Microsoft a annoncé le support des périphériques équipés d’iOS 14, iPadOS 14, watchOS 7 par Microsoft Endpoint Manager / Microsoft Intune. Ce support est effectif dès la mise à disposition de cette nouvelle version. Toutes les fonctionnalités existantes qui ciblaient iOS 9 et inférieures sont supportées.

Plusieurs nouveaux paramétrages sont à disposition pour ces versions :

• Désactiver les App Clips iOS/iPadOS
• Clé de certificat SCEP 4096 bits
• Valeurs maximales personnalisées des unités de transmission (MTU) pour les connexions VPN IKEv2
• Routage VPN par compte pour l'application Mail native
• Empêcher les utilisateurs de désactiver le VPN automatique
• Choix des domaines associés pour les connexions VPN par application
• Choix des domaines exclus pour les connexions VPN par application

En outre, Apple Business Manager et Apple School Manager ont été mis à jour avec une nouvelle vue pour tous les appareils et la fonctionnalité Custom Apps pour la distribution d'applications internes à votre organisation. L'intégration de l'année dernière avec Microsoft Azure Active Directory pour permettre l'authentification fédérée pour les Apple ID gérés fonctionne maintenant avec SCIM (System for Cross-domain Identity Management) pour aider à garder les données de compte synchronisées.

Des améliorations ont été apportées au service Apple Push Notification (APN) pour améliorer la communication, qui sont prises en charge par Intune.

Microsoft planifie d'ajouter des fonctionnalités, notamment en sautant les écrans Restore Completed et Update Completed lors de l'inscription automatique des appareils sur iOS et iPadOS 14.0+.

Outre ces éléments, on retrouve les changements suivants :

• Avec iOS et iPadOS 14, les périphériques présenteront automatiquement une adresse MAC randomisée pour une meilleure confidentialité lors de la connexion aux réseaux plutôt que de se contenter par défaut d'adresses MAC physiques. Si vous utilisez des adresses MAC statiques dans votre environnement, qui peuvent être utilisées pour le contrôle d'accès au réseau (NAC), vous pouvez désactiver la randomisation des adresses MAC dans la configuration de votre profil Wi-Fi pour iOS et iPadOS 14.
• Lorsque vous utilisez le type d'affectation "Required" pour les applications sur les appareils iOS et iPadOS 14, les applications sont marquées comme non supprimables. Cela garantit que ces applications critiques ne peuvent pas être désinstallées par l'utilisateur. Pour les applications existantes affectées du type "Required", lorsque les appareils inscrits se mettent à jour sur iOS et iPadOS 14, ils commencent à recevoir le nouveau paramètre non supprimable pour les applications.
• Dans iOS 14, les utilisateurs peuvent définir leurs applications de messagerie et de navigation par défaut. La dernière version d'Outlook (4.55.1) prend en charge cette fonctionnalité et Edge dispose de la fonctionnalité permettant de définir leurs applications de messagerie et de navigation par défaut à partir de la version 45.8.9.
• iOS et iPadOS 14 offrent la possibilité aux développeurs d'applications de fournir des widgets qui présentent les informations clés des applications sur l'écran d'accueil des utilisateurs. Si une application crée un widget, ce widget apparaîtra sur l'appareil de l'utilisateur. Microsoft Endpoint Manager ne masquera pas les informations affichées dans les widgets. Si un widget d'une application protégée contient des liens, les stratégies de protection applicatives (APP) feront une demande pour protéger ce lien car les liens à l'intérieur de l'application sont protégés.
• Il y a aussi des changements sur la façon dont le copier/coller fonctionne et ceci engendre les changements suivants pour les applications protégées :
  • Pour les applications qui n'ont pas été mises à jour avec la version la plus récente du SDK Intune (12.9.0), les comptes gérés déclenchent fréquemment des notifications par le biais du Pasteboard. En effet, Intune vérifie la table des matières lorsque l'application est active afin de s'assurer que les données qui s'y trouvent sont correctement protégées. Pour iOS et iPadOS 14, Intune a apporté des modifications pour restreindre le collage/la copie plutôt que le lancement et la reprise de l'application.
  • Comme Intune ne peut plus lire le contenu sans déclencher une notification de collage, il n'est pas possible de cacher le bouton de collage (là où nous aurions bloqué l'action de collage) pour les comptes avec un collage non nul dans la politique d'exception. Ce bouton de collage n'apparaîtra que jusqu'à ce qu'une action de collage ait été effectuée et collera "Vos données personnelles ne peuvent pas être collées ici. Seuls les caractères <nombre défini par l'administrateur sont autorisés" lorsqu'il est sélectionné. Après le premier collage dans l'application gérée, Microsoft connaîtra le contenu et pourra masquer correctement le bouton.

Certains scénarios existants peuvent être impactés par cette nouvelle version :

• Microsoft étudie un problème avec iOS et iPadOS 14 et OneDrive où les utilisateurs ne peuvent pas accéder aux fichiers OneDrive via l'application Files ou l'API FileProvider lorsque l'appareil est enregistré avec les restrictions suivantes :
  • “Viewing corporate documents in unmanaged apps” est bloqué.
  • “Viewing non-corporate documents in corporate apps” n'est pas configurée.
• Comme vu précédemment, La randomisation de l'adresse MAC est activée par défaut pour iOS 14 et iPadOS 14, ce qui brise le contrôle d'accès au réseau (NAC) pour le Wi-Fi où l'adresse MAC est utilisée comme clé de recherche. La possibilité de désactiver cette fonctionnalité est disponible dans la version 2009 d’Intune pour vous permettre de la désactiver.

Source : Microsoft Endpoint Manager support for iOS 14, iPadOS 14 and watchOS 7

A l’occasion de Microsoft Ignite 2020, Microsoft lance le Microsoft Ignite Cloud Skills Challenge 2020 permettant d’obtenir un voucher de passage à des certifications. Le voucher peut être obtenu après la réalisation d’une collection/d’un parcours. Les vouchers seront valables du 12 octobre 2020 au 31 mars 2021.

Les parcours suivants donnent accès aux certifications suivantes :

Plus d’informations sur : Microsoft Ignite Cloud Skills Challenge 2020: Free Certification Exam | Microsoft Docs

L’événement Microsoft Ignite 2020 s’apprête à démarrer dans un format complètement digital et de nombreuses annonces vont avoir lieu. Pour ceux qui veulent suivre l’événement en ligne, voici quelques sessions intéressantes :

En Direct

• Playing chess on a trampoline: How to innovate in an era of uncertainty(Brad Anderson)
• Building a resilient organization on Microsoft 365(Catherine Boeger)
• Windows 10 innovations for enhanced productivity and resiliency(Joe Lurie and Karen Simpson)
• Introducing modern admin capabilities to better service Microsoft 365 Apps for enterprise(Aleš Holeček)

A la demande

• What’s new in Microsoft Endpoint Manager. Part 1(Steve Dispensa & Ramya Chitrakar)
• Transform your organization with Microsoft Productivity Score (A.J. Smith & Shilpi Sinha)

Ask the Experts

• Ask the Expert: Playing chess on a trampoline: How to innovate in an era of uncertainty
• Ask the Expert: Windows 10 innovations for enhanced productivity and resiliency
• Ask the Expert: Introducing modern admin capabilities to better service Microsoft 365 Apps for enter...

Video Hub

• Get started with Microsoft Endpoint Manager (Joe Lurie & Mayunk Jain)
• Managing Windows devices with Microsoft Endpoint Manager and Windows Autopilot (Michael Niehaus & Miz Rahman)
• Managing Apple devices with Microsoft Endpoint Manager (Tiffany Silverstein & Arnab Biswas)
• Managing Android devices with Microsoft Endpoint Manager (Esther Salter & Courtenay Bernier)
• Configuring zero trust with Microsoft Endpoint Manager (Matt Shadbolt & Clay Taylor)
• What’s new in Microsoft Endpoint Manager. Part 2 (Steve Dispensa & Ramya Chitrakar)
• Flexible paths to cloud management with Microsoft Endpoint Manager (Rob York)
• Endpoint analytics deep dive: putting the end-user experience front and center (Zach Dvorak)
• Microsoft Endpoint Manager Configuration Manager Deep Dive (Rob York, Jason Githens, David James)
• Secure and deploy Microsoft 365 mobile apps for productivity, collaboration, email, and browsing (Ross Smith & Shiv Patel)
• Unify endpoint security management with Microsoft Endpoint Manager and Microsoft Defender ATP (Matt Shadbolt & Dilip Radhakrishnan)
• Introducing Microsoft management tools to secure and manage work from home (Matt Shadbolt & Scott Duffey)
• Setting up Windows Update for Business via Microsoft Intune (Aria Carley & Dune Desormeaux)
• Enabling remote management with Cloud Management Gateway & Cloud Attach (Danny Guillory)
• Securing Teams with Microsoft Endpoint Manager (Mayunk Jain & John Gruszczyk)
• What’s new in Microsoft Intune for Education (Liz Cox)
• Eliminate on-premises print servers with Universal Print (Saurabh Bansal & Jimmy Wu)
• Intune App Protection Policies with policy assurance (Ross Smith)
• Microsoft Endpoint Manager Reporting Graph APIs and Log Analytics (Spencer Shumway & Durga Kumar Varanasi)
• Modern policy management for security and productivity (Aasawari Navathe & Laura Arrizza)
• Enable security and productivity quickly using Microsoft Endpoint Manager (Lance Crandall & Tyler Castaldo)
• Deep dive into Role Based Access Control (RBAC) in Intune (Pallavi Joshi)
• Accelerating the journey to modern management (Chris Sweeney)

S’inscrire gratuitement

Avec l’évolution des attaques et la nécessité de toujours se tenir à jour et protégé, on retrouve de nouvelles contraintes sur les environnements. Active Directory reste dans le monde de l’entreprise, la cible principale. Aujourd’hui, Microsoft fournit un rappel sur les différents types de chiffrement Kerberos et notamment la désactivation de RC4. L’article est intéressant car il replante le décor et donne des Do/Don’t Do dans cette situation.

Lire Decrypting the Selection of Supported Kerberos Encryption Types

Microsoft a annoncé l’arrivée des éditions Pro et Enterprise sur les périphériques Surface Hub 2. Initialement équipé d’une édition Team spécifiquement construite pour les usages de réunion, les éditions Pro et Enterprise offrent des cas d’usages différents tournées vers des aspects personnels :

Pour installer ces éditions, vous devez :

• Vous assurer que le matériel possède une version UEFI 694.2938.768.0 ou plus. Si ce n’est pas le cas, vous devez mettre à jour le périphérique via l’application Paramètres de Windows 10.
• Disposer d’une licence adéquate
• Adapter la configuration UEFI
• Utiliser votre outil de déploiement pour déployer l’image
• Télécharger les drivers Surface 2 et les installer.

Plus d’informations sur : Announcing the availability of Windows 10 Pro and Enterprise on Surface Hub 2

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en août 2020.

Microsoft apporte les nouveautés suivantes :

• 25 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Backup365, Soapbox, Alma SIS, Enlyft Dynamics 365 Connector, Serraview Space Utilization Software Solutions, Uniq, Visibly, Zylo, Edmentum - Courseware Assessments Exact Path, CyberLAB, Altamira HRM, WireWheel, Zix Compliance and Capture, Greenlight Enterprise Business Controls Platform, Genetec Clearance, iSAMS, VeraSMART, Amiko, Twingate, Funnel Leasing, Scalefusion, Bpanda, Vivun Calendar Connect, FortiGate SSL VPN, Wandera End User
• Vous pouvez désormais attribuer des rôles intégrés à Azure AD à des groupes Cloud. Par exemple, vous pouvez attribuer le rôle d'administrateur SharePoint à un groupe Cloud Contoso_SharePoint_Admins. Vous pouvez également utiliser le PIM pour faire du groupe un membre éligible du rôle, au lieu de lui accorder un accès permanent.

• Disponibilité générale d'Azure AD My Sign-Ins. Une nouvelle fonctionnalité permet aux utilisateurs d'entreprises de consulter l'historique de leur connexion pour vérifier toute activité inhabituelle. En outre, cette fonction permet aux utilisateurs finaux de signaler les activités suspectes en indiquant "Ce n'était pas moi" ou "C'était moi".
• L'approvisionnement des utilisateurs pour SAP SuccessFactors HR est disponible. Vous pouvez désormais intégrer SAP SuccessFactors comme source d'identité faisant autorité avec Azure AD et automatiser le cycle de vie de l'identité de bout en bout en utilisant les événements RH tels que les nouvelles embauches et les licenciements pour piloter le provisionnement et le dé-provisionnement des comptes dans Azure AD.
• Nouveaux rôles intégrés :
  • Insights Administrator. Les utilisateurs ayant le rôle Insights Administrator peuvent accéder à l'ensemble des fonctionnalités administratives de l'application M365 Insights. Un utilisateur dans ce rôle peut lire les informations de l'annuaire, surveiller la santé du service, les tickets de support des fichiers et accéder aux aspects des paramètres de l'administrateur Insights.
  • Insights Business Leader. Les utilisateurs ayant le rôle Insights Business Leader peuvent accéder à un ensemble de tableaux de bord et d'informations via l'application M365 Insights. Cela comprend l'accès complet à tous les tableaux de bord et aux informations présentées, ainsi que la fonctionnalité d'exploration des données. Toutefois, les utilisateurs de ce rôle n'ont pas accès aux paramètres de configuration des produits, ce qui relève de la responsabilité du rôle Insights Administrator.
• Disponibilité des Resource Forests pour Azure AD DS. Vous pouvez désormais activer l'autorisation sans synchronisation de hachage de mot de passe pour utiliser les services du Azure AD Domain Services, y compris l'autorisation par carte à puce.
• Support du replica régional pour les domaines gérés par Azure AD DS. Les jeux de réplicas peuvent être ajoutés à tout réseau virtuel pééré dans toute région d'Azure qui prend en charge Azure AD Domain Services. Des jeux de réplicas supplémentaires dans différentes régions Azure permettent une reprise après sinistre géographique pour les applications héritées si une région Azure est hors ligne.

• Public Preview : Nouvelles autorisations d'accès restreintes pour les invités Azure AD. Microsoft a mis à jour les permissions au niveau de l'annuaire pour les utilisateurs invités. Ces autorisations permettent aux administrateurs d'exiger des restrictions et des contrôles supplémentaires sur l'accès des utilisateurs invités externes. Les administrateurs peuvent désormais ajouter des restrictions supplémentaires pour l'accès des invités externes aux profils des utilisateurs et des groupes et aux informations sur les membres. Les entreprises peuvent gérer l'accès des utilisateurs externes à l'échelle en masquant les adhésions aux groupes, notamment en empêchant les utilisateurs invités de voir les adhésions au(x) groupe(s) auquel ils appartiennent.

• Disponibilité générale des requêtes delta pour les service principals et pour oAuth2PermissionGrant. Les entreprises peuvent désormais suivre efficacement les modifications apportées à ces ressources et fournissent la meilleure solution pour synchroniser les modifications de ces ressources avec un magasin de données local.
• Support de l’API Custom Open ID Connect MS Graph pour Azure AD B2C.

On retrouve les modifications de service suivantes :

• Application Admin et Cloud Application Admin peuvent gérer les propriétés d'extension des applications. Auparavant, seul l'administrateur global pouvait gérer la propriété de l'extension.
• À partir du 1er octobre 2020, les prérequis pare-feu d’Azure MFA Server nécessiteront des plages d'IP supplémentaires. Si votre entreprise dispose de règles de pare-feu sortant, mettez-les à jour afin que votre Azure MFA Server puissent communiquer avec toutes les plages d'IP nécessaires.
• Microsoft met à jour le portail Identity Secure Score pour l'aligner sur les changements introduits dans la nouvelle version de Microsoft Secure Score avec les changements suivants :
  • "Identity Secure Score" renommé en "Secure Score for Identity" pour l'alignement de la marque avec Microsoft Secure Score
  • Points normalisés selon un barème standard et exprimés en pourcentages au lieu de points

Plus d’informations sur : What’s new Azure AD

Microsoft continue d’adapter sa stratégie afin d’offrir de la flexibilité dû à la crise exceptionnelle du COVID-19. Ainsi une série de produits et services qui devaient arriver en fin de support pendant cette période, se voient offrir une extension du support.

Par conséquent, Windows 10 1803 (Enterprise, Education, IoT Enterprise) : 11 Mai 2021 (en lieu et place du 10 Novembre 2020).

Source : https://support.microsoft.com/en-us/help/4557164/lifecycle-changes-to-end-of-support-and-servicing-dates

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

La version 181 introduit les changements suivants :

• Nouveau parseur de journaux de sécurité Discovery Cloud Menlo. Cloud App Security Cloud Discovery analyse un large éventail de journaux de trafic pour classer et noter les applications. Cloud Discovery comprend désormais un analyseur de journaux intégré pour prendre en charge le format Menlo Security CEF.
• Pour les licences Azure AD P1 et P2, Microsoft a mis à jour le nom du produit dans le portail vers Cloud App Discovery.

Plus d’informations sur : What's new with Microsoft Cloud App Security

Azure ATP étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.124 intègre de nouvelles alertes de sécurité basées sur de nouvelles détections :
  • Reconnaissance des attributs de l'Active Directory (LDAP) (ID externe 2210). Dans cette détection, une alerte est déclenchée lorsqu'un attaquant est soupçonné d'avoir réussi à obtenir des informations critiques sur le domaine pour les utiliser dans sa chaîne de destruction.
  • Utilisation suspectée de certificats Kerberos (ID externe 2047). Dans cette détection, une alerte est déclenchée lorsqu'un attaquant qui a pris le contrôle de l'organisation en compromettant le serveur de l'autorité de certification est soupçonné de générer des certificats qui peuvent être utilisés comme comptes de backdoor lors de futures attaques, comme le déplacement latéral dans votre réseau.
  • Utilisation suspectée de golden ticket (anomalie de ticket utilisant RBCD) (ID externe 2040). Les attaquants possédant des droits d'administrateur de domaine peuvent compromettre le compte KRBTGT. En utilisant le compte KRBTGT, ils peuvent créer un ticket d'attribution de ticket Kerberos (TGT) qui donne l'autorisation à n'importe quelle ressource. Ce faux TGT est appelé "Golden Ticket" parce qu'il permet aux attaquants d'obtenir une persistance durable du réseau en utilisant la délégation restreinte basée sur les ressources (RBCD). Les faux Golden Tickets de ce type ont des caractéristiques uniques que cette nouvelle détection est destinée à identifier.

• Les versions 2.120, 2.121, 2.122, 1.123 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

Avec la sortie d’Android 11, il ne sera plus possible de déployer des certificats racines de confiance ainsi que des profils Simple Certificate Enrollment Protocol (SCEP) avec Microsoft Intune. En, effet, les profils SCEP font référence à un certificat racine. En outre, les profils Wi-Fi et VPN faisant référence à un profil SCEP peuvent aussi être affectés par cette problématique.

Il est à noter que ce changement n’affecte pas les périphériques Samsung gérés en mode Device Administrator ni les périphériques gérés via Android Enterprise.

Pour les périphériques Android 11 qui ne sont pas de marque Samsung, l’utilisateur devra installer manuellement le certificat racine de confiance. Pour utiliser SCEP, vous pouvez encore créer et déployer une stratégie pour le certificat racine et la lier au profil de certificat du SCEP. Si le certificat racine se trouve sur le périphérique, alors le profil SCEP s'installera avec succès. Si le certificat racine ne peut être trouvé, le profil SCEP échouera, ce qui peut également entraîner l'échec de l'installation des profils Wi-Fi et VPN liés aux profils SCEP.

La recommandation de Microsoft est bien entendu d’adopter Android Enterprise en lieu et place.

Source : https://techcommunity.microsoft.com/t5/intune-customer-success/decreasing-support-for-android-device-administrator/ba-p/1441935

A partir d’octobre, Microsoft va adapter son processus pour le déploiement de profil Wi-Fi sur les périphériques Android 10 ou plus gérés par Microsoft Intune en mode Device Administrator.

Les périphériques nouvellement et déjà enregistrés verront une notification de mandant d’accepter des permissions Wi-Fi supplémentaires ainsi que des connexions Wi-Fi lorsque le profil est déployé. En outre, les réseaux WiFi ne seront pas ajoutés à la liste des réseaux connus. Le périphérique se connectera automatiquement dès lors que le signal du Wi-Fi est détecté.

Il est à noter que les profils Wi-Fi installés avant cette date, continueront de fonctionner de la même manière.

Source : https://techcommunity.microsoft.com/t5/intune-customer-success/decreasing-support-for-android-device-administrator/ba-p/1441935

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Les versions 179 et 180 introduisent les changements suivants :

• Nouvelle détection d'anomalies : Suspicious OAuth app file download activities. Microsoft a étendu les détections d'anomalies pour inclure les activités de téléchargement suspectes par une application OAuth. La nouvelle détection est maintenant disponible sans personnalisation et permet de vous alerter automatiquement lorsqu'une application OAuth télécharge plusieurs fichiers de Microsoft SharePoint ou Microsoft OneDrive d'une manière inhabituelle pour l'utilisateur.
• Amélioration des performances grâce à la mise en cache du proxy pour les contrôles de session : Microsoft a encore amélioré les performances des contrôles de session, en améliorant les mécanismes de mise en cache du contenu. Le service amélioré est encore plus rationnel et offre une plus grande réactivité lors de l'utilisation des contrôles de session. Notez que les contrôles de session ne mettent pas en cache le contenu privé, s'alignant sur les normes appropriées pour ne mettre en cache que le contenu partagé (public).
• Nouvelle fonctionnalité : Enregistrement des requêtes de configuration de sécurité. Microsoft a ajouté la possibilité d'enregistrer les requêtes pour les filtres de tableau de bord de configuration de sécurité pour Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP). Cela peut contribuer à simplifier les futures enquêtes en réutilisant des requêtes courantes.
• Alertes de détection d'anomalie améliorées. Microsoft a étendu les informations fournies pour les alertes de détection d'anomalie afin d'inclure une cartographie de la tactique MITRE ATT&CK correspondante. Cette cartographie vous aidera à comprendre la phase et l'impact de l'attaque et vous aidera dans vos enquêtes.
• Logique de détection améliorée : Ransomware activity.  Microsoft a mis à jour la logique de détection de l'activité des Ransomware afin d'améliorer la précision et de réduire le volume des alertes.
• Microsoft a des balises d'entités aux rapports sur la posture de sécurité de l'identité, ce qui permet d'obtenir des informations supplémentaires sur les entités. Par exemple, la balise Sensitive peut vous aider à identifier les utilisateurs à risque et à hiérarchiser vos investigations.

Plus d’informations sur : What's new with Microsoft Cloud App Security

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Office 365 Advanced Threat Protection (ATP).

• Amélioration de l’expérience d’investigation (Hunting) avec :

• L’affichage du fuseau horaire des emails dans le portail, ainsi que des données exportées. Le fuseau horaire sera visible pour les expériences telles qu’Email Grid, Details Flyout, Email Timeline, et Similar Emails, de sorte que le fuseau horaire de l'ensemble des résultats soit clair pour l'utilisateur.

• • Microsoft a entendu les commentaires sur la confusion avec le rafraîchissement automatique (par exemple pour la date, dès que vous changez la date, la page se rafraîchit) et le rafraîchissement manuel (pour les autres filtres). De même, la suppression des filtres entraîne un rafraîchissement automatique, ce qui entraîne des situations où le fait de changer les différents filtres tout en modifiant la requête peut entraîner des recherches incohérentes. Pour résoudre ce problème, Microsoft est passé à un mécanisme de filtrage manuel. Du point de vue de l'expérience, l'utilisateur peut appliquer et supprimer les différents filtres (du jeu de filtres et de la date), et appuyer sur le bouton de rafraîchissement pour filtrer les résultats une fois qu'ils ont fini de définir la requête. Le bouton de rafraîchissement a également été mis à jour pour l'appeler clairement à l'écran.

• Vous pouvez maintenant cliquer sur les valeurs de la légende du graphique pour ajouter cette valeur en tant que filtre. Notez que vous devrez toujours cliquer sur le bouton d'actualisation pour filtrer les résultats dans le cadre du changement
• Vous devriez également voir des détails supplémentaires dans le produit. Par exemple, le nombre total de résultats de recherche dans la grille (voir ci-dessous), ainsi que des améliorations concernant les étiquettes, les messages d'erreur et les infobulles, pour donner plus d'informations sur les filtres, l'expérience de recherche et les résultats.

• Application aisée des paramétrages recommandés via des stratégies de sécurité préconfigurées. Les politiques de sécurité prédéfinies fournissent un emplacement centralisé pour appliquer toutes les politiques recommandées en matière de spam, de logiciels malveillants et de phishing aux utilisateurs en même temps. Les paramètres des politiques ne sont pas configurables. Ils sont plutôt définis par nous et sont basés sur nos observations et nos expériences dans les centres de données pour un équilibre entre le maintien des contenus nuisibles à l'écart des utilisateurs sans perturber leur travail.

Plus d’informations sur : What's new in Office 365 ATP

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender Advanced Threat Protection (ATP) introduit dans le mois.

• Vous pouvez créer des indicateurs pour bloquer ou autoriser des certificats.

Plus d’informations sur : What’s new in Microsoft Defender ATP

Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Les applications déployées depuis Configuration Manager sont marquées automatiquement comme importantes par défaut. Ce comportement vous permet de configurer les applications dans l’environnement plus rapidement, pour progresser plus vite vers un déploiement en production.
• Amélioration du traitement des données de diagnostic lors de la génération des instantanés. Microsoft a amélioré la manière dont il collecte et traite les données de diagnostic de Windows à partir des périphériques enregistrés dans Desktop Analytics. Ces améliorations augmentent la fiabilité de la génération quotidienne d'instantanés, et préparent les nouvelles fonctionnalités en cours de développement. Suite à ce travail, Microsoft a temporairement désactivé le comptage des appareils lançant une application au cours des 30 derniers jours dans les plans de déploiement.

Plus d’informations sur : What’s new in Desktop Analytics

Microsoft vient de publier une mise à jour (1.5.45.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

Elle corrige les problèmes suivants :

• Correction d'un problème où l'administrateur ne peut pas activer "Seamless Single Sign On" si le compte de l'ordinateur AZUREADSSOACC est déjà présent dans Active Directory.
• Correction d'un problème qui provoquait une erreur de staging lors de l'importation de delta API V2 pour un objet en conflit qui était réparé via le portail Health.
• Correction d'un problème dans la configuration d'importation/exportation où la règle personnalisée désactivée était importée comme étant activée.

Pour rappel, la version 1.5.42 comprenait la Public Preview de la fonctionnalité permettant d'exporter la configuration d'un serveur Azure AD Connect existant dans un fichier .JSON qui peut ensuite être utilisé lors de l'installation d'un nouveau serveur Azure AD Connect pour créer une copie du serveur original.

Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#15450

Télécharger Microsoft Azure Active Directory Connect

Microsoft vient de mettre à disposition la Technical Preview 2007 (5.0.9026.1000) de Microsoft Endpoint Manager Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2003 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 2007 comprend les nouveautés suivantes :

Administration

• Amélioration du tableau de bord Client Data Sources pour offrir des filtres supplémentaires pouvoir où les clients obtiennent le contenu. On retrouve notamment : Les groupes de limites unitaires, tous les groupes de limites, les clients Internet, les clients non associés à un groupe de limites.

• Sur les retours UserVoice, diverses zones de la console utilisent désormais la police à largeur fixe Consolas. Cette police offre un espacement cohérent et facilite la lecture. Dans cette version, vous verrez la police Consolas aux endroits suivants :
  • Application scripts
  • Configuration item scripts
  • WMI-based collection membership queries
  • CMPivot queries
  • Scripts
  • Run PowerShell Script
  • Run Command Line

Cloud and Tenant-Attach

• Il est maintenant possible de voir l’inventaire matériel depuis la vue du périphérique du centre d’administration Microsoft Endpoint Manager. Un onglet Resource Explorer est apparu donnant l’accès à l’ensemble des classes
• Amélioration de la timeline de périphérique dans le centre d’administration pour inclure les événements additionnels suivants :
  • Event ID 20227 pour VPN failure depuis RAS client
  • Event ID 20009 pour MP communication roundtrip depuis Microsoft-ConfigMgr

Déploiement de système d’exploitation

• La TP2004 comprenait de nouvelles règles de gestion permettant de gérer la taille de la stratégie des séquences de tâches. Les séquences de tâches de grande taille entraînent des problèmes de traitement des clients. Pour faciliter la gestion de la taille des séquences de tâches, à partir de cette version, Configuration Manager limite les actions suivantes pour une séquence de tâches d'une taille supérieure à 2 Mo :
  • Enregistrer les modifications dans l'éditeur de séquence de tâches
  • Sauver les changements avec les cmdlets PowerShell
  • Importer une nouvelle séquence de tâches
  • Tout autre changement utilisant les méthodes SDK supportées

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-2007

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

La version 178 introduit les changements suivants :

• Nouvelles configurations de sécurité pour la plateforme Google Cloud : Microsoft a étendu les configurations de sécurité multi-cloud pour fournir des recommandations de sécurité pour la plateforme Google Cloud, basées sur le benchmark GCP CIS. Grâce à cette nouvelle fonctionnalité, Cloud App Security offre aux entreprises une vue unique pour surveiller l'état de conformité de toutes les plateformes de cloud, y compris les abonnements Azure, les comptes AWS et maintenant les projets GCP.
• Microsoft a ajouté les connecteurs d'applications suivants à son portefeuille de connecteurs d'API généralement disponibles, vous donnant plus de visibilité et de contrôle sur la façon dont vos applications sont utilisées dans votre organisation :
  • GitHub Enterprise Cloud
  • Plateforme Google Cloud
  • Workday
• Microsoft a étendu les contrôles de session pour détecter les logiciels malveillants potentiels en utilisant Microsoft Threat Intelligence lors du téléchargement de fichiers. La nouvelle détection est désormais disponible dès la sortie de l'ordinateur et peut être configurée pour bloquer automatiquement les fichiers identifiés comme des logiciels malveillants potentiels.
• Disponibilité Générale du support des contrôles d'accès et de session pour les applications SAML configurées avec n'importe quel fournisseur d'identité.
• Cloud App Security permet d'identifier les machines à risque dans le cadre de l’identification du ShadowIT. Microsoft a ajouté le niveau de risque de la machine de Microsoft Defender ATP à la page des machines, ce qui permet aux analystes d'avoir un meilleur contexte lorsqu'ils investiguent sur les machines.
• Microsoft a ajouté la possibilité de désactiver les connecteurs d'application directement dans Cloud App Security.

La version 177 introduit les changements suivants :

• (Preview) Nouvelle détection des logiciels malveillants en temps réel. Microsoft a étendu les contrôles de session pour détecter les logiciels malveillants potentiels en utilisant Microsoft Threat Intelligence lors du téléchargement de fichiers.
• Nouvelle prise en charge des jetons d'accès pour les contrôles d'accès et de session. Microsoft a ajouté la possibilité de traiter les demandes de jetons d'accès et de codes comme des ouvertures de session lors de l'intégration d'applications aux contrôles d'accès et de session. Pour utiliser les jetons, cliquez sur l'icône de l'engrenage des paramètres, sélectionnez Contrôle de l'application d'accès conditionnel, modifiez l'application concernée (menu trois points > Modifier l'application), sélectionnez Traiter les jetons d'accès et les demandes de code comme des connexions à l'application, puis cliquez sur Enregistrer.
• Le 7 juin 2020, Microsoft a commencé à déployer progressivement les contrôles de session proxy améliorés pour utiliser un suffixe unifié qui n'inclut pas les régions nommées. Par exemple, les utilisateurs verront le suffixe <AppName>.mcas.ms au lieu de <AppName>.<Region>.cas.ms. Si vous mettez régulièrement des domaines sur liste noire dans vos appareils réseau ou vos passerelles, assurez-vous de mettre sur liste blanche tous les domaines énumérés sous Contrôles d'accès et de session.
• La documentation MCAS a été élargie pour inclure le nouveau contenu suivant :
  • Using the Cloud App Security REST API
  • Investigate anomaly detection alerts

Plus d’informations sur : What's new with Microsoft Cloud App Security

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender Advanced Threat Protection (ATP) introduit dans le mois.

• Microsoft Defender ATP ajoute le support de Linux.
• Microsoft ajoute des simulateurs d'attaques dans le laboratoire d'évaluation. Microsoft s'est associé à diverses plateformes de simulation de menaces pour vous permettre de tester les capacités de la plateforme directement depuis le portail.

Plus d’informations sur : What’s new in Microsoft Defender ATP

Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Desktop Analytics n'exige plus que vous déployiez un service Office 365 dans votre tenant Azure Active Directory (Azure AD). L'application Office 365 client admin dans Azure AD est maintenant l'application Desktop Analytics, pour permettre à Configuration Manager de récupérer les informations et le statut du service.

Plus d’informations sur : What’s new in Desktop Analytics

Azure ATP étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.119 comporte un nouvel onglet contrôleurs de domaine exclus dans les rapports Excel pour améliorer la précision du calcul de la couverture des contrôleurs de domaine. Microsoft exclut les contrôleurs de domaine ayant des trusts externes du calcul afin d'obtenir une couverture de 100 %. Les contrôleurs de domaine exclus apparaîtront dans le nouvel onglet "Contrôleurs de domaine exclus" dans le téléchargement du rapport Excel sur la couverture des domaines.
• La version 2.118 intègre de nouvelles évaluations de sécurité :
  • Riskiest lateral movement paths : Cette évaluation surveille en permanence votre environnement afin d'identifier les comptes sensibles présentant les trajectoires de mouvement latéral les plus risquées qui exposent à un risque de sécurité, et établit des rapports sur ces comptes pour vous aider à gérer votre environnement. Les trajectoires sont considérées comme risquées si elles comportent au moins trois comptes non sensibles qui peuvent exposer le compte sensible au vol d'identité par des acteurs malveillants.
  • Unsecure account attributes : Cette évaluation Azure ATP surveille en permanence votre environnement afin d'identifier les comptes dont les valeurs d'attribut exposent à un risque de sécurité, et établit des rapports sur ces comptes pour vous aider à protéger votre environnement.

• Microsoft élargit la définition de la sensibilité pour les comptes On-Premises afin d'inclure les entités qui sont autorisées à utiliser la réplication Active Directory.

• La version 2.117 intègre des détails supplémentaires sur les activités dans l'expérience unifiée SecOps. Microsoft a étendu les informations sur les périphériques que nous envoyons à Cloud App Security, notamment les noms des périphériques, les adresses IP, les comptes UPN et le port utilisé.
• La version 2.115 intègre de nouvelles évaluations de sécurité :
  • Unsecure SID History attributes : Cette évaluation fait état des attributs SID History qui peuvent être utilisés par des attaquants malveillants pour accéder à votre environnement.
  • Microsoft LAPS usage : Cette évaluation porte sur les comptes des administrateurs locaux qui n'utilisent pas la LAPS de Microsoft pour sécuriser leurs mots de passe.
• Les versions 2.115, 2.116, 2.117, 2.118 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

Microsoft vient de publier la version 2.7.96 du client et du scanner Unified Labeling d’Azure Information Protection.

À partir de cette version du client Azure Information Protection, seules les versions TLS 1.2 ou supérieures sont prises en charge. Les clients dont la configuration TLS ne prend pas en charge TLS 1.2 doivent passer à une configuration prenant en charge TLS 1.2 pour utiliser les politiques, les tokens, l'audit et la protection d'Azure Information Protection et pour recevoir des communications basées sur Azure Information Protection.

Parmi les changements sur l’Unified Labeling Client, on retrouve :

• Des fenêtres contextuelles de justification apparaissent désormais pour les modifications apportées aux étiquettes par défaut dans le client Unified Labeling.
• Intégration plus aisée avec les marquages visuels du contenu appliqués par Office.
• La nouvelle propriété avancée WordShapeNameToRemove permet de supprimer le marquage de contenu dans les documents Word réalisés par des applications tierces.

Parmi les nouveautés et changements sur le scanner, on retrouve :

• Les entreprises qui utilisent AIP peuvent désormais choisir de mettre en œuvre un étiquetage automatique uniquement du côté du service. Cette fonctionnalité permet aux utilisateurs finaux d'AIP de toujours suivre les recommandations au lieu du scénario précédent, qui n'autorisait que l'étiquetage automatique du côté utilisateur.
• Vous pouvez apprendre quels fichiers précédemment découverts par le scanner ont été supprimés du dépôt scanné. Ces fichiers supprimés n'étaient pas précédemment signalés dans AIP Analytics et sont maintenant disponibles dans le rapport de découverte du scanner.
• Vous pouvez obtenir des rapports du scanner sur les échecs d'application des événements d'action. Vous pouvez utiliser les rapports pour connaître les événements d'action échoués et découvrir des moyens de prévenir les occurrences futures.
• Introduction de l'outil AIP scanner diagnostic analyzer pour la détection et l'analyse des erreurs courantes du scanner. Pour commencer à utiliser les diagnostics du scanner AIP, lancez la cmdlet Start-AIPScannerDiagnostics.
• Vous pouvez maintenant gérer et limiter la consommation maximale de CPU sur la machine du scanner.
• Vous pouvez désormais configurer le scanner à étiquetage unifié pour qu'il ignore des fichiers spécifiques en fonction de leurs attributs. Définissez la liste des attributs de fichiers qui déclenchent le saut d'un fichier à l'aide du nouveau paramètre avancé ScannerFSAttributesToSkip.

• Des journaux d'audit sont désormais générés chaque fois que le scanner détecte qu'un fichier qui avait été précédemment analysé est désormais supprimé.
• Améliorations des performances SQL du scanneur qui devraient améliorer les déploiements de cluster à nœuds multiples
• Améliorations des performances d’analyse de SharePoint

Parmi les corrections majeures, on retrouve :

• Amélioration des notifications aux utilisateurs pour les stratégies manquantes.
• Les étiquettes automatiques sont désormais appliquées dans Excel pour les scénarios où un utilisateur commence à fermer un fichier sans l'enregistrer, tout comme elles le sont lorsqu'un utilisateur enregistre activement un fichier.
• Les en-têtes et les pieds de page sont supprimés comme prévu, et non plus sur chaque enregistrement de document, lorsque le paramètre ExternalContentMarkingToRemove est configuré.
• Les variables dynamiques de l'utilisateur sont maintenant affichées dans les marquages visuels d'un document comme prévu.
• Le problème qui consistait à n'utiliser que la première page du contenu d'un PDF pour appliquer les règles d'auto-classification est désormais résolu, et l'auto-classification basée sur l'ensemble du contenu du PDF se déroule maintenant comme prévu.
• Lorsque plusieurs comptes Exchange sont configurés et que le client Outlook Azure Information Protection est activé, les courriers sont envoyés depuis le compte secondaire comme prévu.
• Lorsqu'un document portant un label de confidentialité plus élevé est glissé et déposé dans un courrier électronique, ce dernier reçoit automatiquement le label de confidentialité plus élevé, comme prévu.
• Des autorisations personnalisées sont maintenant appliquées aux courriels comme prévu, lorsque les adresses électroniques comprennent à la fois une apostrophe (') et un point (.)
• Par défaut, le propriétaire NTFS d'un fichier est perdu lorsque le fichier est étiqueté par le scanner d'étiquetage unifié, PowerShell, ou l'extension File Explorer. Vous pouvez maintenant configurer le système pour conserver le propriétaire NTFS du fichier en réglant le nouveau paramètre avancé UseCopyAndPreserveNTFSOwner sur true.
• Le paramètre avancé UseCopyAndPreserveNTFSOwner nécessite une connexion réseau fiable et à faible latence entre le scanner et le dépôt numérisé.

 
Télécharger Azure Information Protection Client

Le 27 et 28 mai 2020 avait lieu le Microsoft 365 Virtual Marathon. A cette occasion, je donnais une conférence sur la gestion des périphériques mobiles iOS et Android avec Microsoft Intune dans les scénarios BYOD et Entreprise. Le but était de vous donner un aperçu des nouveaux modes de gestion et des subtilités pour chacun d’entre eux. Nous avons donc abordé les modes BYOD, COBO, COSU, COPE, etc.

Pour revivre cette session :

Microsoft vient de publier un Management Pack (11.0.1.0)) pour superviser le rôle Hyper-V sur Windows Server 2019. Ce Management Pack est supporté sur System Center 2016 Operations Manager et System Center 2019 Operations Manager. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce Management Pack permet de superviser Hyper-V sur Windows Server 2016 et Windows Server 2019.

Ce Management Pack supervise les événements suivants :

• Supervision des services critiques Hyper-V qui gère la partie hôte et les machines virtuelles
• Supervision des disques logiques du serveur hôte qui pourraient affecter l’état de santé des VMs
• Représentation complète de la virtualisation du serveur hôte autonome incluant les réseaux virtuels et les machines virtuelles
• La supervision des composants matériels des machines virtuelles

Lisez le guide pour obtenir les informations nécessaires à l’implémentation de ce Management Pack.

Télécharger Microsoft System Center 2019 Management Pack for Hyper-V

J’ai le plaisir de vous annoncer que Microsoft m’a renouvelé Microsoft MVP (Most Valuable Professional) pour l’année 2020/2021 dans l’Award Enterprise Mobility avec une spécialisation sur Microsoft Endpoint Configuration Manager (SCCM) / ConfigMgr et Microsoft Intune. Microsoft continue son investissement fort à la fois sur Microsoft Intune, Microsoft Endpoint Configuration Manager et plus généralement Enterprise Mobility + Security ainsi que son offre global Microsoft 365.

Je me permets de citer la lettre de Microsoft pour vous rappeler les grands principes des lauréats MVP :

« Il y a vingt ans, Microsoft saluait la contribution de 34 leaders de communautés qui en avaient aidé d'autres à tirer le meilleur parti de leurs technologies, en lançant le prix Microsoft MVP (Most Valuable Professional). À l'heure actuelle, plus de 4 000 MVP aident des dizaines de milliers de clients Microsoft à en savoir un peu plus chaque jour sur les technologies Microsoft dans plus de 90 pays.

 Le prix Microsoft MVP reconnait et remercie les membres exceptionnels des communautés techniques pour leur participation aux communautés et leur volonté d'aider les autres. Le programme MVP est avant tout constitué de passionnés de l'innovation qui sont à l'origine de son développement dynamique. »

C’est donc pour une onzième année que Microsoft renouvelle sa confiance afin de récompenser mes différentes activités au sein des communautés et ce afin de partager toujours plus et d’aider les différents utilisateurs.

Jean-Sébastien Duchêne