Microsoft vient de mettre à disposition la Technical Preview 2007 (5.0.9026.1000) de Microsoft Endpoint Manager Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2003 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 2007 comprend les nouveautés suivantes :

Administration

• Amélioration du tableau de bord Client Data Sources pour offrir des filtres supplémentaires pouvoir où les clients obtiennent le contenu. On retrouve notamment : Les groupes de limites unitaires, tous les groupes de limites, les clients Internet, les clients non associés à un groupe de limites.

• Sur les retours UserVoice, diverses zones de la console utilisent désormais la police à largeur fixe Consolas. Cette police offre un espacement cohérent et facilite la lecture. Dans cette version, vous verrez la police Consolas aux endroits suivants :
  • Application scripts
  • Configuration item scripts
  • WMI-based collection membership queries
  • CMPivot queries
  • Scripts
  • Run PowerShell Script
  • Run Command Line

Cloud and Tenant-Attach

• Il est maintenant possible de voir l’inventaire matériel depuis la vue du périphérique du centre d’administration Microsoft Endpoint Manager. Un onglet Resource Explorer est apparu donnant l’accès à l’ensemble des classes
• Amélioration de la timeline de périphérique dans le centre d’administration pour inclure les événements additionnels suivants :
  • Event ID 20227 pour VPN failure depuis RAS client
  • Event ID 20009 pour MP communication roundtrip depuis Microsoft-ConfigMgr

Déploiement de système d’exploitation

• La TP2004 comprenait de nouvelles règles de gestion permettant de gérer la taille de la stratégie des séquences de tâches. Les séquences de tâches de grande taille entraînent des problèmes de traitement des clients. Pour faciliter la gestion de la taille des séquences de tâches, à partir de cette version, Configuration Manager limite les actions suivantes pour une séquence de tâches d'une taille supérieure à 2 Mo :
  • Enregistrer les modifications dans l'éditeur de séquence de tâches
  • Sauver les changements avec les cmdlets PowerShell
  • Importer une nouvelle séquence de tâches
  • Tout autre changement utilisant les méthodes SDK supportées

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-2007

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

La version 178 introduit les changements suivants :

• Nouvelles configurations de sécurité pour la plateforme Google Cloud : Microsoft a étendu les configurations de sécurité multi-cloud pour fournir des recommandations de sécurité pour la plateforme Google Cloud, basées sur le benchmark GCP CIS. Grâce à cette nouvelle fonctionnalité, Cloud App Security offre aux entreprises une vue unique pour surveiller l'état de conformité de toutes les plateformes de cloud, y compris les abonnements Azure, les comptes AWS et maintenant les projets GCP.
• Microsoft a ajouté les connecteurs d'applications suivants à son portefeuille de connecteurs d'API généralement disponibles, vous donnant plus de visibilité et de contrôle sur la façon dont vos applications sont utilisées dans votre organisation :
  • GitHub Enterprise Cloud
  • Plateforme Google Cloud
  • Workday
• Microsoft a étendu les contrôles de session pour détecter les logiciels malveillants potentiels en utilisant Microsoft Threat Intelligence lors du téléchargement de fichiers. La nouvelle détection est désormais disponible dès la sortie de l'ordinateur et peut être configurée pour bloquer automatiquement les fichiers identifiés comme des logiciels malveillants potentiels.
• Disponibilité Générale du support des contrôles d'accès et de session pour les applications SAML configurées avec n'importe quel fournisseur d'identité.
• Cloud App Security permet d'identifier les machines à risque dans le cadre de l’identification du ShadowIT. Microsoft a ajouté le niveau de risque de la machine de Microsoft Defender ATP à la page des machines, ce qui permet aux analystes d'avoir un meilleur contexte lorsqu'ils investiguent sur les machines.
• Microsoft a ajouté la possibilité de désactiver les connecteurs d'application directement dans Cloud App Security.

La version 177 introduit les changements suivants :

• (Preview) Nouvelle détection des logiciels malveillants en temps réel. Microsoft a étendu les contrôles de session pour détecter les logiciels malveillants potentiels en utilisant Microsoft Threat Intelligence lors du téléchargement de fichiers.
• Nouvelle prise en charge des jetons d'accès pour les contrôles d'accès et de session. Microsoft a ajouté la possibilité de traiter les demandes de jetons d'accès et de codes comme des ouvertures de session lors de l'intégration d'applications aux contrôles d'accès et de session. Pour utiliser les jetons, cliquez sur l'icône de l'engrenage des paramètres, sélectionnez Contrôle de l'application d'accès conditionnel, modifiez l'application concernée (menu trois points > Modifier l'application), sélectionnez Traiter les jetons d'accès et les demandes de code comme des connexions à l'application, puis cliquez sur Enregistrer.
• Le 7 juin 2020, Microsoft a commencé à déployer progressivement les contrôles de session proxy améliorés pour utiliser un suffixe unifié qui n'inclut pas les régions nommées. Par exemple, les utilisateurs verront le suffixe <AppName>.mcas.ms au lieu de <AppName>.<Region>.cas.ms. Si vous mettez régulièrement des domaines sur liste noire dans vos appareils réseau ou vos passerelles, assurez-vous de mettre sur liste blanche tous les domaines énumérés sous Contrôles d'accès et de session.
• La documentation MCAS a été élargie pour inclure le nouveau contenu suivant :
  • Using the Cloud App Security REST API
  • Investigate anomaly detection alerts

Plus d’informations sur : What's new with Microsoft Cloud App Security

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender Advanced Threat Protection (ATP) introduit dans le mois.

• Microsoft Defender ATP ajoute le support de Linux.
• Microsoft ajoute des simulateurs d'attaques dans le laboratoire d'évaluation. Microsoft s'est associé à diverses plateformes de simulation de menaces pour vous permettre de tester les capacités de la plateforme directement depuis le portail.

Plus d’informations sur : What’s new in Microsoft Defender ATP

Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Desktop Analytics n'exige plus que vous déployiez un service Office 365 dans votre tenant Azure Active Directory (Azure AD). L'application Office 365 client admin dans Azure AD est maintenant l'application Desktop Analytics, pour permettre à Configuration Manager de récupérer les informations et le statut du service.

Plus d’informations sur : What’s new in Desktop Analytics

Azure ATP étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.119 comporte un nouvel onglet contrôleurs de domaine exclus dans les rapports Excel pour améliorer la précision du calcul de la couverture des contrôleurs de domaine. Microsoft exclut les contrôleurs de domaine ayant des trusts externes du calcul afin d'obtenir une couverture de 100 %. Les contrôleurs de domaine exclus apparaîtront dans le nouvel onglet "Contrôleurs de domaine exclus" dans le téléchargement du rapport Excel sur la couverture des domaines.
• La version 2.118 intègre de nouvelles évaluations de sécurité :
  • Riskiest lateral movement paths : Cette évaluation surveille en permanence votre environnement afin d'identifier les comptes sensibles présentant les trajectoires de mouvement latéral les plus risquées qui exposent à un risque de sécurité, et établit des rapports sur ces comptes pour vous aider à gérer votre environnement. Les trajectoires sont considérées comme risquées si elles comportent au moins trois comptes non sensibles qui peuvent exposer le compte sensible au vol d'identité par des acteurs malveillants.
  • Unsecure account attributes : Cette évaluation Azure ATP surveille en permanence votre environnement afin d'identifier les comptes dont les valeurs d'attribut exposent à un risque de sécurité, et établit des rapports sur ces comptes pour vous aider à protéger votre environnement.

• Microsoft élargit la définition de la sensibilité pour les comptes On-Premises afin d'inclure les entités qui sont autorisées à utiliser la réplication Active Directory.

• La version 2.117 intègre des détails supplémentaires sur les activités dans l'expérience unifiée SecOps. Microsoft a étendu les informations sur les périphériques que nous envoyons à Cloud App Security, notamment les noms des périphériques, les adresses IP, les comptes UPN et le port utilisé.
• La version 2.115 intègre de nouvelles évaluations de sécurité :
  • Unsecure SID History attributes : Cette évaluation fait état des attributs SID History qui peuvent être utilisés par des attaquants malveillants pour accéder à votre environnement.
  • Microsoft LAPS usage : Cette évaluation porte sur les comptes des administrateurs locaux qui n'utilisent pas la LAPS de Microsoft pour sécuriser leurs mots de passe.
• Les versions 2.115, 2.116, 2.117, 2.118 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

Microsoft vient de publier la version 2.7.96 du client et du scanner Unified Labeling d’Azure Information Protection.

À partir de cette version du client Azure Information Protection, seules les versions TLS 1.2 ou supérieures sont prises en charge. Les clients dont la configuration TLS ne prend pas en charge TLS 1.2 doivent passer à une configuration prenant en charge TLS 1.2 pour utiliser les politiques, les tokens, l'audit et la protection d'Azure Information Protection et pour recevoir des communications basées sur Azure Information Protection.

Parmi les changements sur l’Unified Labeling Client, on retrouve :

• Des fenêtres contextuelles de justification apparaissent désormais pour les modifications apportées aux étiquettes par défaut dans le client Unified Labeling.
• Intégration plus aisée avec les marquages visuels du contenu appliqués par Office.
• La nouvelle propriété avancée WordShapeNameToRemove permet de supprimer le marquage de contenu dans les documents Word réalisés par des applications tierces.

Parmi les nouveautés et changements sur le scanner, on retrouve :

• Les entreprises qui utilisent AIP peuvent désormais choisir de mettre en œuvre un étiquetage automatique uniquement du côté du service. Cette fonctionnalité permet aux utilisateurs finaux d'AIP de toujours suivre les recommandations au lieu du scénario précédent, qui n'autorisait que l'étiquetage automatique du côté utilisateur.
• Vous pouvez apprendre quels fichiers précédemment découverts par le scanner ont été supprimés du dépôt scanné. Ces fichiers supprimés n'étaient pas précédemment signalés dans AIP Analytics et sont maintenant disponibles dans le rapport de découverte du scanner.
• Vous pouvez obtenir des rapports du scanner sur les échecs d'application des événements d'action. Vous pouvez utiliser les rapports pour connaître les événements d'action échoués et découvrir des moyens de prévenir les occurrences futures.
• Introduction de l'outil AIP scanner diagnostic analyzer pour la détection et l'analyse des erreurs courantes du scanner. Pour commencer à utiliser les diagnostics du scanner AIP, lancez la cmdlet Start-AIPScannerDiagnostics.
• Vous pouvez maintenant gérer et limiter la consommation maximale de CPU sur la machine du scanner.
• Vous pouvez désormais configurer le scanner à étiquetage unifié pour qu'il ignore des fichiers spécifiques en fonction de leurs attributs. Définissez la liste des attributs de fichiers qui déclenchent le saut d'un fichier à l'aide du nouveau paramètre avancé ScannerFSAttributesToSkip.

• Des journaux d'audit sont désormais générés chaque fois que le scanner détecte qu'un fichier qui avait été précédemment analysé est désormais supprimé.
• Améliorations des performances SQL du scanneur qui devraient améliorer les déploiements de cluster à nœuds multiples
• Améliorations des performances d’analyse de SharePoint

Parmi les corrections majeures, on retrouve :

• Amélioration des notifications aux utilisateurs pour les stratégies manquantes.
• Les étiquettes automatiques sont désormais appliquées dans Excel pour les scénarios où un utilisateur commence à fermer un fichier sans l'enregistrer, tout comme elles le sont lorsqu'un utilisateur enregistre activement un fichier.
• Les en-têtes et les pieds de page sont supprimés comme prévu, et non plus sur chaque enregistrement de document, lorsque le paramètre ExternalContentMarkingToRemove est configuré.
• Les variables dynamiques de l'utilisateur sont maintenant affichées dans les marquages visuels d'un document comme prévu.
• Le problème qui consistait à n'utiliser que la première page du contenu d'un PDF pour appliquer les règles d'auto-classification est désormais résolu, et l'auto-classification basée sur l'ensemble du contenu du PDF se déroule maintenant comme prévu.
• Lorsque plusieurs comptes Exchange sont configurés et que le client Outlook Azure Information Protection est activé, les courriers sont envoyés depuis le compte secondaire comme prévu.
• Lorsqu'un document portant un label de confidentialité plus élevé est glissé et déposé dans un courrier électronique, ce dernier reçoit automatiquement le label de confidentialité plus élevé, comme prévu.
• Des autorisations personnalisées sont maintenant appliquées aux courriels comme prévu, lorsque les adresses électroniques comprennent à la fois une apostrophe (') et un point (.)
• Par défaut, le propriétaire NTFS d'un fichier est perdu lorsque le fichier est étiqueté par le scanner d'étiquetage unifié, PowerShell, ou l'extension File Explorer. Vous pouvez maintenant configurer le système pour conserver le propriétaire NTFS du fichier en réglant le nouveau paramètre avancé UseCopyAndPreserveNTFSOwner sur true.
• Le paramètre avancé UseCopyAndPreserveNTFSOwner nécessite une connexion réseau fiable et à faible latence entre le scanner et le dépôt numérisé.

 
Télécharger Azure Information Protection Client

Le 27 et 28 mai 2020 avait lieu le Microsoft 365 Virtual Marathon. A cette occasion, je donnais une conférence sur la gestion des périphériques mobiles iOS et Android avec Microsoft Intune dans les scénarios BYOD et Entreprise. Le but était de vous donner un aperçu des nouveaux modes de gestion et des subtilités pour chacun d’entre eux. Nous avons donc abordé les modes BYOD, COBO, COSU, COPE, etc.

Pour revivre cette session :

Microsoft vient de publier un Management Pack (11.0.1.0)) pour superviser le rôle Hyper-V sur Windows Server 2019. Ce Management Pack est supporté sur System Center 2016 Operations Manager et System Center 2019 Operations Manager. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce Management Pack permet de superviser Hyper-V sur Windows Server 2016 et Windows Server 2019.

Ce Management Pack supervise les événements suivants :

• Supervision des services critiques Hyper-V qui gère la partie hôte et les machines virtuelles
• Supervision des disques logiques du serveur hôte qui pourraient affecter l’état de santé des VMs
• Représentation complète de la virtualisation du serveur hôte autonome incluant les réseaux virtuels et les machines virtuelles
• La supervision des composants matériels des machines virtuelles

Lisez le guide pour obtenir les informations nécessaires à l’implémentation de ce Management Pack.

Télécharger Microsoft System Center 2019 Management Pack for Hyper-V

J’ai le plaisir de vous annoncer que Microsoft m’a renouvelé Microsoft MVP (Most Valuable Professional) pour l’année 2020/2021 dans l’Award Enterprise Mobility avec une spécialisation sur Microsoft Endpoint Configuration Manager (SCCM) / ConfigMgr et Microsoft Intune. Microsoft continue son investissement fort à la fois sur Microsoft Intune, Microsoft Endpoint Configuration Manager et plus généralement Enterprise Mobility + Security ainsi que son offre global Microsoft 365.

Je me permets de citer la lettre de Microsoft pour vous rappeler les grands principes des lauréats MVP :

« Il y a vingt ans, Microsoft saluait la contribution de 34 leaders de communautés qui en avaient aidé d'autres à tirer le meilleur parti de leurs technologies, en lançant le prix Microsoft MVP (Most Valuable Professional). À l'heure actuelle, plus de 4 000 MVP aident des dizaines de milliers de clients Microsoft à en savoir un peu plus chaque jour sur les technologies Microsoft dans plus de 90 pays.

 Le prix Microsoft MVP reconnait et remercie les membres exceptionnels des communautés techniques pour leur participation aux communautés et leur volonté d'aider les autres. Le programme MVP est avant tout constitué de passionnés de l'innovation qui sont à l'origine de son développement dynamique. »

C’est donc pour une onzième année que Microsoft renouvelle sa confiance afin de récompenser mes différentes activités au sein des communautés et ce afin de partager toujours plus et d’aider les différents utilisateurs.

Jean-Sébastien Duchêne

Rejoignez-moi le mercredi 24 juin à 20h pour parler de Microsoft Endpoint Configuration Manager (SCCM) et Microsoft Intune ! Nous aborderons les nouveaux mécanismes d’hybridation qui donnent naissance à la solution Microsoft Endpoint Manager. Nous parlerons des éléments suivants :

• Tenant Attach
• Client Attach
• Co-Management
• Etc

J’aborderais ces sujets avec mon hôte (Romain Serre) au travers de démos.

Pour s’inscrire, rendez-vous sur Meetup.

Vous pouvez rejoindre l’événement en live sur Youtube.

Microsoft vient de publier un correctif pour la version 8456 de Microsoft Deployment Toolkit (MDT) afin de corriger un problème qui touche le déploiement de Windows 10 2004 avec l’ADK associé. Pour rappel, MDT est un accélérateur de solutions gratuit permettant d’optimiser le déploiement de systèmes d’exploitation.

Le type de firmware du BIOS est incorrectement identifié comme UEFI, ce qui entraîne des échecs lors du rafraîchissement d'un ordinateur existant avec une nouvelle version de Windows.

Lorsque ce problème survient, le smsts.log enregistre l'entrée suivante : UEFI : true

Les erreurs ressemblant à ce qui suit sont ensuite enregistrées à la fin du processus.

Marking partitions active is only supported for MBR disks.
Unable to activate partition (0x80004001)
Failed to make volume C:\ bootable. Code 0x80004001.
Failed to make volume C:\ bootable. Please ensure that you have set an active partition on the boot disk before installing the operating system. Not implemented (Error: 80004001; Source: Windows)
Process completed with exit code 2147500033
Failed to run the action: Apply Operating System. Error -2147467263

Pour appliquer la mise à jour :

1. Faites l’extraction de MDT_KB4564442.exe
2. Fermez votre Deployment Workbench
3. Sauvegardez les versions x64 et x86 des fichiers Microsoft.BDD.Utility.dll dans :
   1. %ProgramFiles%\Microsoft Deployment Toolkit\Templates\Distribution\Tools\x86\
   2. %ProgramFiles%\Microsoft Deployment Toolkit\Templates\Distribution\Tools\x64\
4. Copiez les DLL extraites à la place des anciennes versions
5. Ouvrez le Deployment Workbench, sélectionnez votre Deployment Share et choisissez Update Deployment Share.

Plus d’informations sur : Windows 10 deployments fail with Microsoft Deployment Toolkit on computers with BIOS type firmware

Télécharger :

• Microsoft Deployment Toolkit
• MDT KB4564442

L’arrivée de Windows 10 2004 signe l’intégration de l’outil SetupDiag dans l’installeur de Windows. Pour rappel, l’outil SetupDiag permettant d’aider les administrateurs à obtenir du détail lorsqu’une mise à niveau de Windows 10 ne fonctionnait pas. L’outil vérifie les fichiers de journalisation Windows Setup pour trouver les éléments bloquants afin d’identifier la cause principale de l’échec.

L’outil est extrait lors du processus de mise à niveau, dans le dossier %SystemDrive%$Windows.~bt\Sources.

Si un problème survient pendant la mise à niveau, SetupDiag est automatiquement exécuté pour déterminer la cause avec les paramètres suivants :

• /ZipLogs:False
• /Format:xml
• /Output:%windir%\logs\SetupDiag\SetupDiagResults.xml
• /RegPath:HKEY_LOCAL_MACHINE\SYSTEM\Setup\SetupDiag\Results

Les résultats sont donc présents dans %windir%\logs\SetupDiag\SetupDiagResults.xml

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v83. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

Cette version 83 comprend 19 nouveaux paramètres de configuration machine et utilisateur. :

• Allow or deny screen capture
• Allow suggestions from local providers
• Allow surf game
• Allow users to configure Family safety
• Block all ads on Bing search results
• Clear cached images and files when Microsoft Edge closes
• Configure the list of sites for which Microsoft Edge will attempt to establish a Token Binding with.
• Configure the list of types that are excluded from synchronization
• Configure the Share experience
• Configure whether Microsoft Edge should automatically select a certificate when there are multiple certificate matches for a site configured with "AutoSelectCertificateForUrls"
• Control the mode of DNS-over-HTTPS
• Delete old browser data on migration
• Enable Hiding of Native Windows
• Enable scrolling to text specified in URL fragments
• Prevent Desktop Shortcut creation upon install
• Specify URI template of desired DNS-over-HTTPS resolver
• Target version override

Voici un document présentant les différences entre la version 83 et 81

Plus d’informations sur l’article suivant :  https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-for-microsoft-edge-v83/ba-p/1417634

Télécharger Security Compliance Toolkit

Microsoft a annoncé la Preview des baselines de paramétrages de sécurité pour Windows 10 2004 (20H1) et Windows Server 2004. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

Voici les différences avec la baseline pour Windows 10 1909 :

• Changement sur le paramétrage LDAP channel binding qui a été déplacé à un nouvel emplacement.
• Un nouveau paramétrage Microsoft Defender Antivirus permet de calculer les hachages de fichiers pour chaque fichier exécutable qui est scanné. Celui-ci améliore notamment le blocage des indicateurs personnalisés par Microsoft Defender Advanced Threat Protection.
• Deux noveau paramétrages de sécurité pour les politiques de mot de passe ‘Minimum password length audit’ et ‘Relax minimum password length limits’. Auparavant, vous ne pouviez pas non plus demander un mot de passe supérieur à 14 caractères. Il est maintenant possible d’aller jusqu’à 128 caractères.

Microsoft intègre aussi des améliorations pour LGPO et Policy Analyszer.

Plus d’informations sur l’article suivant : https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-draft-windows-10-and-windows-server-version/ba-p/1419213

Télécharger Windows-10-Windows Server-v2004-Security-Baseline-DRAFT.zip

Microsoft a publié une nouvelle Preview (2.7.95.0) du client et du scanner Unified Labeling d’Azure Information Protection. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Cette version apporte les éléments suivants pour le client :

• Des fenêtres contextuelles de justification apparaissent désormais pour les modifications apportées aux étiquettes par défaut dans le client Unified Labeling.
• Intégration plus aisée avec les marquages visuels du contenu appliqués par Office.
• La nouvelle propriété avancée WordShapeNameToRemove permet de supprimer le marquage de contenu dans les documents Word réalisés par des applications tierces.
• À partir de cette version du client Azure Information Protection, seules les versions TLS 1.2 ou supérieures sont prises en charge.

Cette version apporte les éléments suivants concernant le scanner :

• Utilisez un scanner pour appliquer les étiquettes en fonction des conditions recommandées. Les entreprises utilisant AIP peuvent désormais choisir de mettre en œuvre un étiquetage automatique uniquement du côté du service. Cette fonctionnalité permet aux utilisateurs de toujours suivre les recommandations au lieu du scénario précédent, qui n'autorisait que l'étiquetage automatique côté utilisateur.
• Vous pouvez savoir quels fichiers précédemment découverts par le scanner ont été supprimés du dépôt scanné. Ces fichiers supprimés n'étaient pas précédemment signalés dans AIP Analytics et sont maintenant disponibles dans le rapport de découverte du scanner.
• Vous pouvez obtenir des rapports du scanner sur les échecs d'application des événements d'action et découvrir des moyens de prévenir les occurrences futures.
• Introduction de l'outil d'analyse diagnostique du scanner AIP pour la détection et l'analyse des erreurs courantes du scanner. Pour commencer à utiliser les diagnostics du scanner AIP, lancez le nouveau cmdlet Start-AIPScannerDiagnostics.
• Vous pouvez maintenant gérer et limiter la consommation maximale de CPU sur la machine du scanner.
• Vous pouvez désormais configurer le scanner pour qu'il ignore des fichiers spécifiques en fonction de leurs attributs.

• Des journaux d'audit sont désormais générés chaque fois que le scanner détecte qu'un fichier qui avait été précédemment analysé est désormais supprimé.

On retrouve les correctifs suivants :

• Améliorations de l’analyse SQL pour :
  • Performance
  • Fichiers contenant un grand nombre de types d'informations
• Améliorations de l’analyse SharePoint pour :
  • Performances d’analyse
  • Fichiers avec des caractères spéciaux dans le chemin d'accès
  • Bibliothèques ayant un nombre important de fichiers
• Amélioration des notifications aux utilisateurs pour les stratégies manquantes.
• Les étiquettes automatiques sont désormais appliquées dans Excel pour les scénarios où un utilisateur commence à fermer un fichier sans l'enregistrer, tout comme elles le sont lorsqu'un utilisateur enregistre activement un fichier.
• Les en-têtes et les pieds de page sont supprimés comme prévu, et non plus sur chaque enregistrement de document, lorsque le paramètre ExternalContentMarkingToRemove est configuré.
• Les variables dynamiques de l'utilisateur sont maintenant affichées dans les marquages visuels d'un document comme prévu.
• Lorsque plusieurs comptes Exchange sont configurés et que le client Outlook Azure Information Protection est activé, les emails sont envoyés depuis le compte secondaire comme prévu.
• Lorsqu'un document portant un label de confidentialité plus élevé est glissé et déposé dans un email, ce dernier reçoit automatiquement le label de confidentialité plus élevé, comme prévu.
• Des autorisations personnalisées sont maintenant appliquées aux emails comme prévu, lorsque les adresses électroniques comprennent à la fois une apostrophe (') et un point (.)
• Par défaut, le propriétaire NTFS d'un fichier est perdu lorsque le fichier est étiqueté par le scanner, PowerShell, ou l'extension File Explorer. Vous pouvez maintenant configurer le système pour conserver le propriétaire NTFS du fichier en réglant le nouveau paramètre avancé UseCopyAndPreserveNTFSOwner sur true.
• Le paramètre avancé UseCopyAndPreserveNTFSOwner nécessite une connexion réseau fiable et à faible latence entre le scanner et le dépôt numérisé.

Télécharger Azure Information Protection unified labeling scanner et client

Les équipes Customer Experience (CXE) de Microsoft Information Protection et Compliance ont publié un guide permettant le déploiement accéléré et plus aisé de Microsoft Information Protection. Le guide revient surtout sur l’élément le plus difficile d’un projet : les prérequis métiers qui doivent être en place pour la réalisation du projet. Il s'agit donc d'un guide pour aider les décideurs et les ITs à comprendre les meilleures façons de déployer Azure Information Protection et d'éviter les erreurs qui pourraient causer des retards dans le déploiement.

Le guide aborde :

• Les concepts et éléments
• La roadmap
• Les prérequis généraux
• Les différents services : Insider Risk Management, Communication compliance, Record Management, Information Governance, Compliance Management et Compliance Score.
• Les bonnes pratiques

Télécharger Microsoft Information Protection and Compliance Deployment Acceleration Guide

Microsoft Learning a publié un lab à suivre pour se former à la certification AZ-500 Microsoft Azure Security Technologies. On retrouve différents modules avec notamment :

• Module 1 : PIM, Key Vault, MFA, App Registration, Application Service Principal, RBAC, Azure Policy, Azure Locks, Subcriptions
• Module 2 : Monitor & Autoscale, Function Apps, Kubernetes, VNet, NSGs, NVA, Service Endpoints, VNet Peering, Azure DNS, Load Balancer and App Gateway, VPN Gateways and Tunnelling, etc.
• Module 3 : Classifier une base de données SQL, Auditer une base de données, Analyser les journaux d’audit et rapports
• Module 4 : Azure Monitor, Security Center, Event Hub, Azure Sentinel, etc.

Accéder au GitHub

Microsoft va procéder à des Webinars sur Azure Active Directory.                              

• Identity Governance for Modern Organizations
  • Live Webinar Option 1; Quand : 11 Juin 2020 16h à 17h (Heure Française)
  • Live Webinar Option 2; Quand : 11 Juin 2020 20h à 21h (Heure Française)
• Getting started with Azure AD Reporting and Insights
  • Live Webinar Option 1; Quand : 18 Juin 2020 16h à 17h (Heure Française)
  • Live Webinar Option 2; Quand : 18 Juin 2020 20h à 21h (Heure Française)
• Azure AD as the New Security Control Plane
  • Live Webinar Option 1; Quand : 25 juin 2020 16h à 17h (Heure Française)
  • Live Webinar Option 2; Quand : 25 juin 2020 20h à 21h (Heure Française)

Plus d’informations sur Register now and Learn how to deploy Azure Active Directory from the experts

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Mai 2020.

Microsoft apporte les nouveautés suivantes :

• On retrouve un nouveau rôle RBAC Hybrid Identity Administrator dans Azure Active Directory permettant de configurer le Cloud Provisioning Azure AD Connect.

• 36 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Moula, Surveypal, Kbot365, TackleBox, Powell Teams, Talentsoft Assistant, ASC Recording Insights, GO1, B-Engaged, Competella Contact Center Workgroup, Asite, ImageSoft Identity, My IBISWorld, insuite, Change Process Management, Cyara CX Assurance Platform, Smart Global Governance, Prezi, Mapbox, Datava Enterprise Service Platform, Whimsical, Trelica, EasySSO for Confluence, EasySSO for BitBucket, EasySSO for Bamboo, Torii, Axiad Cloud, Humanage, ColorTokens ZTNA, CCH Tagetik, ShareVault, Vyond, TextExpander, Anyone Home CRM, askSpoke, ice Contact Center
• On retrouve 5 nouveaux connecteurs de provisionnement dans la galerie d’application Azure AD pour automatiser la création, la mise à jour et la suppression des comptes utilisateurs : 8x8, Juno Journey, MediusFlow, New Relic by Organization, Oracle Cloud Infrastructure Console
• Disponibilité Générale du mode "Report-only" pour l'accès conditionnel à Azure AD afin de vous permettre d'évaluer le résultat d'une stratégie sans avoir à appliquer des contrôles d'accès. Au cours des derniers mois, Microsoft a constaté une forte adoption du mode Report-only, avec plus de 26 millions d'utilisateurs déjà concernés par une stratégie de Report-only. Avec cette annonce, de nouvelles stratégies d'accès conditionnel Azure AD seront créées par défaut en mode Report-only. Il est aussi possible de gérer les stratégies de type " Report-only " par GraphAPI.
• Avec les identités externes dans Azure AD, vous pouvez permettre à des personnes extérieures à l’entreprise d'accéder à vos applications et ressources tout en les laissant se connecter en utilisant l'identité de leur choix. Lorsque vous partagez une application avec des utilisateurs externes, vous ne savez pas toujours à l'avance qui aura besoin d'accéder à l'application. Grâce à l'inscription en libre-service, vous pouvez permettre aux utilisateurs invités de s'inscrire et d'obtenir un compte d'invité pour vos applications métiers. Le flux d'inscription peut être créé et personnalisé pour prendre en charge Azure AD et les identités sociales. Vous pouvez également recueillir des informations supplémentaires sur l'utilisateur pendant l'inscription.

• Disponibilité Générale du workbook Conditional Access Insights and Reporting afin de donner une vue d'ensemble de l'accès conditionnel d'Azure AD. Grâce à la possibilité de sélectionner une stratégie individuelle, les administrateurs peuvent mieux comprendre ce que fait chaque stratégie et suivre les changements en temps réel.

• Public Preview de la nouvelle tuile Détails de la stratégie affiche les affectations, les conditions et les contrôles satisfaits lors de l'évaluation de la politique d'accès conditionnel. Vous pouvez accéder à la tuile en sélectionnant une ligne dans les onglets Conditional Access ou Report-Only de Sign-in details.

• Public Preview de nouvelles fonctionnalités introduites pour les API Microsoft Graph Directory Objects, permettant des opérations de comptage, de recherche, de filtrage et de tri. Les développeurs pourront ainsi interroger rapidement aux objets d’annuaire sans recourir à des solutions de contournement telles que le filtrage et le tri en mémoire.
• Une aide à la création et à la configuration d'une application de la galerie Azure AD utilisant les API MS Graph en version bêta est désormais disponible.
• Disponibilité Générale du chiffrement par jeton SAML pour permettre de configurer les applications pour recevoir des assertions SAML chiffrées.
• Disponibilité Générale des claims groupés émises sous forme de jeton pouvant être désormais limitées aux seuls groupes affectés à la demande. Ceci est particulièrement important lorsque les utilisateurs sont membres d'un grand nombre de groupes et qu'il y a un risque de dépassement des limites de taille du jeton.
• Le provisionnement d’application Workday Writeback permet désormais de définir les attributs des numéros de téléphone professionnels.
• Preview de la vérification de l'éditeur afin d’aider les administrateurs et les utilisateurs à comprendre l'authenticité des développeurs d'applications s'intégrant à la plate-forme d'identité de Microsoft.

On retrouve les modifications de service suivantes :

• Public Preview des filtres sur plus de propriétés des périphériques dans Azure AD. On retrouve notamment le type de système d’exploitation, le type de jointure, la conformité, etc.

• Disponibilité Générale de la nouvelle expérience d’inscription d’application pour Azure AD B2C.
• Microsoft modifie les notifications par email du MFA, tant le MFA Cloud que MFA Server. Les notifications par email seront envoyées à partir de l'adresse suivante : azure-noreply@microsoft.com. Nous mettons à jour le contenu des emails d'alerte à la fraude afin de mieux indiquer les étapes nécessaires au déblocage des utilisations.
• Nouvelle inscription en libre-service pour les utilisateurs des domaines fédérés qui ne peuvent pas accéder aux équipes Microsoft parce qu'elles ne sont pas synchronisées avec Azure Active Directory. À partir de la fin du mois de juin, cette nouvelle fonctionnalité leur permettra de le faire en étendant la fonction existante d'inscription avec vérification de l'adresse électronique. Cela permettra aux utilisateurs qui peuvent se connecter à un IdP fédéré, mais qui n'ont pas encore d'objet utilisateur dans Azure AD, d'avoir un objet utilisateur créé automatiquement et d'être authentifié pour les Teams. Leur objet utilisateur sera marqué comme "inscription en libre-service". Il s'agit d'une extension de la capacité existante à effectuer une auto-inscription vérifiée par email que les utilisateurs des domaines gérés. Ce changement sera mis en œuvre au cours des deux prochains mois.
• À partir de juin, la plate-forme d'identité de Microsoft et le protocole OpenID Connect de l'OIDC (login.microsoftonline.us) commenceront à renvoyer le bon point de terminaison graph (https://graph.microsoft.us ou https://dod-graph.microsoft.us0), en fonction du tenant fourni. Il fournit actuellement le champ "msgraph_host" du point de terminaison graph incorrect (graph.microsoft.com).
• Depuis le 5 mai, les utilisateurs d’Azure Government ne peuvent plus se connecter sur login.microsoftonline.com.
• La demande de déconnexion unique de SAML envoie maintenant le NameID dans le format correct.
• En raison des restrictions imposées aux cookies par les navigateurs modernes tels que Safari ITP, les SPA devront utiliser le flux de codes d'autorisation plutôt que le flux implicite pour maintenir le SSO ; MSAL.js v 2.x prendra désormais en charge le flux de codes d'autorisation.

Plus d’informations sur : What’s new Azure AD

Microsoft a publié la liste des changements importants apportés par Microsoft Endpoint Configuration Manager 2002. La liste est non exhaustive. On retrouve :

Client

• Le processus de mise à niveau automatique du client ne limite pas, comme prévu, le trafic aux Management Point à l'intérieur d'un groupe de limites défini.

Cloud Services

• Si vous créez une connexion à un service Azure, et que vous réglez l'environnement Azure sur le Government Cloud, les propriétés de la connexion montrent l'environnement comme étant le Cloud public Azure. Ce problème n'est qu'un problème d'affichage dans la console, le service est toujours dans le Government Cloud.

Systèmes de site

• Sur les serveurs dont les journaux d'événements contiennent de nombreux événements, le SiteHealthMonitor.log enregistre des interruptions répétées.
• L'installation du client push échoue si un site secondaire est défini dans la section "Assigned Site" d'un groupe limite pour l'attribution des sites.
• Les instructions SQL pour le composant SMS_DATABASE_NOTIFICATION_MONITOR (smsdbmon) peuvent entraîner un blocage dans un site actif avec plusieurs fournisseurs de SMS installés. L'une des erreurs suivantes, ou les deux, peuvent être enregistrées dans le fichier smsdbmon.log.

1. *** [23000][547][Microsoft][SQL Server Native Client 11.0][SQL Server]The INSERT statement conflicted with the FOREIGN KEY constraint "ProviderNotificationTracking_ProviderNotifications_FK". The conflict occurred in database "CM_{sitecode}", table "dbo.ProviderNotifications", column 'RecordID'. : spNotifyProvider
2. *** [40001][1205][Microsoft][SQL Server Native Client 11.0][SQL Server]Transaction (Process ID 101) was deadlocked on lock resources with another process and has been chosen as the deadlock victim. Rerun the transaction. : spNotifyProvider

*** Deadlock detected, retrying the statement

Le déploiement de système d’exploitation

• Les ordinateurs clients peuvent se voir présenter la console de restauration BitLocker lorsqu'ils tentent de démarrer dans un environnement PXE. Cela se produit si la carte d'interface réseau (NIC) est la première dans l'ordre de démarrage.

• La fenêtre de progression de l'installation pour une séquence de tâches de mise à niveau du système d'exploitation ne se met pas à jour. Cela se produit si la séquence de tâches se déroule à nouveau après un échec antérieur. Une erreur ressemblant à ce qui suit est enregistrée dans le fichier smsts.log. Notez que l'installation n'est pas affectée par ce problème, seulement la fenêtre de progression : Could not read Windows Setup progress regkey value ‘SetupProgress’ at ‘HKLM\SYSTEM\Setup\MoSetup\Volatile’. Stopping UI progress. (0x800703fa)

Inventaires

• Les données d'inventaire du matériel de la classe CCM_OperatingSystemExtended cessent de faire l'objet de rapports après le déploiement de l'agent de gestion BitLocker. Cela peut affecter l'adhésion aux collections de périphériques pour les clients utilisant l'agent Microsoft BitLocker Administration and Monitoring (MBAM).

Reporting et Data Warehouse

• La description du rapport Compliance 2 – Specific software update report est mise à jour pour indiquer que l'ensemble des résultats est limité à 500 éléments.
• Les rapports ne sont pas publiés lorsqu'un proxy est configuré pour le site et que le reporting services point utilise le port 443. Les erreurs ressemblant à ce qui suit sont répétées dans le fichier srsrp.log.

(!) SRS not detected as running

STATMSG: ID=7403 SEV=E LEV=M SOURCE="SMS Server" COMP="SMS_SRS_REPORTING_POINT"...

Failures reported during periodic health check by the SRS Server {server_name}

...

The underlying connection was closed: An unexpected error occurred on a send.

• Le rapport BitLocker Computer Compliance Report n'indique pas les informations sur les détails des périphériques conformes lorsqu'il y a au moins un dispositif non conforme dans l'environnement.
• Les mises à jour Office 365 Monthly Channel sont incorrectement classées dans la catégorie "Autres" dans la section des canaux clients d'Office 365 du tableau de bord de gestion des clients.

Console d’administration

• La valeur de filtre par défaut pour la vue Date Released dans la vue All Software Updates est maintenant " is on or after" au lieu de " is on or before".
• Les colonnes non par défaut ajoutées à la console ne persistent pas après un redémarrage de la console.
• Le tableau des critères de réussite indique "NaN%" au lieu de "0,0%" pour un rapport d'état de déploiement graduel (Phased Deployment) lorsque les ressources totales sont nulles.
• La partie " Windows 10 Usage" du tableau de bord de Windows 10 Servicing n'est pas cliquable dans la console.
• Une erreur d'exception non gérée .NET Framework est générée lorsque plusieurs groupes de mise à jour de logiciels sont sélectionnés et que l'option "Create Phased Deployment" est choisie. Notez que cette option ne devrait pas être disponible lorsque plusieurs groupes sont sélectionnés.
• De nombreuses améliorations sont apportées à la console afin d'améliorer le tri, la recherche et l'affichage des données.
• La console se ferme de manière inattendue lorsqu'on essaie d'accéder à un dossier enfant de la collection de périphériques contenant de nombreux objets.
• Le raccourci clavier Ctrl+V ne fonctionne pas pour coller les adresses MAC dans la fenêtre Duplicate Hardware Identifiers de la console.
• La console se ferme de manière inattendue lors de l'ouverture de la fenêtre Propriétés du Provisioning Device pour un nouvel objet.
• La console peut se bloquer pendant 10-15 secondes toutes les 5-10 minutes si le service d'administration n'est pas installé. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier SmsAdminUI.log
  System.Net.WebException: Unable to connect to the remote server
  Failed to get a response for OData query: v1.0/ConsoleUsageData/AdminService.UpdateConsoleHeartbeat.

Distribution logiciels et gestion du contenu

• Le contenu ne peut pas être téléchargé à partir d'un Cloud Distribution Point si le protocole TLS 1.2 est appliqué sur la Cloud Management Gateway. Les erreurs ressemblant à ce qui suit sont enregistrées dans le DataTransferService.log.
  https://{content_url} failed with 400
  Successfully queued event on HTTP/HTTPS failure for server '{cloud distribution points}'.
  Error sending DAV request. HTTP code 400, status 'Bad Request'
  GetDirectoryList_HTTP('https://{content_url}') failed with code 0x87d0027e.
  Error retrieving manifest (0x87d0027e).
• Un Pull Distribution Point ne peut pas télécharger les package du client ConfigMgr (y compris les paquets de mise à niveau et les packages de pilotes) lorsque la source est un Cloud Distribution Point.

Gestion des mises à jour logicielles

• Les modèles de déploiements ne préservent pas les paramétrages de démarrage ou les packages de déplouement..
• Une règle de déploiement automatique (ADR) ne s'exécute pas si l'une de ses collections cibles est supprimée de la console.
• La deadline de déploiement d'une règle de déploiement automatique ne peut pas être modifiée en "dès que possible" si une autre deadline a été précédemment sélectionnée.
• Dans certains cas, les règles de déploiement de mise à jour de logiciel ne peuvent pas être créées ou mises à jour. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier objreplmgr.log.

[SQL Server Native Client 11.0][SQL Server]String or binary data would be truncated.

:DMP_FetchClientAgentPolicies

• Les changements de statut de conformité des mises à jour de logiciels ne peuvent pas être répliqués d'un site prilaire vers le CAS si les sites utilisent Microsoft SQL Server 2017.
• Les ordinateurs clients reçoivent des mises à niveau des fonctionnalités Windows de manière répétée, ce qui entraîne de multiples redémarrages. Cela se produit lorsque plusieurs mises à jour de fonctionnalités applicables sont déployées avec la même affectation.

PowerShell

• Le cmdlet New-CMTSRule PowerShell ne parvient pas à créer une séquence de tâches et renvoie une erreur ressemblant à ce qui suit : New-CMTSRule : Cannot validate argument on parameter 'ReferencedVariableName'. System.Management.Automation.ValidationMetadataException

• Le script PowerShell InstallMBAMWebsites.ps1 ne fonctionne pas dans un environnement avec un espace de noms disjoint. Une erreur ressemblant à ce qui suit est renvoyée : Set-MachineUserOnSql : Unable to get machine’s domain name

Support Center et SDK

• Support Center est mis à jour pour collecter tous les fichiers .ETL de \Windows\Logs\WindowsUpdate pour aider à résoudre les problèmes avec Microsoft Update.
• La méthode Discover de la classe ConfigMgrDataDiscoveryRecordMessage du SDK de messagerie client renvoie des informations précises sur la version de Windows.
• L'outil One Trace de Support Center est mis à jour pour ouvrir un ensemble de fichiers journaux du client basés sur des caractéristiques prédéfinies, comme les mises à jour de logiciels, la gestion des applications, etc.
• Les entrées du journal affichées dans One Trace sont désormais surlignées en jaune pour les avertissements et en rouge pour les erreurs.

En outre, les correctifs suivants sont inclus :

• KB4537079: Update Rollup for Microsoft Endpoint Configuration Manager current branch, version 1910
• KB4552181: Content distribution stalls in Configuration Manager current branch, version 1910
• KB4552430: Third-party update category synchronization resets to default in Configuration Manager

Plus d’informations sur la KB4556203 Summary of changes in Microsoft Endpoint Configuration Manager current branch, version 2002

Microsoft a mis en ligne la version finale du kit de déploiement et d’évaluation (ADK) pour Windows 10 2004.

Cette version apporte les changements suivants :

• Nouvelle option SkipPDBGen - Pendant l'arrêt de Windows Performance Recorder, vous pouvez maintenant spécifier dans la ligne de commande la possibilité de sauter la génération des PDB (NGen & Embedded) pour aider à réduire le temps d'arrêt du traçage

Pour rappel, Windows PE est maintenant sous la forme d’un installeur séparé.

Plus d’informations sur : https://msdn.microsoft.com/en-us/windows/hardware/dn913721(v=vs8.5).aspx

Télécharger :

• Windows ADK for Windows 10, version 2004
• Windows PE add-on for the ADK, version 2004

Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Pour aider à consolider et à réduire le nombre d'applications figurant sur la page des ressources du portail, il combine désormais toutes les versions des applications ayant le même nom et le même éditeur. Le nombre d'applications dans la tuile " Noteworthy Apps" reflète ce paramètre. Par exemple, au lieu de répertorier des centaines d'instances de Microsoft Edge, il n'y en a qu'une seule pour toutes les versions. Vous pouvez prendre des décisions une fois pour toutes les versions. Si vous devez prendre des décisions concernant des versions spécifiques d'une application, ce comportement est configurable via l’option associée.

Plus d’informations sur : What’s new in Desktop Analytics

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

La version 176 introduit les changements suivants :

• Nouvelle fonction de confidentialité des activités : Cette nouvelle fonctionnalité vous permet de spécifier les utilisateurs en fonction de leur appartenance à un groupe dont les activités seront cachées par défaut. Seuls les administrateurs autorisés ont la possibilité de choisir de visualiser ces activités privées, chaque instance étant auditée dans le journal de gouvernance.
• Microsoft a tiré parti de l'intégration native avec Azure AD pour vous donner la possibilité de naviguer directement d'une application du Cloud App Catalog à l'application Azure AD Gallery correspondante, et de la gérer dans la galerie.
• Nouvelle option de feedback disponible dans certaines stratégies
• A partir du 7 juin 2020, Microsoft va progressivement déployer les contrôles de session proxy améliorés pour utiliser un suffixe unifié qui n'inclut pas les régions nommées. Par exemple, les utilisateurs verront le suffixe <AppName>.mcas.ms au lieu de <AppName>.<Region>.cas.ms. Si vous mettez régulièrement des domaines sur liste noire dans vos appareils réseau ou vos passerelles, assurez-vous de mettre sur liste blanche tous les domaines énumérés sous Contrôles d'accès et de session.
• Microsoft a apporté d'importantes améliorations aux performances du réseau du service proxy.
• Nouvelle détection des activités à risque : Échec inhabituel de connexion. La nouvelle détection permet de vous alerter automatiquement en cas d'échec d'une tentative de connexion inhabituelle. Les échecs de connexion inhabituels peuvent être le signe d'une attaque potentielle par force brute Password Spray. Cette détection a un impact sur le score global de priorité d'investigation de l'utilisateur.
• Microsoft a ajouté la possibilité de redimensionner la largeur des colonnes des tableaux, de sorte que vous pouvez élargir ou rétrécir les colonnes pour personnaliser et améliorer la façon dont vous visualisez les tableaux. Vous avez également la possibilité de restaurer la mise en page d'origine en sélectionnant le menu des paramètres du tableau et en choisissant Largeur par défaut.
  
  
  

La version 175 introduit les changements suivants :

• Preview d’une nouvelle intégration de découverte Shadow IT avec Corrata
• Nouveaux analyseurs de journaux Cloud Discovery : Cloud Discovery comprend désormais un analyseur de journaux intégré pour prendre en charge les formats de journaux Corrata et Cisco ASA avec FirePOWER 6.4.
• Tableau de bord amélioré : Dans le cadre de l'amélioration continue de la conception du portail, Microsoft déploie progressivement le tableau de bord amélioré de la sécurité des applications Cloud. Le tableau de bord a été modernisé sur la base des commentaires et offre une meilleure expérience utilisateur avec un contenu et des données mis à jour.
• Gouvernance améliorée : Microsoft a étendu les actions de gouvernance actuelles pour les stratégies d'anomalie pour inclure la confirmation de l'utilisateur compromis vos permettant de protéger de manière proactive l’environnement contre les activités suspectes des utilisateurs.

Plus d’informations sur : What's new with Microsoft Cloud App Security

Microsoft vient de mettre à disposition la Technical Preview 2005 (5.0.9023.1000) de Microsoft Endpoint Manager Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2003 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 2005 comprend les nouveautés suivantes :

Administration

• Microsoft a créé un nouveau type de limites VPN pour simplifier la gestion des clients distants. Auparavant, vous deviez créer des limites pour les clients VPN en fonction de l'adresse IP ou du sous-réseau. Cette configuration pouvait être difficile ou impossible en raison de la configuration du sous-réseau ou de la conception du VPN. Désormais, lorsqu'un client envoie une demande de localisation, il inclut des informations supplémentaires sur la configuration de son réseau. Sur la base de ces informations, le serveur détermine si le client se trouve sur un VPN. Tous les clients qui se connectent via un VPN appartiennent automatiquement au groupe de limites associé à ce nouveau type de limite.

• Auparavant, si le périphérique était connecté à un réseau payant/taxé, les clients n’installaient pas les mises à niveau du client Les clients existants n'étaient mis à niveau que si vous autorisiez toutes les communications avec les clients. Pour les périphériques qui sont fréquemment en itinérance sur un réseau à payant/taxé, ils seraient non gérés ou sur une version client plus ancienne. À partir de cette version, l'installation et la mise niveau jour des clients fonctionnent toutes les deux lorsque vous définissez le paramètre client Communication client sur les connexions internet taxés/payantes comme étant autorisé. Pour définir le comportement d'une nouvelle installation client, il y a un nouveau paramètre ccmsetup /AllowMetered. Lorsque vous autorisez la communication du client sur un réseau à compteur pour ccmsetup, celui-ci télécharge le contenu, s'enregistre sur le site et télécharge la politique initiale. Toute autre communication client suit la configuration du paramètre client de cette politique. Si vous réinstallez le client sur un périphérique existant, il utilise la priorité suivante pour déterminer sa configuration :

• 1. Stratégie client locale existante
  2. La dernière ligne de commande stockée dans le registre de Windows
  3. Paramètres sur la ligne de commande ccmsetup.

• Microsoft intègre GitHub au Hub Communautaire de la console d’administration. Pour la version initiale, le contenu disponible dans le hub communautaire sera uniquement téléchargé par Microsoft. Pour l'instant, il n’est pas possible de télécharger votre propre contenu sur GitHub pour l'utiliser dans le hub communautaire.

• Si le processus d'installation ou de mise à jour ne se déroule pas correctement, vous pouvez désormais signaler l'erreur directement à Microsoft. En cas d'échec, le report the error directly to Microsoft est activé. Lorsque vous utilisez ce bouton, un assistant interactif s'ouvre et vous permet de nous fournir plus d'informations. Dans les Technical Previews, ce bouton est toujours activé même lorsque l'installation se termine avec succès.

• Suite à des retours sur UserVoice, si vous configurez les services Azure, la console affiche désormais des notifications dans les cas suivants :
  • Une ou plusieurs clés secrètes de l'application Azure AD vont bientôt expirer
  • Une ou plusieurs clés secrètes d'Azure AD app ont expiré

Cloud and Tenant-Attach

• Lorsque ConfigMgr synchronise un périphérique avec Microsoft Endpoint Manager par l'intermédiaire de l'attachement du tenant (Tenant-Attach), vous pouvez maintenant voir une chronologie des événements. Cette chronologie montre l'activité passée sur le périphérique pour aider à résoudre les problèmes.

• Vous pouvez maintenant lancer l'installation d'une application en temps réel pour un périphérique attaché au tenant (Tenant Attach) depuis Microsoft Endpoint Manager.

• CMPivot est disponible dans le centre d’administration Microsoft Endpoint Manager pour permettre de lancer des requêtes en temps réel depuis le Cloud vers un périphérique individuel géré par ConfigMgr et de renvoyer les résultats.

• La fonction d'exécution de scripts du Configuration Manager dans le centre d’administration Microsoft Endpoint Manager pour permettre d'exécuter des scripts PowerShell à partir du Cloud contre un périphérique individuel géré par Configuration Manager. Cela donne à ce nouvel environnement tous les avantages traditionnels des scripts PowerShell qui ont déjà été définis et approuvés par l'administrateur ConfigMgr.

• Cette version corrige un problème avec le Software Center et l'authentification Azure Active Directory (Azure AD). Pour un client détecté comme étant sur l'intranet mais communiquant via la Cloud Management Gateway (CMG), auparavant le Software Center utilisait l'authentification Windows. Lorsqu'il essayait d'obtenir la liste des applications disponibles pour l'utilisateur, il échouait. Il utilise maintenant l'identité Azure Active Directory (Azure AD) pour les appareils reliés à Azure AD. Ces périphériques peuvent être joints à un Cloud ou en mode Hybride.

 Gestion du contenu

• Si vous retirez un contenu d'un point de distribution alors que le système du site est hors ligne, un enregistrement orphelin peut exister dans WMI. Avec le temps, ce comportement peut éventuellement entraîner un état d'alerte sur le point de distribution. Dans le passé, pour pallier ce problème, vous deviez supprimer manuellement les entrées orphelines de WMI. Une erreur commise au cours de ce processus pouvait entraîner des problèmes plus graves sur le serveur. L'outil de nettoyage de la bibliothèque de contenu en mode suppression pouvait supprimer les fichiers orphelins de la bibliothèque de contenu. Il peut désormais également supprimer les enregistrements de contenu orphelins du fournisseur WMI sur un point de distribution.

Gestion de Microsoft 365 Apps

• Office 365 ProPlus a été renommé Microsoft 365 Apps for enterprise le 21 avril 2020. Microsoft a donc apporté les modifications suivantes :
  • La console a été mise à jour pour utiliser le nouveau nom. Ce changement comprend également la mise à jour des noms des canaux pour les applications Microsoft 365.
  • Une bannière de notification a été ajoutée à la console pour vous informer si une ou plusieurs règles de déploiement automatique font référence à des noms de canaux obsolètes dans les critères de titre pour les mises à jour de Microsoft 365 Apps. Vous devez donc mettre à jour vos ADRs dans ce cas.

Déploiement de système d’exploitation

• Les médias de séquence de tâches supportent maintenant du contenu basé sur le Cloud. Ceci permet d’éviter d’impacter davantage la connexion VPN pour télécharger le contenu des déploiements de systèmes d'exploitation, les supports de démarrage et les déploiements PXE peuvent désormais obtenir du contenu à partir de sources basées sur le cloud (par exemple, une Cloud Management Gateway (CMG).

• On retrouve de nouvelles cmdlets Windows PowerShell améliorés pour la Cloud Management Gateway (CMG) pour automatiser la création, la configuration et la gestion des exigences du service CMG et de l'Azure Active Directory (Azure AD) :

• • Import-CMAADServerApplication  pour créer la définition de l'application serveur Azure AD.
  • Import-CMAADClientApplication pour créer la définition de l'application client Azure AD.
  • Utilisez Get-CMAADApplication pour obtenir les objets applicatifs, puis passez à New-CMCloudManagementAzureService pour créer la connexion au service Azure.
  • New-CMCloudManagementGateway pour créer le service CMG dans Azure.
  • Ajoutez le point de connexion CMG GatewayManagementGateway pour créer le système de site CMG Connection point.
• Suite à des retours UserVoice, vous pouvez maintenant spécifier le mode de chiffrement du disque dans les étapes de la séquence de tâches Enable BitLocker et Pre-provision BitLocker. Par défaut, les étapes continuent à utiliser la méthode de chiffrement par défaut de la version du système d'exploitation. Utilisez le nouveau paramètre pour sélectionner l'un des algorithmes de cryptage suivants : AES_128, AES_256, XTS_AES256 ou XTS_AES128. Si l'étape s'exécute sur une version de Windows qui ne prend pas en charge l'algorithme spécifié, elle revient à la valeur par défaut du système d'exploitation. Dans ce cas, le moteur de séquence de tâches envoie le message d'état 11911.

• Lors d'une séquence de tâches visant à mettre à niveau un périphérique vers Windows 10, pendant l'une des phases finales de configuration de Windows, une fenêtre d'invite de commande s'ouvre. Cette fenêtre se trouve au-dessus de l'expérience Windows out-of-box (OOBE), et les utilisateurs peuvent interagir avec elle pour perturber le processus de mise à niveau. A partir de cette version, les scripts SetupCompleteTemplate.cmd et SetupRollbackTemplate.cmd du gestionnaire de configuration incluent un changement pour masquer la fenêtre d'invite de commande.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-2005

Microsoft va procéder à des Webinars sur Azure Sentinel. Pour rappel Azure Sentinel est une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel, une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.                         

• Learn the KQL you need for Azure Sentinel : 2 Juin 2020 de 17h à 18h (heure française)
• Deploying and Managing Azure Sentinel as Code : 15 juin 2020 de 17h à 18h (heure française)
• Multi-tenant investigations : 23 juin 2020 de 17h à 18h (heure française)
• Workbooks deep dive: visualize your security threats and hunts : 9 juillet 2020 de 17h à 18h (heure française)

Plus d’informations sur https://aka.ms/SecurityWebinars.