure Active Directory. L’article contient des éléments sur :

• Les infrastructures. Les administrateurs doivent utiliser des fonctionnalités telles que la gestion des identifiants riches, les états des périphériques, l'évaluation continue de l'accès, les composants hybrides tolérants aux pannes et les mises en œuvre d'identités externes intelligentes.
• Des guidelines pour les développeurs. Les développeurs doivent utiliser MSAL et/ou utiliser des modèles résilients pour l'authentification et le traitement des jetons, utiliser Authenticator sur les périphériques mobiles et envisager d'adopter l'évaluation d'accès continu pour leurs applications.
• Des orientations B2C. Pour les développeurs Azure AD B2C, Microsoft recommande d'adopter autant que possible des expériences sans friction pour les utilisateurs, d'optimiser la gestion des erreurs des API externes et de mettre en œuvre diverses bonnes pratiques pour tester et surveiller leurs applications.

Voici l’article principal : Building resilient identity and access management with Azure Active Directory | Microsoft Docs

Microsoft vient d’annoncer que vous pouviez instancier un tenant Microsoft Endpoint Manager (Intune) directement dans la région Chine de Microsoft Azure. Cette instance est donc opérée par 21Vianet et permet de répondre aux exigences chinoises en matière de sécurisation, de fiabilité et de mise à l’échelle. Le service se focalise sur les scénarios de gestion des périphériques mobiles (MDM) et de gestion des applications mobiles (MAM).

Vous pouvez maintenant ajouter Intune à votre offre Office 365 exploitée par 21Vianet. Intune est disponible dès à présent par le biais de l'accord Online Service Premium Agreement (OSPA) de 21Vianet et sera disponible le 1er janvier 2021 par le biais de CSP et du portail Web Direct. En raison de la nature unique des services en Chine - opérés par un partenaire à partir de centres de données en Chine - il y a certaines fonctionnalités qui n'ont pas encore été activées.

Pour plus d’informations sur le service et les différences : Intune exploité par 21Vianet en Chine | Microsoft Docs

Microsoft a communiqué sur un problème touchant les périphériques Windows 10 lorsqu’ils sont gérés par Microsoft Endpoint Manager (Intune). Ce problème survient pour des périphériques Windows 10 1809 ou plus mis à jour avec le correctif cumulatif publié après le 16 septembre 2020 que vous mettez à niveau vers une nouvelle version de Windows 10.

Les symptômes rencontrés sont les suivants :

• Le certificat d'inscription MDM ne se trouve plus sur le périphérique Windows. Une fois que ce certificat n'est plus sur le périphérique, il ne peut pas établir la confiance nécessaire pour obtenir les stratégies Intune.
• Le périphérique Windows 10 peut ne plus avoir de Wi-Fi d'entreprise, de VPN ou d'autres stratégies d'authentification basées sur un certificat.
• Les utilisateurs finaux peuvent signaler qu'ils sont incapables d'accéder à des sites auxquels ils avaient généralement accès (et qu'il n'y a pas d'autre stratégie de conformité ou de problème affectant leur accès).
• Vous pouvez remarquer un volume de trafic élevé dans les journaux d'Intune Management Extension.

Pour les périphériques cogérés, Microsoft a développé un script permet d’identifier les machines qui n’ont pas le certificat d’enregistrement MDM et d’appliquer des étapes de remédiation : https://aka.ms/mdm_enrollment_cert_script 

Microsoft a mis à jour les médias et bundles sur WSUS après le 9 novembre pour corriger ce problème. Vous ne devriez pas le rencontrer si vous utilisez les dernières versions des médias et des mises à niveau (les mises à niveau problématiques ont été remplacées). Pour Windows 10 20H2, les médias n’ont toujours pas été republié sur MVLS.

Si des machines ont déjà été mis à jour avec les versions problématiques, vous pouvez faire un retour arrière. Le délai de retour arrière est de 10 ou 30 jours en fonction de votre configuration. Il est possible d’étendre ce délai (s’il n’est pas échu) avec la commande DISM /set-OSUninstallWindows.

Plus d’informations sur :

• Le problème : Windows 10, version 2004 and Windows Server, version 2004 | Microsoft Docs
• Le script pour les périphériques cogérés : Intune MDM enrollment certificate not present after updating to a newer version of Windows - Microsoft Tech Community

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Azure Defender (anciennement Azure Security Center).

• Disponibilité Générale de la détection d’attaque sans fichiers pour Linux.
• On retrouve 29 recommandations en Preview dont notamment :
  • Chiffrement de la donnée en transit :
    • La connexion SSL doit être activée pour les serveurs de base de données PostgreSQL
    • La connexion SSL doit être activée pour les serveurs de bases de données MySQL
    • TLS doit être mis à jour avec la dernière version de votre API
    • TLS doit être mis à jour avec la dernière version de votre application fonction
    • TLS doit être mis à jour avec la dernière version de votre application web
    • FTPS doit être requis dans votre API
    • FTPS doit être requis dans votre App fonction
    • FTPS devrait être requis dans votre application web
  • Gestion des accès et des permissions
    • Les applications web doivent demander un certificat SSL pour toutes les demandes entrantes
    • L'identité gérée doit être utilisée dans votre API
    • L'identité gérée doit être utilisée dans votre App fonction
    • L'identité gérée doit être utilisée dans votre application web
  • Restriction des accès réseau non autorisés
    • Les points de terminaison privés doivent être activés pour les serveurs PostgreSQL
    • Les points de terminaison privés doivent être activés pour les serveurs MariaDB
    • Les points de terminaison privés doivent être activés pour les serveurs MySQL
  • Activation de l’audit et de la journalisation
    • Les journaux de diagnostic dans les services applicatifs doivent être activés
  • Implémentation des bonnes pratiques de sécurité
    • Azure Backup devrait être activé pour les machines virtuelles
    • La sauvegarde géo-redondante devrait être activée pour la base de données Azure pour MariaDB
    • La sauvegarde géo-redondante devrait être activée pour la base de données Azure pour MySQL
    • La sauvegarde géo-redondante devrait être activée pour la base de données Azure pour PostgreSQL
    • PHP doit être mis à jour à la dernière version de votre API
    • PHP doit être mis à jour à la dernière version pour votre application web
    • Java doit être mis à jour avec la dernière version de votre API
    • Java doit être mis à jour avec la dernière version de votre application fonction
    • Java doit être mis à jour avec la dernière version de votre application web
    • Python doit être mis à jour à la dernière version pour votre API
    • Python doit être mis à jour à la dernière version pour votre application fonction
    • Python doit être mis à jour à la dernière version pour votre application web
    • La durée de conservation des audits pour les serveurs SQL doit être fixée à 90 jours au moins
• NSIT SP 800 171 R2 a été ajouté au tableau de bord de conformité des régulations
• La liste des recommandations inclut maintenant des filtres
• Amélioration et extension de l’expérience de provisionnement automatique des extensions proposant Log Analytics (déjà proposé), Azure Policy Add-On for Kubernetes (Nouveau), et l’agent Microsoft Defendency.
• Preview de l’export continu du Secure Score afin de streamer les changements en temps réel vers un Azure Event Hubs ou un workspace Log Analytics. Ceci permet donc de traquer les changements sur le Secure Score à travers le temps avec des rapports dynamique, d’exporter les données vers un SIEM (tel qu’Azure Sentinel) ou d’intégrer les données dans vos processus de suivi actuel
• La recommandation "System updates should be installed on your machines" inclut des sous recommandations pour chaque mise à jour mise à jour manquante afin de fournir une nouvelle expérience améliorée avec les informations adéquates.
• La page Policy Management du portail Azure affiche maintenant l’état des assignation de stratégie par défaut.

Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs

Microsoft vient d’ajouter 7 nouvelles recommandations de Microsoft Defender for Endpoint (anciennement MDATP) au Secure Score. Parmi les actions recommandées, on retrouve :

1. Désactiver le compte administrateur intégré
2. Désactiver le compte invité intégré
3. Activer l'EDR en mode block
4. Définissez la "Minimum password length" à " 14 or more characters".
5. Réglez " Enforce password history" sur " 24 or more password(s)".
6. Définissez "Maximum password age" à "60 or fewer days, but not 0".
7. Définir "Minimum password age" à "1 or more day(s)".

Le déploiement aura lieu sur décembre.

Depuis le 3 décembre 2020, Apple a mis en ligne de nouveaux termes et conditions pour son service Apple Business Manager (anciennement Apple Device Enrollment Program). Vous devez accepter les nouvelles conditions afin de continuer à pouvoir enregistrer et gérer les périphériques via ce service et afin que Microsoft Endpoint Manager (Intune) puisse communiquer avec. Si vous n'acceptez pas les nouveaux termes et conditions, le service Intune recevra l'erreur - "T_C_NOT_Signed" de la part d'Apple.

Vous devez vous connecter sur : Apple Business Manager

Plus d’informations sur : If Apple Business Manager or Apple School Manager asks you to approve new terms and conditions - Apple Support

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

La version 187 et 188 introduisent les changements suivants :

• Microsoft a ajouté une intégration native avec Menlo Security, ce qui vous permet de bénéficier d'une visibilité du Shadow IT sur l'utilisation des applications et de contrôler l'accès aux applications.
• Nouvel analyseur de journaux WatchGuard pour la découverte Cloud
• Cloud App Security permet désormais aux utilisateurs ayant le rôle Global Administrator de Cloud Discovery de créer des jetons d'API et d'utiliser toutes les API liées à Cloud Discovery.
• Microsoft a mis à jour le curseur de sensibilité pour les voyages impossibles afin de configurer différents niveaux de sensibilité pour différentes portées d'utilisateur, ce qui permet un meilleur contrôle de la fidélité des alertes pour les portées d'utilisateur. Par exemple, vous pouvez définir un niveau de sensibilité plus élevé pour les administrateurs que pour les autres utilisateurs de l’entreprise.
• Le 7 juin 2020, Microsoft a commencé à déployer progressivement les contrôles de session proxy améliorés pour utiliser un suffixe unifié qui n'inclut pas les régions nommées. Par exemple, les utilisateurs verront le suffixe <AppName>.mcas.ms au lieu de <AppName>.<Region>.cas.ms. Si vous bloquez régulièrement des domaines dans vos périphériques réseau ou passerelles, assurez-vous que vous autorisez la liste de tous les domaines énumérés dans Access and session controls.

En outre, Microsoft propose une nouvelle table CloudAppEvents en Public Preview dans Microsoft 365 Defender avec les activités supervisées par Microsoft Cloud App Security pour les services : Exchange Online, Microsoft Teams

Plus d’informations sur : What's new with Microsoft Cloud App Security

Microsoft a publié la Public Preview (v2.9.101.0) du scanner Unified Labeling d’Azure Information Protection.  Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Pour les fonctionnalités proposées par le Scanner, on retrouve :

• Le scanner Azure Information Protection prend désormais en charge la gestion via PowerShell des jobs d’analyse de contenu, pour les serveurs de scanners qui ne peuvent pas se connecter à Internet.

• Vous pouvez désormais ajouter des dépôts NFS à vos jobs d'analyse de contenu, en plus des partages de fichiers SMB et des dépôts SharePoint.

• Microsoft a ajouté la prise en charge de types d'informations sensibles supplémentaires dans Azure Information Protection, tels que le numéro d'entreprise australien, le numéro de société australien ou la carte d'identité autrichienne.

On retrouve les correctifs et améliorations suivants :

• Ajout de la prise en charge des traits d'union (-) dans les noms des bases de données des scanners
• Mises à jour des rapports lorsque l'option " Label files based on content" est réglée sur "Off
• Amélioration de la consommation de mémoire pour un grand nombre de correspondances de types d'informations
• Prise en charge des chemins d'accès à SharePoint sur site qui se terminent par un slash (/)
• Augmentation de la vitesse d’analyse de SharePoint
• Amélioration pour éviter un délai d'attente lors de l'analyse d'un serveur SharePoint.

Télécharger Azure Information Protection unified labeling client

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v87. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

Cette version comprend de nouveaux paramètres de configuration machine et utilisateur par rapport à la version 86 :

• Configure address bar editing for kiosk mode public browsing experience
• Configure Speech Recognition
• Configure the default paste format of URLs copied from Microsoft Edge and determine if additional formats will be available to users
• Configure the location of the browser executable folder
• Default printing page size
• Delete files downloaded as part of kiosk session when Microsoft Edge closes
• Enable Password reveal button
• Enable web capture feature in Microsoft Edge
• Hide the one-time redirection dialog and the banner on Microsoft Edge
• Prevent install of the BHO to redirect incompatible sites from Internet Explorer to Microsoft Edge
• Redirect incompatible sites from Internet Explorer to Microsoft Edge
• Set the release channel search order preference
• Shopping in Microsoft Edge Enabled.

Plus d’informations sur l’article suivant :  Security baseline for Microsoft Edge version 87 - Microsoft Tech Community

Télécharger Security Compliance Toolkit

A partir de ce jour (8 décembre 2020), Windows 10 1903 n’est plus supporté par Microsoft pour les éditions Home, Pro, Enterprise, Education, IoT Enterprise. Le Patch Tuesday du 8 décembre 2020 sera donc les dernières mises à jour de sécurité produites par Microsoft pour cette version.

Vous devez donc mettre à jour vers une version supérieure.

Source : Fin de la maintenance pour Windows 10 version 1903 | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Android] Amélioration des messages d’explication du fonctionnement sur le mode Work Profile dans le portail d'entreprise
  • Après le déroulement de la configuration du work profile. Les utilisateurs voient un nouvel écran d'information expliquant où trouver les applications de travail, avec des liens vers la documentation d'aide.
  • Lorsqu'un utilisateur réactive accidentellement l'application du portail d'entreprise dans son profil personnel. Microsoft a créé un écran (Your device now has a profile just for work) avec des explications plus claires et de nouvelles illustrations pour guider les utilisateurs vers leurs applications de travail, avec des liens vers la documentation d'aide.
  • Sur la page d'aide. Dans la section Foire aux questions, il y a un nouveau lien vers la documentation d'aide sur la façon de configurer le profil de travail et de trouver des applications.
• [Windows 10] Public Preview de Windows Aupilot pour HoloLens 2.

Gestion du périphérique

• [Android] Revue de la terminologie work profile en personally-owned devices with a work profile afin d’éviter la confusion. Le but est de différencier ce mode du mode COPE : corporate-owned work profile
• [iOS] Fin de support d’iOS 11. L’enregistrement dans Intune et le portail d’entreprise requièrent maintenant iOS 12 ou ultérieur. Les périphériques iOS 11 déjà enregistrés, continuent de recevoir les stratégies.
• [macOS] Fin de support de macOS 10.12. 

Configuration du périphérique

• [Android] De nouveaux paramétrages de restrictions sont disponibles dans le mode Dedicated Device d’Android Enterprise permettant de :
  • Restreindre le menu d'alimentation (Power), les avertissements d'erreur système et l'accès à l'application Paramètres.
  • Choisir si les utilisateurs peuvent voir les boutons d'accueil et de vue d'ensemble, ainsi que les notifications.

• [iOS/iPadOS] Un nouveau paramètre Show Previews (Devices > Configuration profiles > Create profile > iOS/iPadOS comme plateforme > Device features pour profil > App Notifications) est disponible pour choisir le moment où les aperçus des notifications d'applications récentes sont affichés sur les périphériques.

• [iOS] Microsoft Tunnel supporte maintenant les règles à la demande pour les périphériques iOS/iPad permettant de spécifier l’utilisation VPN quand des conditions sont remplies sur la base de FQDNs ou d’adresses IP spécifiques.

• [Windows 10] De nouveaux paramétrages et fonctionnalités sont disponibles pour les profils Wi-FI sur Windows 10 ou plus (Devices > Device Configuration > Create profile > Windows 10 and later comme plateforme > Wi-Fi pour profil > Enterprise) :
  • Authentication mode: Authentifier l'utilisateur, l'appareil, ou utiliser l'authentification invitée.
  • Remember credentials at each logon: Forcer les utilisateurs à entrer leurs identifiants à chaque fois qu'ils se connectent au VPN. Ou bien, mettez en cache les informations d'identification pour que les utilisateurs ne les saisissent qu'une seule fois.
  • Un contrôle plus granulaire du comportement d'authentification, notamment :
    • Période d'authentification
    • Délai de réessai d'authentification
    • Période de démarrage
    • Nombre maximum de messages EAPOL-Start
    • Echecs d'authentification maximums
  • Use separate VLANs for device and user authentication : En cas d'authentification unique, le profil Wi-Fi peut utiliser un réseau local virtuel différent en fonction des informations d'identification de l'utilisateur. Votre serveur Wi-Fi doit prendre en charge cette fonctionnalité.

Gestion des applications

• [Windows 10] Les scripts PowerShell s’exécutent avant les applications et leur timeout a été réduit afin de faciliter les scénarios Autopilot :
  • La cinématique d’exécution de l’Intune Management Extension a remis le traitement des scripts PowerShell avant l'exécution des applications Win32.
  • Pour résoudre un problème de délai d'attente de la page d'état des inscriptions (ESP), les scripts PowerShell sont interrompus au bout de 30 minutes. Auparavant, ils s'arrêtaient au bout de 60 minutes.

Sécurité du périphérique

• [Windows 10] Ajout d’un nouveau paramétrage Block write access to removable storage dans le profil Device Control afin de réduire la surface d’attaque et de bloquer l’écriture sur des périphériques amovibles.

• [Windows 10] Améliorations sur les paramétrages des règles de profil de réduction de surface d’attaques avec une nouvelle option Warn permettant sur les périphériques Windows 10 1809 ou plus de recevoir un message permettant à l’utilisateur d’outrepasser la règle avec une justification. Sur les périphériques qui fonctionnent avec des versions antérieures de Windows 10, la règle applique le comportement sans possibilité de le contourner.

• [Windows 10] Support de la fusion des stratégies pour les identifiants de périphériques bloqués ou autorisés dans les règles de réduction de surface d’attaque. La fusion des stratégies s'applique à la configuration de chaque paramètre dans les différents profils qui s'appliquent à un périphérique. Elle n'inclut pas l'évaluation entre les différents paramètres, même lorsque deux paramètres sont étroitement liés.
• [Windows 10] Les règles de réduction de la surface d'attaque prennent désormais en charge un nouveau comportement pour la fusion des paramètres de différentes stratégies, afin de créer un sur-ensemble de politiques pour chaque appareil. Seuls les paramètres qui ne sont pas en conflit sont fusionnés, tandis que ceux qui sont en conflit ne sont pas ajoutés au super-ensemble de règles. Auparavant, si deux politiques incluaient des conflits pour un même paramètre, les deux politiques étaient signalées comme étant en conflit, et aucun paramètre de l'un ou l'autre profil n'était déployé. Le comportement de la fusion des règles de réduction de la surface d'attaque est le suivant :
  • Les règles de réduction de la surface d'attaque des profils suivants sont évaluées pour chaque dispositif auquel les règles s'appliquent :
    • Devices > Configuration policy > Endpoint protection profile > Microsoft Defender Exploit Guard > Attack Surface Reduction.
    • Endpoint security > Attack surface reduction policy > Attack surface reduction rules.
    • Endpoint security > Security baselines > Microsoft Defender ATP Baseline > Attack Surface Reduction Rules.
  • Les paramètres qui n'ont pas de conflit sont ajoutés à un sur-ensemble de règles pour le périphérique.
  • Lorsque deux ou plusieurs stratégies ont des paramètres contradictoires, les paramètres contradictoires ne sont pas ajoutés à la stratégie combinée, tandis que les paramètres qui ne sont pas contradictoires sont ajoutés au sur-ensemble de stratégie qui s'applique à un périphérique.
  • Seules les configurations des paramètres contradictoires sont retenues.
• [Windows 10] Amélioration du rapport Antivirus Status Operations avec de nouveaux détails et notamment les colonnes :
  • Product status – Le statut de Windows Defender sur l'appareil.
  • Tamper protection – La protection anti-sabotage est-elle activée ou désactivée.
  • Virtual machine – Le périphérique est une machine virtuelle ou un périphérique physique.
• [Windows 10] Une nouvelle solution Mobile Threat Defense NVISION Mobile a été intégrée.

Supervision et Dépannage

• [Général] Un nouveau rapport opérationnel sur les problèmes d'affectation est disponible en Public Preview pour aider à résoudre les erreurs et les conflits pour les profils de configuration qui ont été ciblés sur les périphériques. Ce rapport affichera une liste des profils de configuration pour le tenant et le nombre de périphériques en état d'erreur ou de conflit. À l'aide de ces informations, vous pouvez accéder à un profil pour voir la liste des périphériques et des utilisateurs en échec liés au profil. En outre, vous pouvez afficher une liste de paramètres et de détails de réglage liés à la cause de la défaillance. Vous avez la possibilité de filtrer, de trier et de rechercher dans tous les enregistrements du rapport. Dans le centre d'administration de Microsoft Endpoint Manager, vous pouvez trouver ce rapport en sélectionnant Devices > Monitor > Assignment failures (preview).

• [Général] Le nouveau rapport (en Preview) sur les stratégies non conformes permet de vous aider à résoudre les erreurs et les conflits relatifs aux stratégies de conformité visant les périphériques. Le rapport Noncompliant policies affiche une liste des politiques de conformité dont un ou plusieurs périphériques comportent des erreurs ou qui sont en état de non-conformité à la stratégie.

• [Windows 10] Mise à jour des rapports pour les machines virtuelles Windows Virtual Desktop afin de marquer les paramétrages comme non applicables pour les scénarios suivants :
  • Paramètres de BitLocker
  • Chiffrement des appareils
  • Paramètres Defender Application Guard
  • Defender Tamper Protection
  • Profils Wi-Fi

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Note : Ce problème a été résolu dans la version en disponibilité générale

L’équipe Endpoint Manager a communiqué sur un problème à noter lors de la montée de version vers Microsoft Endpoint Configuration Manager 2010 et l’utilisation d’un serveur de site passif dans le cadre de la haute disponibilité.  Dans ce cas, la mise à niveau du site passif peut ne pas se terminer après la montée de version. Ce problème est dû à un changement dans Microsoft Monitoring Agent pour Microsoft Defender for Endpoint (ATP). Les fichiers MMA ne sont pas copiés à l’ensemble des emplacements requis.

Pour contourner le problème :

1. Allez dans le répertoire d’installation du serveur de site .\CMUStaging\D5054056-F41C-4E61-90A7-4F135B76F806\Redist et copiez MMASetup-amd64.exe et MMASetup-i386.exe vers .\cd.latest\redist.
2. Si vous avez un Management Point sur un autre serveur, copiez les fichiers dans les répertoires suivants du système de site :
   • Copiez MMASetup-amd64.exe dans le dossier .\sms\client\x64
   • Copiez MMASetup-i386.exe dans le dossier .\sms\client\i386
3. Relancez la mise à niveau de la version 2010.

Plus d’informations sur : Release notes - Configuration Manager | Microsoft Docs

Source : david james sur Twitter

Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

• Sysmon v12.03 : Publication de correctifs de sécurité et de bug, et résolution d'un problème de traitement PipeEvent et ajout de vérifications supplémentaires aux écritures du noyau.
• SDelete v2.04 est un utilitaire en ligne de commande pour la suppression sécurisée de fichiers. Cette mise à jour fournit un nouveau commutateur, -f, pour éviter l'ambiguïté entre fichier/répertoire et lecteur.
• WinObj v2.23 est un utilitaire permettant d'explorer l'espace de noms du gestionnaire d'objets de Windows NT, apporte des corrections de bugs et est maintenant disponible pour x64 et ARM64.
• ARM64 ports: Nouvelles versions ARM64 pour ADRestore v1.2, LogonSessions v1.41 and et WinObj v2.23.

Microsoft a publié des scripts permettant de donner des exemples pour importer, exporter ou lister les stratégies présentes dans le nœud Endpoint Security de Microsoft Endpoint Manager (Intune).

On retrouve :

• EndpointSecurityPolicy_Export.ps1
• EndpointSecurityPolicy_Get.ps1
• EndpointSecurityPolicy_Import_FromJSON.ps1
• EndpointSecurityTemplates_Get.ps1

Les scripts sont sur GitHub

Microsoft vient de mettre à disposition une nouvelle version (1.2.1524) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Ajout d'une vue en liste pour les ressources distantes afin que les noms d'applications plus longs soient lisibles.
• Ajout d'une icône de notification qui apparaît lorsqu'une mise à jour pour le client est disponible.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Le 1^er Avril 2021, Microsoft mettra fin au support du client Azure Information Protection classique et de l’administration des stratégies et des labels/étiquettes depuis le portail Azure.

Microsoft rappelle qu’il est nécessaire de migrer vers la solution Unified Labeling et mettre à jour les clients.

Plus d’informations sur : Announcing timelines for sunsetting label management in the Azure portal and AIP client (classic) - Microsoft Tech Community

Zoheb Shaikh et Tim Beasley (MSFT) propose un article très intéressant sur la sécurisation des contrôleurs de domaine hébergés dans Microsoft Azure.

Ils reviennent sur les fondamentaux :

• Retrait des extensions
• Vérification des accès aux ressources associées
• Utilisation d’un abonnement dédié.
• Etc

Je vous invite à lire : Are your IaaS DC's Secured in Azure ? - Microsoft Tech Community

Microsoft a publié une série de vidéos sur Microsoft 365 Defender (anciennement Microsoft Threat Protection) pour vous permettre d’aborder les différents points sur la protection et la réponse face à des menaces.

Les sujets suivants sont abordés :

• Aperçu
• Démarrage
• Incident
• Investigation avancée
• Actions de remédiation automatiques

Pour voir ces vidéos, vous pouvez vous diriger sur : Training videos on Microsoft Threat Protection