Azure Advanced Threat Protection (ATP) se voit enrichir d’une nouvelle détection en Preview concernant la vulnérabilité SMBGhost ou CoronaBlue. Cette règle de détection concerne la vulnérabilité CVE-2020-0796 et une éventuelle exécution de code à distance due à une vulnérabilité de débordement de mémoire tampon dans la manière dont SMBv3 (3.1.1) traite les demandes de compression SMBv2. La vulnérabilité affecte les versions 1903 et 1909 de Windows 10 et Windows Server 2019.

Pour l’instant la vulnérabilité n’a pas été exploitée sans engendrer un blue screen mais Microsoft s’attend à une exploitation plus large et aboutie dans les prochains mois.

Vous pouvez l’activer ou la désactiver :

• Ouvrez le portail Azure ATP
• Naviguez dans Paramètre puis Detections sous Preview

Plus d’informations sur : Azure ATP now detects SMBGhost

Kristin Carr et Rani Abdellatif (MSFT) vont proposer un webcast et un événement de questions/réponses sur la solution cloud de gestion de l’impression de Microsoft : Universal Print. Le webcast aura lieu le mercredi 13 mai de 17h30 à 18h30 (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Universal Print avec une réponse directe. Universal Print offre notamment une solution de gestion de l'impression pour les machines jointes à Azure AD.

S’inscrire au Webcast 

Source : Webcast: Universal Print Overview

Avec l’annonce de Microsoft Endpoint Manager et l’introduction du centre d’administration Microsoft Endpoint Manager en Mars dernier, Microsoft va prochainement basculer les clients sur ce nouveau portail avec la nouvelle expérience d’administration. A partir du 1^er Août 2020, Microsoft va supprimer le portail d’administration Intune du portail Azure et rediriger les clients vers le centre d’administration Microsoft Endpoint Manager.

Microsoft recommande à communiquer ce nouveau lien/portail aux équipes et à les inciter à les utiliser.

Ce changement sera fait pour vous, mais si vous avez une connexion automatisée ou un pointage automatique vers des pages de https://portal.azure.com, vous devez les mettre à jour vers https://endpoint.microsoft.com.

Ce changement n'affecte pas Graph API. Toutes les nouvelles fonctionnalités seront disponibles sur https://endpoint.microsoft.com.

Vous avez été plusieurs à constater et partager que l’assistant permettant de créer et déployer une application pour Microsoft Edge dans Microsoft Endpoint Configuration Manager 1910 et 2002 (Early Wave), échouait avec l’erreur :

Failed to download artifact
http://.../MicrosoftEdgeEnterpriseX64.msi for Microsoft Edge version xx.x

Pourtant le fichier PatchDownloader indiquant le téléchargement du fichier, renvoie bien un succès

Le problème survient car le script utilisé pour installer Microsoft Edge, a été signé avec un certificat qui n’est plus valide depuis le 2 mai 2020.

Microsoft prépare une mise à jour pour Microsoft Endpoint Configuration Manager 1910. Le bug sera aussi corrigé lors de la généralisation de Microsoft Endpoint Configuration Manager 2002.

En attendant, Microsoft a mis à jour le script téléchargeable ici.

1. Vous devez fermer la console
2. Sauvegarder le script existant dans {Répertoire d’installation de la console}\bin\scripts\Install-Edge.ps1
   
3. Copier le nouveau script dans le dossier
4. Ouvrir la console et créer l’application Microsoft Edge

Plus d’informations sur : Microsoft Edge application creation fails in Configuration Manager

Source

L’actualité concernant la partie Modern Workplace est très riche ! Il est parfois difficile de tout s’approprié. Cet article résume les différentes annonces :

Enterprise Mobility + Security

Azure Active Directory

• Microsoft vient de retirer la limite des applications pouvant bénéficier de la fédération et du Single Sign-On sur Azure Active Directory et ce quel que soit le niveau (Basic, Premium P1, Premium P2). Ainsi, vous pouvez bénéficier d’un nombre illimité d’applications et de les sécuriser avec l’authentification à facteurs multiples (MFA).
• Voici les nouveautés d’Avril 2020.
• Microsoft va mettre à jour l’expérience des pages My Apps et My Account le 20 juillet 2020 pour les entreprises qui n’ont pas déjà basculé les utilisateurs. Microsoft vous recommande de faire vous-même ce changement en communiquant le changement d’interface aux utilisateurs.
• Disponibilité Générale de l’expérience combinée d’enregistrement des informations de sécurité pour l’authentification à facteurs multiples (MFA) et la réinitialisation du mode passe en libre-service (SSPR). Lorsque vous déployez la nouvelle expérience pour une entreprise, les utilisateurs peuvent s'inscrire en moins de temps et avec moins d’étapes.

Microsoft Endpoint Manager Microsoft Intune

• Les nouveautés de mi-Avril 2020
• Les nouveautés de fin Avril 2020
• Microsoft annonce l’arrivée de Microsoft Productivity Score au travers d’Endpoint Analytics afin de donner une vision des performances et de la productivité des machines. L’entreprise obtiendra des indicateurs et des axes d’améliorations.
• Il est possible de déployer Microsoft Defender ATP sur mac en quelques clics avec Microsoft Endpoint Manager Microsoft Intune.

Windows Virtual Desktop

• La gestion de Windows Virtual Desktop par le portail Azure est disponible afin de facilement provisionner et gérer les bureaux à distance et les applications.
• Microsoft annonce le support de Microsoft Teams.
• Il devient possible d'ajouter des groupes d'utilisateurs à Windows Virtual Desktop en utilisant les groupes Azure Active Directory (Azure AD).
• Support des stratégies d'accès conditionnel statiques ou dynamiques.
• Support de l'authentification à facteurs multiples (MFA) obligatoire.
• Intégration de Windows Virtual Desktop avec le contrôle d'accès basé sur les rôles (RBAC).
• Il devient possible de choisir la zone géographique dans laquelle vous souhaitez stocker vos métadonnées de service pour une conformité réglementaire et des performances optimales.
• Windows Virtual Desktop propose la technologie reverse connect réduisant considérablement la surface d'attaque en vous permettant d'exécuter une machine virtuelle (VM) sans garder aucun port entrant ouvert.

Cloud App Security

• Voici les nouveautés d’Avril 2020.

Azure ATP

• Preview d’une méthode de détection pour SMBGhost ou CoronaBlue. Cette règle de détection concerne la vulnérabilité CVE-2020-0796 et une éventuelle exécution de code à distance due à une vulnérabilité de débordement de mémoire tampon dans la manière dont SMBv3 (3.1.1) traite les demandes de compression SMBv2. La vulnérabilité affecte les versions 1903 et 1909 de Windows 10 et Windows Server 2019.

Microsoft Defender ATP

• Voici les nouveautés d’Avril 2020.
• Microsoft a introduit un tag COVID-19 dans les recommandations de sécurité de la fonctionnalité de gestion des vulnérabilités et des menaces (TVM) de Microsoft Defender ATP. Ce tag permet d’identifier les actions à réaliser sur les machines qui sont relatives à la crise du COVID-19 et des différentes menaces qui ont émergés.
• Public Preview de la fonctionnalité Live Response pour des versions antérieures de Windows 10 incluant Windows 10 1709, 1803 et 1809. Certaines mises à jour doivent être installés sur ces systèmes pour permettre le support.

• Toujours sur la fonctionnalité Live Response, il est possible de télécharger des fichiers en fond de tâches via la commande download <chemin du fichier> puis CTRL + Z.

• Disponibilité Générale des APIs de gestion des vulnérabilités et des menaces (TVM). Ceci vous permettra de créer des rapports et des interfaces personnalisés ou des mécanismes d’automatisation.

Microsoft Threat Protection

• Microsoft inclut de nouvelles tables dans le schéma de requêtes permettant de faire de l’investigation ou du Hunting avec :
  • IdentityQueryEvents - contient des données sur les tentatives d'interrogation des informations d'identité dans Active Directory à l'aide de LDAP et d'autres protocoles.
  • IdentityLogonEvents - contient des événements d'authentification provenant d'Active Directory ainsi que des applications et services de cloud computing surveillés.
  • AppFileEvents - couvre les activités liées aux fichiers impliquant des applications surveillées par Microsoft Cloud App Security. Cela vous permet de couvrir les tentatives de manipulation de fichiers susceptibles de contenir des informations sensibles ainsi que des codes malveillants.
• En outre, il est maintenant possible de personnaliser des alertes et prendre des actions automatiques sur la base de requêtes.

Office 365 et Office

• Office 365 Groups va devenir Microsoft 365 Groups.
• Disponibilité Générale de Microsoft 365 Multi-Geo en Suisse avec la réduction du prérequis minimal à 250 utilisateurs.
• Ajout d’un nouveau service plan Common Data Service aux abonnements Office qui sera utilisé pour des besoins futurs.
• Lors de l’Ignite, Microsoft a annoncé un mécanisme de requêtes en langage naturel dans Excel, permettant de poser une question en langage simple aux données pour obtenir des réponses.
• Microsoft précise les conditions au déploiement de Microsoft Search dans Bing comme extension du navigateur Chrome. L’entreprise confirme que ceci est à activer par les administrateurs du tenant et ne concerne que les périphériques joints à Active Directory. L’utilisateur possède ensuite toujours le choix de revenir en arrière.
• Microsoft va bloquer les coauteurs d’un formulaire Forms de modifier les paramétrages de permissions en matière de collaboration.
• Concernant OneNote, on retrouve les nouveautés suivantes :
  •  
• Concernant Office on the web, on retrouve :
  • Microsoft va prochainement proposé Live Presentations pour PowerPoint sur le Web permettant à des membres d’une audience de voir les slides et le transcript en temps réel des dialogues du présentateur (ainsi que l’éventuelle traduction). Le déploiement final est attendu pour fin juin.
• Concernant Outlook, Microsoft introduit les changements suivants :
  • Une nouvelle fonctionnalité Outlook permet de terminer les rendez-vous et les réunions plus tôt afin de pouvoir revenir 5, 10 ou 15 minutes en arrière après chaque réunion. Vous pourrez bientôt configurer ceci dans les paramètres du calendrier.
• Concernant Microsoft Teams et les nouveautés pour les ITs :
  • L'expérience Teams sur le web et Desktop reconnaît maintenant le paramètre de la stratégie de boîte aux lettres Outlook on the web qui contrôle si les utilisateurs peuvent modifier les photos de leur profil.
  • Les administrateurs disposent maintenant d’un tableau de bord sur les réunions afin de connaître l’usage, les retours, les problèmes réseaux, etc.
  • L'expérience en matière d'analyse et de rapports des nouvelles applications fournit aux administrateurs un aperçu de l'utilisation des applications Teams dans leur environnement, ce qui leur permettra de gérer les risques et de prendre des décisions adéquates.
  • L'attribution de stratégies par lots permet aux administrateurs de rationaliser le processus d'attribution des stratégies ou des ensembles de stratégies à un grand groupe d'utilisateurs.
  • On retrouve de nouveaux contrôles de réunions : Le paramétrage lobby par défaut et les paramétrages lobby pour les participants PSTN

Communications unifiées

• Support d’OAuth 2.0 pour les protocoles d’authentification IMAP et SMTP dans Exchange Online.
• Dû au COVID-19, Microsoft repousse la désactivation de l’authentification basique sur les tenants existants à la seconde moitié de 2021.
• Microsoft annonce de nouveaux périphériques certifiés Teams proposés par EPOS, Jabra, Logitech, Poly, Lenovo, Yealink, Bose and Sennheiser, et Shure.
• Microsoft introduit le connecteur Power BI Microsoft Call Quality afin de suivre la qualité des appels.
• Le premier périphérique de type barre de collaboration est disponible pour Microsoft Teams. Ce périphérique est parfait pour les petites salles de réunion. Elle permet de joindre une réunion, de planifier une réunion, etc.
• Local Media Optimization pour Direct Routing améliore la qualité de la voix en maintenant les flux de médias locaux dans les limites des réseaux d'entreprise. Elle prend également en charge les flux entre Teams et les SBC même s'ils se trouvent derrière des pare-feu d'entreprise non visibles directement par Microsoft.
• Microsoft 365 Live Event augmente la capacité supportée pour une durée temporaire jusqu’au 1^er juillet 2020 afin de supporter jusqu’à 20 000 participants et 50 événements simultanés. En parallèle, il est possible d’aller jusqu’à 100 000 participants via un programme spécifique.
• Il est maintenant possible de partager l’audio du système dans Live Event ce qui permet éventuellement de partager une vidéo avec le son associé.
• Voici quelques nouveautés de Microsoft Teams sur les enjeux de communications unifiées :
  • Pour rappel, le multifenêtre dans Microsoft Teams est en cours de déploiement et arrivera d’ici fin mai sur l’ensemble des tenants.
  • Microsoft Teams augmente le nombre de vidéos affichées simultanément dans une réunion de 4 à 9.
  • Augmentation de la limite du nombre de membres appartenant à un Teams à 10 000 utilisateurs.
  • Une fonction « Lever la main » ou Raise hands permet à un participant de faire savoir qu’il veut parler. Ceci rend plus facile les interactions dans des réunions avec une audience importante.
  • Microsoft permet de personnaliser et changer l’arrière-plan de sa caméra selon ses envies. L’upload d’arrière-plan personnalisé intégré dans l’outil est attendu pour mi-mai néanmoins il est déjà possible de les déposer manuellement dans le dossier adéquat.
  • La mise au flou de l’arrière-plan arrive sur l’application pour iOS.
  • Les sous-titres en temps réel font leur apparition dans l’application pour iOS et Android.
  • Une fonction permet maintenant de mettre fin à la réunion forçant tous les participants à quitter la réunion.
  • L’utilisateur peut maintenant lancer un enregistrement d’un appel effectué avec une seule personne (et pas une réunion).
  • L’utilisateur peut éditer des informations qu’il a posté à travers plusieurs canaux.
  • Nouvelle expérience pour le lancement de réunions pour un canal: Les utilisateurs verront désormais le bouton "Meet Now" dans l'en-tête du canal en haut à droite.
  • Amélioration de l’expérience du lanceur lors de la jointure d’une réunion Teams : En lançant une réunion à partir d'un lien, les utilisateurs disposeront d'options plus claires sur la façon dont ils souhaitent participer à la réunion.

Collaboration

• Concernant SharePoint et OneDrive, on retrouve les éléments suivants :
  • Stock d’images dans SharePoint vous permettant de choisir des images parmi un catalogue disponible.
  • Managed Metadata Service a une nouvelle expérience de filtrage et de tagging pour gérer la taxonomie. On retrouve aussi une nouvelle galerie de type de contenu.
  • Lorsque vous faites défiler un site SharePoint moderne, vous verrez l'en-tête du site se rétrécir pour maximiser l'espace de lecture sur la page, ce qui permet aux visiteurs d'accéder plus facilement au contenu.
  • Preview de SharePoint Spaces, une plateforme web immersive de réalité mixte qui permet aux gens de créer et de partager des expériences de réalité mixte. L'expérience de création est la même que la construction d'un site ou d'une page moderne.

• Lorsque des personnes partagent des documents en sélectionnant uniquement le mode "Ouvrir en révision", les destinataires qui ouvrent le document dans Word web seront limités à ajouter des commentaires ou à laisser un suivi des modifications. Cela peut aider à prévenir les modifications involontaires du document.
• Cette nouvelle fonction de survol de dossier, en plus des détails du dossier et des actions comme "Inside Look" et "Activity", montrera les emails, les réunions et les conversations Teams pertinentes à la personne qui examine les informations de la carte de survol du dossier.

• Concernant Microsoft Teams, on retrouve les annonces suivantes :
  • Dynamic Signal permet de diffuser de manière proactive des informations critiques dans le canal de discussion, et les utilisateurs peuvent créer un dépôt d'informations dans l'application Dynamic Signal Teams
  • Qubie est conçu pour aider les managers à recueillir des critiques et retours et à analyser les résultats afin de comprendre rapidement où des améliorations peuvent être apportées.
  • Text est l'un des moyens les plus rapides de mettre en place une ligne d'assistance par SMS.
  • Disco est une application dans Teams qui aide vos employés à célébrer leurs réussites, à donner une reconnaissance à leurs pairs et à vivre les valeurs de votre entreprise.
  • Alli aidera l’entreprise à résoudre automatiquement les questions des employés par le biais d'une conversation avec un robot.
  • Microsoft a une croissance phénoménale avec plus de 200 millions de réunions en une seule journée générant 4,1 milliards de minutes en réunion. Le cap de 75 millions d’utilisateurs journaliers actifs a été passé.
  • Microsoft a publié un modèle Power Apps pour les Incentives pour Microsoft Teams afin de gérer et traquer les avantages et inciter les employés à participer à certaines activités.
  • L’application Planner dans Teams va être renommé Tasks pour offrir une expérience mise à jour et combinée avec To Do.
  • Microsoft intègre une application Yammer appelée Communities dans Microsoft Teams pour intégrer Yammer directement dans l’expérience de Teams.
  • Microsoft met à disposition un modèle pour l’application Open Badge afin de permettre aux utilisateurs de créer et attribuer des badges de manière pratique dans le contexte Teams. Une fois le badge attribué, les bénéficiaires et les autres membres de l'équipe sont informés de l'attribution du badge, et les détails de l'attribution peuvent être consultés en marquant simplement le bénéficiaire du badge dans la conversation du canal.
  • Microsoft Teams permet de créer et utiliser des tags pour notifier et informer plusieurs personnes. Cela évite de réécrire une liste de noms lors de l’écriture d’un message. Vous pouvez créer des tags en fonction des rôles, d’une équipe, d’un projet, d’expertise, etc.
  • De nouvelles applications sont disponibles dans Microsoft Teams :
• Concernant Yammer :
  • Publication de nouvelles applications Yammer pour iOS et Android avec une nouvelle expérience des événements en temps réel qui permet de renforcer l’engagement des participants au réseau.
  • .
• Concernant PowerApps :

• Power Automate prend désormais en charge la possibilité d'obtenir des fichiers et des éléments à partir de dossiers et de sous-dossiers.

• Les améliorations apportées à l'application Planner pour Android comprennent : le mode paysage pour Android et la possibilité d'attacher des fichiers aux tâches - il suffit de sélectionner une fiche de tâche puis de toucher l'icône du trombone pour attacher un fichier qui est stocké localement sur votre périphérique ou dans le Cloud via OneDrive ou SharePoint.
• Amélioration des rapports d’usage pour savoir si les utilisateurs sauvegardent du contenu vers SharePoint et OneDrive, ou s’ils utilisent plus Teams pour discuter et les réunions et comment est l’usage des emails dans le temps.

Sécurité

• Disponibilité Générale de Microsoft 365 Records Management afin de fournir des mécanismes de protection et de gouvernance de la donnée critique. La solution permet de classifier, retenir, revoir, disposer et gérer le contenu sans compromettre la productivité et la sécurité. En outre, on retrouve des mécanismes de machine learning pour identifier et classifier les enregistrements critiques à l’entreprise, légaux ou de régulation.
• Disponibilité Générale de Communication Compliance afin d’offrir une solution et tableau de bord permettant d’adresser les violations aux stratégies de conduite dans la communication de l’entreprise. La solution supporte les échanges par email, Teams, Skype for Business Online, Twitter, Facebook et Bloomberg.  Ceci permet d’identifier les mots et phrases pour identifier les violences, les harcèlements et profanations. La solution utilise du Machine Learning, des workflows et des stratégies pour vous aider dans cette tâche.

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Microsoft a communiqué une nouvelle mise à jour de sa stratégie de continuité de service Azure face au COVID-19.
• Microsoft est un des leaders selon The Forrester des plateformes de Functions-as-a-Service.
• Disponibilité Générale de la création des rôles personnalisés Azure dans le portail Azure.
• Support d’Azure Arc pour OpenShift et Red Hat Enterprise Linux (RHEL).
• Azure Migrate est maintenant disponible dans Azure Government pour gérer des migrations sur des datacenters de grande capacité.
• Mise à jour d’Azure Cost Management incluant :
  • Disponibilité Générale d’Azure Spot Virtual Machines vous permettant d'utiliser la capacité de calcul inutilisée à des taux très bas par rapport aux prix de la facturation à l'utilisation.
  • Désormais, vous pouvez suivre et être averti lorsqu'une réservation ou un achat sur le MarketPlace peut faire dépasser le budget.
  • Azure Cost Management est désormais l'un des 101 services couverts par le Federal Risk and Authorization Management Program (FedRAMP) High Provisional Authorization to Operate (P-ATO) pour Azure Government
  • Vous pouvez obtenir des recommandations via Azure Resource Graph.
• Microsoft prépare la certification Cybersecurity Maturity Model Certification (CMMC) du Department of Defense (DoD).

Azure Active Directory

• Microsoft vient de retirer la limite des applications pouvant bénéficier de la fédération et du Single Sign-On sur Azure Active Directory et ce quel que soit le niveau (Basic, Premium P1, Premium P2). Ainsi, vous pouvez bénéficier d’un nombre illimité d’applications et de les sécuriser avec l’authentification à facteurs multiples (MFA).
• Les nouveautés d’Azure Active Directory en Avril 2020.

Azure Computing

• Ajout du support de la mise à niveau automatique pour les images de système d’exploitation personnalisées sur Azure Virtual Machine Scale Set.
• Les machines virtuelles de série DCsv2 sont maintenant disponibles depuis Azure Confidential Computing. Pour rappel, la technologie Confidential Computing s’assure que lorsque la donnée est en clair (notamment lors du traitement afin d’assurer l’efficience), celle-ci est protégée dans un environnement d’exécution de confiance (TEE). Ceci permet de garantir qu’il n’y a pas de moyen de voir la donnée ou les opérations depuis l’extérieur de l’environnement. Microsoft offre un programme d’accès préliminaire.
• Disponibilité Générale des instances larges S224 HANA supportant 3TB à 9TB de mémoire avec 4 sockets 224 vCPUs.
• Azure Dedicated Hosts supporte les reservations Azure

Azure Container

• Des annonce pour Azure Container Registry:
  • Améliorer l’exfiltration des données grâce à des endpoints de données dédiées
  • Support du réseau virtuel Azure Private Link.
  • Support de plusieurs régions grâce à la géo-réplication pour les comptes de stockage d’Azure Container Registry.
• Disponibilité Générale du support des conteneurs Windows Server sur Azure Kubernetes Service (AKS).

Azure Network

• Disponibilité Générale de l’IPv6 pour les réseaux virtuelles Azure.

Azure Storage

• Disponibilité Générale de nouvelles tailles de disques Azure (4, 8, et 16 GB) ainsi que le support du bursting sur les disques Premium SSD. Le Bursting permet d’accumuler des crédits lorsque le trafic est inférieur à l'objectif prévu et de consommer des crédits lorsque le trafic le dépasse.
• Disponibilité Générale de la gestion des snapshots Azure File Share par Azure Backup. Ceci permet d’offrir des instantanés de partage en lecture seule à un pont précédent dans le temps.
• Disponibilité Générale des fonctionnalités améliorées dans Azure Archive Storage avec notamment :
  • La récupération prioritaire qui permet de signaler comme une action hautement prioritaire la réhydratation de vos données du niveau d'archivage hors ligne vers un niveau en ligne chaud ou froid.
  • Vous pouvez télécharger vos données blob en utilisant PutBlob ou PutBlockList directement au niveau d'accès de votre choix en utilisant le paramètre optionnel x-ms-access-tier. Cela vous permet de télécharger votre objet directement dans le niveau "hot", "cool" ou "archive", quel que soit le paramètre par défaut du niveau d'accès de votre compte.
  • L'API Copy Blob est maintenant capable de prendre en charge le niveau d'accès aux archives, vous permettant de copier des données vers et depuis le niveau d'accès aux archives au sein du même compte de stockage.
• Disponibilité Générale du chiffrement côté serveur (SSE) avec une clé gérée par le client (CMK) pour les disques gérés Azure (Managed Disks). La technologie utilise toujours BitLocker pour Windows et dm-crypt pour Linux.
• Vous pouvez uploader directement un VHD On-Premises directement dans un disque géré vide.
• Preview de Blob Index pour la gestion et la recherche de données dans Azure Storage. Blob Index est un index secondaire géré, vous permettant de stocker des attributs d'objets multidimensionnels pour décrire les objets de données.

Azure Data

• Preview de Query Acceleration pour Azure Data Lake Storage permettant d’améliorer à la fois les performances et le coût. Ce mécanisme permet aux applications et aux frameworks de pousser les prédicats et les projections de colonnes, afin qu'ils puissent être appliqués au moment de la première lecture des données, ce qui signifie que tout le traitement des données en aval est épargné du coût du filtrage et du traitement des données non requises.
• Disponibilité Générale des logs Storage Analytics pour Azure Data Lake Storage qui permet d’aider à superviser les opérations de stockage et les problèmes de diagnostic.

Azure Backup

• Disponibilité Générale de la gestion des instantanés Azure Files Shares par Azure Backup.
• Preview de la restauration cross région pour les machines virtuelles Azure via Azure Backup. Ce scénario est fortement attendu pour prévenir les scénarios de panne totale ou partielle d’une région ou même dans un scénario sans panne pour basculer des charges.

Azure Security Center

• Disponibilité Générale de l’analyse des images de conteneurs dans Azure Container Registry à la recherche de vulnérabilités.
• Disponibilité Générale du support de la protection contre les menaces pour Azure Kubernetes Service pour permettre la découverte et la visibilité, et les recommandations du Secure Score.
• Disponibilité Générale des stratégies personnalisées.
• Disponibilité Générale d’API Assessment
• Disponibilité Générale des ensembles de mesures dynamiques de conformité réglementaire
• Disponibilité Générale de l’automatisation avec Azure Logic Apps.
• Disponibilité Générale de l’intégration avancée avec exportation des recommandations et des alertes.

Azure Monitor

• Azure Monitor supporte le dépannage des erreurs JavaScript avec Source Map.
• Azure Monitor pour les conteneurs supporte maintenant la supervision de l’usage GPU sur Azure Kubernetes Service (AKS)

Azure AI

• Microsoft introduit l’enrichissement progressif (Incremental Enrichment) d’Azure Cognitive Search permettant d’avoir une approche déclarative pour indexer les données.

Azure IoT

• Disponibilité Générale du système Azure Sphere, basé sur Linux et destiné aux solutions IoT.

Azure Sentinel

• Amélioration de l'expérience de fermeture des incidents permettant de mieux comprendre pourquoi un incident a été fermé via un champ obligatoire qui doit être rempli par l'opérateur.

Autres services

• Des annonces pour Azure Maps avec :
  • La disponibilité générale dans Azure Government Cloud
  • La disponibilité générale d’Azure Maps Batch services
  • La disponibilité générale d’Azure Maps Matrix Routing service
  • La mise à jour de Render Services avec l’introduction de la preview de l’API Get Map tile v2, du style de carte sombre et une option pour le passage des frontières.
  • La capacité de rendre les buildings en 2.5D
  • Pour améliorer l'expérience de l'utilisateur et donner des vues plus détaillées, Microsoft a réduit la réduction de la simplification des données sur les frontières afin d'offrir une meilleure expérience visuelle à des niveaux de zoom plus élevés.
  • L’apparition des parcs nationaux dans le rendu.
  • Microsoft publie un nouveau SDK pour Azure Maps Web.

Microsoft a annoncé que la certification Azure DevOps Engineer Expert sera renommée Microsoft Certified: DevOps Engineer Expert à partir de 15 mai 2020. Microsoft va donc mettre à jour le nom de l’examen en Exam AZ-400: Designing and Implementing Microsoft DevOps Solutions.

Les transcripts seront remis à jour en conséquence.

Plus d’informations sur : Exam AZ-400: Designing and Implementing Microsoft DevOps Solutions.

Il y a quelques mois, Microsoft annonçait Microsoft Threat Protection, une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender Advanced Threat Protection (ATP), Office 365 ATP, Azure ATP, Microsoft Cloud App Security. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

Microsoft a annoncé qu’il activera automatiquement le service à partir du 1^er Juin 2020 pour les clients qui ont une des licences suivantes :

• Microsoft 365 E5
• Microsoft 365 E5 Security
• Windows 10 Enterprise E5
• Enterprise Mobility + Security (EMS) E5
• Office 365 E5
• Microsoft Defender Advanced Threat Protection
• Azure Advanced Threat Protection
• Microsoft Cloud App Security
• Office 365 Advanced Threat Protection (Plan 2)

Plus d’informations sur : Introducing the integrated Microsoft Threat Protection solution

Microsoft a publié un guide pour vous aider dans le déploiement de la stratégie de sécurité Zero Trust (Confiance Zero) pour Azure Active Directory. Cette stratégie part du principe que l’infrastructure est globalement faillible et qu’il faut mettre en place des mécanismes pour y remédier :

Mettre les fondations

1. Connecter vos utilisateurs, groupes et périphériques avec Azure AD
2. Intégrer les applications avec Azuer AD en utilisant OAuth2.0/SAML ou Azure AD Application Proxy pour Kerberos et l’authentification basée sur formulaire.
3. Automatiser le provisionnement des applications
4. Utiliser des mécanismes de journalisation et de reporting

Adopter le 1er principe : le moins de privilèges possible

1. Planifier le déploiement de l’accès conditionnel
2. Sécuriser les accès privilégiés avec Privileged Identity Management
3. Restreindre le consentement utilisateur des applications
4. Gérer les droits et privilèges (entitlments)

Adopter le 2e principe : vérifier explicitement

1. Déployer Azure MFA
2. Activer la jointure Azure AD et l’Hybrid Azure AD Join
3. Gérer les périphériques mobiles avec Microsoft Intune
4. Déployer des identifiants sans mot de passe avec FIDO 2.0

Adopter le 3ème principe : supposer la brèche

1. Déployer Azure AD Password Protection
2. Bloquer l’authentification héritée
3. Activer Identity Protection
4. Permettre l'utilisation de la session restreinte dans les décisions d'accès
5. Activer l'intégration de l'accès conditionnel avec Microsoft Cloud App Security (MCAS)
6. Permettre l'intégration de Microsoft Cloud App Security (MCAS) avec la protection de l'identité
7. Intégrer Azure Advanced Threat Protection (ATP) avec Microsoft Cloud App Security
8. Activer Microsoft Defender ATP

Plus d’informations sur Zero Trust Deployment Guide for Microsoft Azure Active Directory

Microsoft a réalisé une série de contenu et vidéos pour mettre en place la Cloud Management Gateway (CMG) de Microsoft Endpoint Manager Configuration Manager. La CMG permet notamment de gérer les machines sur Internet ou en mobilité. Ce sujet est au cœur des préoccupations avec le télétravail ou la crise du COVID-19.

Une première vidéo Cloud Management Gateway : What you need to now and what’s next

https://www.microsoft.com/en-us/videoplayer/embed/RE4vnMO?autoplay=false

Des vidéos de dépannage sur le thème de :

• Incorrect DNS name(.mp4, 1:27)
• Communication between CMG and Configuration Manager(.mp4, 2:32)
• Internet-based client management (IBCM) vs. CMG(.mp4, 1:41)
• Missing URLs(.mp4, 2:38)
• CMG certificate(.mp4, 3:21)
• Resource providers not enabled(.mp4, 1:01)
• Registering external clients(.mp4, 3:00)
• Choosing device authentication methods(.mp4, 2:55)

Source

Il y a quelques temps je vous parlais de vidéos sur Azure AD mais aussi sur l’accès conditionnel, Microsoft a créé une nouvelle série de vidéos visant à présenter des éléments sur l’architecture d’Azure Active Directory. On retrouve notamment :

• Identity Architecture: Azure AD Connect | Azure Active Directory
• Identity Architecture: Password Hash Synchronization | Azure Active Directory
• Identity Architecture: Federated Authentication | Azure Active Directory
• Identity Architecture: PHS and PTA Authentication | Azure Active Directory
• Identity Architecture: Legacy authentication | Azure Active Directory
• Identity Architecture: Conditional access with Azure MFA | Azure Active Directory
• Identity Architecture: Object Provisioning Outbound and Cloud HR Inbound | Azure Active Directory
• Identity Architecture: Outbound Provisioning with External Identities | Azure Active Directory
• Identity Architecture: Privileged Identity Management | Azure Active Directory
• Identity Architecture: Privileged Identity Management #2 | Azure Active Directory
• Identity Architecture: Password management and on-prem protection | Azure Active Directory
• Identity Architecture: Conditional access with device controls | Azure Active Directory
• Identity Architecture: Self-service password reset | Azure Active Directory
• Identity Architecture: Registering for passwordless using the Microsoft Authenticator App
• Identity Architecture: Using passwordless with the Microsoft Authenticator App
• Identity Architecture: MFA with RADIUS | Azure Active Directory

Les précédentes vidéos sur les fondamentaux sont :

• Authentication fundamentals: The basics
• Authentication fundamentals: Web applications
• Authentication fundamentals: Web single sign on
• Authentication fundamentals: Federation
• Authentication fundamentals: Native client applications Part 1
• Authentication fundamentals: Native client applications Part 2

Source : https://aka.ms/identityyoutube

Microsoft a publié la Public Preview (v2.7.93.0) du scanner Unified Labeling d’Azure Information Protection.  Cette version couvre les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. C’est aussi la première version du scanner basée sur l’Unified Labeling. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Pour les fonctionnalités proposées par le Scanner, on retrouve :

• Vous pouvez utiliser le scanneur pour appliquer les étiquettes/labels en fonction de conditions recommandées. Le scanneur AIP peut désormais traiter les règles de labeling automatique avec des actions "recommended label" comme des règles automatiques. Ce changement a été mis en œuvre pour permettre aux clients AIP de choisir de mettre en œuvre le labeling automatique uniquement du côté du service, permettant à leurs utilisateurs finaux de toujours suivre les recommandations au lieu de l'option précédente qui consistait à activer le labeling automatique uniquement du côté de l'utilisateur.
• Vous pouvez découvrir quels fichiers précédemment découverts par le scanneur ont été supprimés du dépôt scanné. Ces fichiers supprimés n'étaient pas précédemment signalés dans AIP Analytics et sont maintenant disponibles dans le rapport de découverte du scanneur.
• Vous pouvez obtenir des rapports du scanneur sur les échecs d'application des événements d'action. Vous pouvez utiliser les rapports pour connaître les événements d'action échoués et découvrir des moyens de prévenir les occurrences futures.
• Introduction de l'outil d'analyse diagnostique du scanneur AIP pour la détection et l'analyse des erreurs courantes du scanneur. Pour commencer à utiliser les diagnostics du scanneur AIP, lancez le nouveau cmdlet Start-AIPScannerDiagnostics.
• Vous pouvez maintenant gérer et limiter la consommation maximale de CPU sur la machine du scanneur.

On retrouve les améliorations suivantes :

• Améliorations des performances SQL du scanneur qui devraient améliorer les déploiements de cluster à nœuds multiples
• Améliorations des performances d’analyse de SharePoint

Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

Plus d’informations sur la version du client AIP Unified Labeling

Télécharger Azure Information Protection unified labeling client

Microsoft propose un événement Office Hours sur le thème de la maintenance Windows 10 dans un monde à distance (télétravail, etc.). Vous aurez donc accès à des experts sur le produit, des ingénieurs, etc. pour répondre à vos questions, vos stratégies et tactiques.

Cet événement a lieu aujourd’hui (6 mai 2020) à 17h à 18h (heure française).

Vous pouvez déjà poser votre question ou suivre l’événement sur :  Windows 10 servicing space

Source

Aujourd’hui, j’ai fait face à une problématique intéressante chez un client où les stratégies de configuration applicative (App Configuration Policies) de Microsoft Intune ne sont plus éditables. Lorsque vous éditez la stratégie et ouvrez les propriétés, vous recevez une erreur : Cannot read property '@odata.type' of null

En regardant le debbuguer du navigateur, on peut voir qu’un problème est lié à la référence de l’application. Si on recherche l’application correspondant à l’identifiant, elles ne sont plus présentes.

Le problème peut survenir dans les cas suivants :

• Vous supprimez le token/jeton Apple Volume Purchase Program (VPP) associé à l’application. Ceci a pour effet de supprimer toutes les applications associées.
• Vous supprimez/remplacez/changez le compte Managed Google Play associé au tenant. Ceci a pour effet de supprimer toutes les applications associées.

• Vous supprimez directement une application issue du Managed Google Play ou Apple VPP.

Si une des applications liées à un des scénarios ci-dessus, possède une stratégie de configuration applicative, alors celle-ci n’est pas supprimée automatique et engendre cette erreur.

Dans tous les cas, vous devez penser à la supprimer et éventuellement la recréer si nécessaire.

Microsoft travaille sur un changement de design pour ces cas d’usage.

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Gestion du périphérique

• [Windows] La gestion attachée au Cloud est une nouvelle fonctionnalité qui permet de connecter l’infrastructure Microsoft Endpoint Manager à Microsoft Intune afin de pouvoir remonter des informations et de lancer des actions à partir d’un portail unique celui de Microsoft Endpoint Manager/Microsoft Intune.

Configuration du périphérique

• [macOS] Il est maintenant possible de déployer aisément Microsoft Defender Advanced Threat Protection sur macOS depuis les applications.

Gestion des applications

• [Général] Microsoft Office 365 ProPlus est renommé en Microsoft 365 Apps for enterprise.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft propose un Webcast suivi de questions/réponses sur MSIX App Attach avec Windows Virtual Desktop. Cet évènement aura lieu aujourd’hui le 05 Mai à partir de 18h (heure française). Rejoignez Stefan Georgiev et Tanaka Jimha pour une heure d’un événement riche en informations.

L’enregistrement sera disponible à la demande par la suite.

Pour vous inscrire et suivre : https://aka.ms/webcast/MSIXappattach

Source 

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

La version 172 introduit les changements suivants :

• Amélioration des contrôles d'accès et de session avec n’importe quel fournisseur d’identité (IdP) (Preview). Les contrôles d'accès et de session prennent désormais en charge les applications SAML configurées avec n'importe quel fournisseur d'identité. L'aperçu public de cette nouvelle fonctionnalité est maintenant progressivement mis en place. Pour configurer ces contrôles, voir le guide de déploiement.
• Nouveau processus désanonymisassions en masse des utilisateurs et des machines afin de simplifier le processus sur un ou plusieurs utilisateurs et machines sous investigation

Les versions 173 et 174 regroupent les éléments suivants :

• Nouveau format CEF sur l’agent SEIM pour les alertes. Afin d’enrichir les informations d'alerte fournies dans les fichiers CEF utilisés par les serveurs SIEM génériques, Microsoft a étendu le format pour inclure les champs clients suivants : Adresse IPv4, Adresse IPv6, Localisation de l'adresse IP
• Logique de détection améliorée : Voyage impossible (Impossible travel) afin d'améliorer la précision et de réduire le volume des alertes.

Plus d’informations sur : What's new with Microsoft Cloud App Security

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Avril 2020.

Microsoft apporte les nouveautés suivantes :

• Public Preview des unités administratives (Administrative Units) permettant d'accorder des autorisations administratives qui sont limitées à un département, une région ou un autre segment de l’entreprise que vous définissez. Ceci permet d’utiliser les unités administratives pour déléguer des autorisations aux administrateurs régionaux ou pour définir une stratégie à un niveau granulaire. Par exemple, un administrateur de compte d'utilisateur peut mettre à jour les informations de profil, réinitialiser les mots de passe et attribuer des licences pour les utilisateurs uniquement dans son unité administrative.

• Disponibilité Générale de l’expérience combinée d’enregistrement des informations de sécurité pour l’authentification à facteurs multiples (MFA) et la réinitialisation du mode passe en libre-service (SSPR). Lorsque vous déployez la nouvelle expérience pour une entreprise, les utilisateurs peuvent s'inscrire en moins de temps et avec moins d’étapes.

• L'évaluation continue de l'accès (Continuous Access Evaluation) est une nouvelle fonction de sécurité qui permet l'application en temps quasi réel des stratégies aux éléments qui consomment des jetons d'accès Azure AD lorsque des événements se produisent dans Azure AD (comme la suppression d'un compte utilisateur). Microsoft propose d’abord cette fonction pour Teams et les clients Outlook.
• Les employés sur le terrain peuvent se connecter avec des applications utilisant l’authentification sans moderne, simplement avec leur numéro de téléphone et sans mot de passe. Ce mécanisme dans les applications Office s'adresse aux entreprises qui n'utilisent pas l’email comme principal moyen de communication. Ce projet permettra à des employés de se connecter à des applications professionnelles en entrant un numéro de téléphone et en tapant un code.

• L’expérience du portail d’administration Azure AD donne accès à des actions en masse et de téléchargement sur les utilisateurs et groupes. Vous pouvez uploader un fichier CSV pour créer, supprimer, inviter des utilisateurs ou supprimer et ajouter des membres à un groupe.

• On retrouve quatre nouveaux rôles RBAC dans Azure Active Directory :
  • Printer Administrator : Les utilisateurs ayant ce rôle peuvent enregistrer des imprimantes et gérer tous les aspects de toutes les configurations d'imprimantes dans la solution Universal Print, y compris les paramètres du connecteur Universal Print. Ils peuvent consentir à toutes les demandes d'autorisation d'impression déléguées. Les administrateurs d'imprimantes ont également accès aux rapports d'impression.
  • Printer Technician : Les utilisateurs ayant ce rôle peuvent enregistrer des imprimantes et gérer le statut des imprimantes dans la solution Universal Print. Ils peuvent également lire toutes les informations relatives aux connecteurs. Les principales tâches qu'un technicien en impression ne peut pas effectuer sont la définition des autorisations d'utilisateur sur les imprimantes et le partage des imprimantes.
  • Hybrid Identity Admin : Les utilisateurs dans ce rôle peuvent activer, configurer et gérer les services et les paramètres liés à l'activation de l'identité hybride dans Azure AD. Ce rôle donne la possibilité de configurer Azure AD pour l'une des trois méthodes d'authentification prises en charge – Password Hash Synchronization (PHS), Passthrough Authentication (PTA) ou fédération (AD FS ou fournisseur de fédération tiers) - et de déployer l'infrastructure On-Premise correspondante pour les activer.
  • Network Administrator : Les utilisateurs ayant ce rôle peuvent examiner les recommandations de Microsoft en matière d'architecture de périmètre de réseau qui sont basées sur la télémétrie de réseau à partir de leurs emplacements d'utilisateur. Ce rôle permet d'éditer les emplacements des utilisateurs découverts et de configurer les paramètres du réseau pour ces emplacements afin de faciliter l'amélioration des mesures de télémétrie et des recommandations de conception.
• Nous étendons la capacité d'invitation B2B pour permettre aux comptes internes existants d'être invités à utiliser des identifiants de collaboration B2B à l'avenir. Cela se fait en passant l'objet utilisateur à l'API d'invitation en plus des paramètres typiques comme l'adresse électronique invitée. L'ID de l'objet de l'utilisateur, l'UPN, l'appartenance à un groupe, l'attribution d'une application, etc. restent intacts, mais à l'avenir, l'utilisateur utilisera le B2B pour s'authentifier avec ses références de tenant plutôt qu'avec les références internes qu'il utilisait avant l'invitation.
• Le mode "Report-only" pour l'accès conditionnel à Azure AD vous permet d'évaluer le résultat d'une stratégie sans avoir à appliquer des contrôles d'accès. Au cours des derniers mois, Microsoft a constaté une forte adoption du mode Report-only, avec plus de 26 millions d'utilisateurs déjà concernés par une stratégie de Report-only. Avec cette annonce, de nouvelles stratégies d'accès conditionnel Azure AD seront créées par défaut en mode Report-only. Il est aussi possible de gérer les stratégies de type " Report-only " par GraphAPI.

• Disponibilité Générale du workbook Conditional Access insights and reporting qui donne une vue d'ensemble de l'accès conditionnel Azure AD. Il est possible de sélectionner une stratégie individuelle permettant aux administrateurs de mieux comprendre les effets de chaque stratégie et suivre les changements en temps réel. Le workbook transmet en continu les données stockées dans Azure Monitor.

• Public Preview de la nouvelle tuile de détail des stratégies affichant les affectations, les conditions et les contrôles qui ont été satisfaits lors de l'évaluation de la stratégie d'accès conditionnel. Vous pouvez accéder à la tuile en sélectionnant une ligne dans les onglets Conditional Access ou Report-only dans Sign-in details.
• 31 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : SincroPool Apps, SmartDB, Float, LMS365, IWT Procurement Suite, Lunni, EasySSO for Jira, Virtual Training Academy, Meraki Dashboard, Office 365 Mover, Speaker Engage, Honestly, Ally, DutyFlow, AlertMedia, gr8 People, Pendo, HighGround, Harmony, Timetabling Solutions, SynchroNet CLICK, empower, Fortes Change Cloud, Litmus, GroupTalk, Frontify, MongoDB Cloud, TickitLMS Learn, COCO, Nitro Productivity Suite , Trend Micro Web Security(TMWS)
• Disponibilité Générale de la configuration des tokens : Azure AD émet des tokensavec un ensemble de claims par défaut. La configuration des tokens permet de personnaliser les tokens d'accès, les tokens d'identification et les tokens SAML afin d'inclure des claims supplémentaires. Ces claims supplémentaires vous permettent d'obtenir plus de détails sur un utilisateur lorsqu'il est authentifié dans votre application.
• Disponibilité Générale du chiffrement des tokens SAML : Azure AD envoie déjà des tokens SAML sur un canal de transport HTTPS chiffré. Vous pouvez maintenant aussi configurer le chiffrement des tokens SAML afin d'obtenir une assurance supplémentaire, le cas échéant, que le contenu du token ne peut pas être intercepté et que les données personnelles ou d'entreprise ne peuvent pas être compromises.
• My Staff permet aux responsables sur le terrain de s'assurer que le personnel peut accéder à leurs comptes Azure AD. Au lieu de dépendre d'un service d'assistance central, les entreprises peuvent déléguer des tâches communes, telles que la réinitialisation des mots de passe ou la modification des numéros de téléphone, à un responsable de première ligne. Avec My Staff, un utilisateur qui n'a pas accès à son compte peut y accéder à nouveau en quelques clics seulement, sans qu'il soit nécessaire de faire appel à un service d'assistance ou à du personnel informatique.
• Public Preview du support des requêtes incrémentale Microsoft Graph pour
  • oAuth2PermissionGrant afin de traquer les changements sans avoir à interroger continuellement Microsoft Graph.
  • Les unités administratives (Administrative Units) afin de traquer les changements sans avoir à interroger continuellement Microsoft Graph.
• Disponibilité Générale de la recherche incrémentale pour
  • Les contacts organisationnels afin de suivre les changements dans les applications de production sans avoir à interroger continuellement Microsoft Graph.
  • Les applications afin de suivre les changements sur les applications de production sans avoir à interroger continuellement Microsoft Graph.
• Vous pouvez gérer les numéros de téléphone d’authentification et d’autres éléments des méthodes d’authentification dans les nouvelles APIs de Microsoft Graph Beta.

On retrouve les modifications de service suivantes :

• Public Preview de la validation des règles des groupes dynamiques. Un onglet Validate rules, vous pouvez valider votre règle dynamique par rapport aux membres du groupe d'échantillons pour confirmer que la règle fonctionne comme prévu. Lors de la création ou de la mise à jour de règles de groupe dynamiques, les administrateurs veulent savoir si un utilisateur ou un périphérique sera membre du groupe.

• Identity Secure Score – Mise à jour des actions d’amélioration pour la sécurité par défaut et le MFA.
• Microsoft a mis à jour l'expérience des évaluateurs pour Access Reviews à Azure AD dans le portail My Apps. A la fin du mois d'avril, les évaluateurs verront une bannière qui leur permettra d'essayer la nouvelle expérience dans My Access. Cette expérience est la même que l'expérience actuelle, mais avec une interface utilisateur améliorée en plus de nouvelles capacités. En juillet, les évaluateurs seront automatiquement dirigés vers My Access pour effectuer des évaluations d'accès.
• Les applications de provisionnement et de reprise des utilisateurs de Workday prennent désormais en charge les dernières versions de l'API des services Web Workday.
• Microsoft a remis à jour l’expérience en matière d'approvisionnement afin de créer une vision plus ciblée de la gestion. Lorsque vous naviguez vers la tuile de provisionnement d'une application d'entreprise déjà configurée, vous pouvez facilement suivre la progression du provisionnement et gérer des actions telles que le démarrage, l'arrêt et le redémarrage du provisionnement.

Plus d’informations sur : What’s new Azure AD

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender Advanced Threat Protection (ATP) introduit dans le mois.

• Exécutez les appels API liés à la gestion des menaces et des vulnérabilités (Threat & Vulnerability Management), par exemple pour obtenir le score d'exposition aux menaces ou le score de sécurité des périphériques, l'inventaire des vulnérabilités des logiciels et des machines, la distribution des versions de logiciels, les informations sur la vulnérabilité des machines, les informations sur les recommandations de sécurité.
• Microsoft a introduit un tag COVID-19 dans les recommandations de sécurité de la fonctionnalité de gestion des vulnérabilités et des menaces (TVM) de Microsoft Defender ATP. Ce tag permet d’identifier les actions à réaliser sur les machines qui sont relatives à la crise du COVID-19 et des différentes menaces qui ont émergés.

• Public Preview de la fonctionnalité Live Response pour des versions antérieures de Windows 10 incluant Windows 10 1709, 1803 et 1809. Certaines mises à jour doivent être installés sur ces systèmes pour permettre le support.

• Toujours sur la fonctionnalité Live Response, il est possible de télécharger des fichiers en fond de tâches via la commande download <chemin du fichier> puis CTRL + Z.

• Disponibilité Générale des APIs de gestion des vulnérabilités et des menaces (TVM). Ceci vous permettra de créer des rapports et des interfaces personnalisés ou des mécanismes d’automatisation.

Plus d’informations sur : What’s new in Microsoft Defender ATP

Microsoft vient de mettre à disposition la Technical Preview 2004 (5.0.8991.1000) de Microsoft Endpoint Manager Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2003 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 2004 comprend les nouveautés suivantes :

Administration

• Vous pouvez maintenant choisir de recevoir des notifications de Microsoft dans la console d’administration. Ces notifications vous permettent de rester informé des nouvelles fonctionnalités ou des mises à jour, des modifications apportées à ConfigMgr et aux services qui y sont associés, ainsi que des problèmes qui nécessitent une action pour y remédier.

• Basé sur UserVoice, vous pouvez maintenant copier les données de découverte des périphériques et des utilisateurs dans la console. Ces nouvelles actions vous permettent d'obtenir plus facilement et rapidement ces données depuis la console. Par exemple, vous pouvez copier l'adresse MAC d'un périphérique avant de le redéployer.

• La bibliothèque de cmdlets PowerShell Configuration Manager offre maintenant un support pour PowerShell 7. Le support de PowerShell 7 est Preview, et n'est pas destiné à être utilisé dans des environnements de production.

• On retrouve de nouvelles règles Management Insight pour le déploiement de système d’exploitation afin de gérer la taille des séquences de tâches. Lorsque la taille de la stratégie de séquence de tâches dépasse 32 Mo, le client ne parvient pas à exécuter le déploiement de la séquence de tâches. On en retrouve deux :
  • Large task sequences may contribute to exceeding maximum policy size : Si vous déployez ces séquences de tâches, les clients peuvent ne pas être en mesure de traiter les grands objets. Réduisez la taille de la séquence de tâches pour éviter les problèmes potentiels de traitement des stratégies.
  • Total policy size for task sequences exceeds policy limit : Les clients ne peuvent pas traiter la stratégie pour ces séquences de tâches parce qu'elle est trop importante. Réduisez la taille de la stratégie de séquence de tâches pour permettre au déploiement de fonctionner sur les clients.

Cloud and Tenant-Attach

• Vous pouvez maintenant voir les détails du client, y compris les collections, l'appartenance à un groupe de limites (uniquement si vous utilisez un site primaire autonome) et les informations client en temps réel pour un appareil spécifique dans le centre d'administration de Microsoft Endpoint Manager.

Inventaires et Reporting

• Microsoft a ajouté la possibilité d'exécuter CMPivot à partir d'un périphérique individuel ou de plusieurs périphériques à partir du nœud de périphériques sans avoir besoin de sélectionner une collection de périphériques. Cette amélioration facilite la création de requêtes CMPivot pour des périphériques spécifiques en dehors d'une collection pré-créée.
• Microsoft a également fait converger CMPivot autonome et CMPivot lancé depuis la console d'administration. Lorsque vous lancez CMPivot à partir de la console d'administration, il utilise la même technologie sous-jacente que CMPivot autonome pour vous donner la parité des scénarios.

Déploiement de système d’exploitation

• Basé sur UserVoice, vous pouvez utiliser une variable de séquence de tâches pour spécifier la cible de la tâche Format and Partition Disk. Cette nouvelle option de variable prend en charge des séquences de tâches plus complexes avec des comportements dynamiques. Par exemple, un script personnalisé peut détecter le disque et définir la variable en fonction du type de matériel. Vous pouvez ensuite utiliser plusieurs instances de cette étape pour configurer différents types de matériel et de partitions.
  • Vous pouvez maintenant utiliser PowerShell pour créer et configurer des séquences de tâches comme un type de déploiement de modèle d'application via Add-CMTaskSequenceDeploymentType et Set-CMTaskSequenceDeploymentType

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-2004

J’ai plusieurs labs de machines virtuelles hébergés dans Microsoft Azure. Comme je les arrête dès que je ne m’en sers pas, les adresses IP publiques changent systématiquement. Dès que je les allume, je dois systématiquement retélécharger les fichiers RDP à partir du portail Azure. Fatigué de toujours retélécharger ces fichiers, j’ai cherché à savoir si Royal TS s’interconnectait directement à Microsoft Azure pour générer des connexions sur les machines virtuelles. Malheureusement, ce très bon outil de gestion des connexions, ne le fait pas et il n’existe aucun plugin ou extensions le permettant. En cherchant sur Internet, je suis tombé sur le projet Ryan Hoffman permettant via un script PowerShell de générer un document avec toutes les machines virtuelles.

Aujourd’hui ce script ne fonctionne que pour des machines virtuelles ASM. Vous devez comme moi utiliser Azure Resource Manager (ARM) pour générer les machines virtuelles ce qui rend le script obsolète. J’ai décidé de passer une petite heure pour le revoir et compléter.

Il génère donc un document Royal TS à partir des abonnements Azure pour des machines virtuelles Windows uniquement (à date).

Parmi les prérequis nécessaires :

• PowerShell 5.1
• Import-Module RoyalDocument.PowerShell
• Import-Module AzureRM.Compute
• Import-Module AzureRM.Network
• Les droits sur les abonnements/subscriptions

Basiquement, il :

• Liste tous les abonnements et recherche les VMs et leurs adresses IP publiques
• Créé un document Royal TS
• Recrée la hiérarchie de dossiers sur la base des abonnements Azure
• Crée un identifiant générique
• Crée une connexion RDP pour chaque VM ayant une adresse IP publique
• Lie l’identifiant générique à chaque connexion RDP créé

Ce qu’il ne fait pas :

• Gérer Azure Bastion
• Gérer les VMs Linux avec SSH
• Gérer les VMs sans adresse IP publique
• Gérer différentss identifiants de connexion selon la machine virtuelle ou des groupes de VMs
• Gérer la personnalisation du port RDP. J'ai mis le port 3389 par défaut mais il est possible de le changer dans le script. Je n’ai pas poussé le script jusqu’à chercher une règle RDP dans les NSG afin d’en récupérer le port RDP.
• Gérer toute une série d’exceptions et de scénarios auxquels je n’ai pas pensé
• Etc

Bien entendu, il y a la place pour de l’évolution et de l’amélioration pour ceux qui seraient intéressés.

En pratique, vous pouvez :

• Récupérer le script
• Changer les variables essentielles (chemin du fichier, port, nom du document, etc.)
• Créer un lien Windows que vous mettez sur votre bureau et qui pointe sur le script PowerShell dans un dossier dédié en exécutant la commande : C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -command "& '<chemin vers le script> \AzureToRoyalTS.PS1'

Lors de l’exécution, ce sont les informations que vous obtenez :

Le script génère un fichier qui, une fois ouvert, comprend toutes les machines virtuelles ayant une adresse IP :

Télécharger AzureToRoyalTS

Microsoft vient de communiquer un problème touchant Microsoft Intune et qu'un paramètre de configuration de MacOS FileVault chiffre les périphériques malgré le fait qu'il soit réglé pour permettre le contournement.

Ce problème a une incidence que si vous définissez ou prévoyez de définir le chiffrement pour les périphériques MacOS. Vous pouvez voir si vous avez configuré cette politique en allant dans Devices > macOS | Configuration profiles > Endpoint protection > enable Full Disk Encryption using XTS-AES 128 with FileVault 2 > Number of times allowed to bypass > No limit, always prompt.

Le chiffrement se produit lorsque le périphérique reçoit la stratégie et que l'utilisateur effectue la connexion suivante, malgré l'intention de l'administrateur de demander et de permettre à l'utilisateur final de décider du meilleur moment pour chiffrer un périphérique.

Si vous voulez toujours inviter l'utilisateur à chiffrer mais sans jamais exiger que le périphérique le fasse, une fois la correction apportée, vous devez revenir à votre stratégie FileVault existante et changer la valeur de "0", qui est une nouvelle valeur, à " No limit, always prompt". Pour les stratégies FileVault nouvelles et existantes, après la version de juin, vous verrez les valeurs correctes et le comportement correspondant.

Microsoft teste un correctif et devrait le déployer dans la version de juin d'Intune.

Microsoft vient de publier une nouvelle version (10.1.0.0) le pack d’administration ou Management Pack (MP) SCOM pour la fonctionnalité de Cluster. Cette version a complétement été réécrite pour l’arrivée de Windows Server 2016 et Windows Server 1709 ou plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Cette version apporte les versions localisées du Management Pack.

Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger Microsoft System Center Management Pack for Windows Server Cluster 2016 and 1709 Plus

Microsoft prépare un changement dans l’expérience de changements des mots de passe liés à une stratégie de mot de passe appliquée par Microsoft Intune sur les périphériques macOS. Le workflow actuel comprend un bug pour lequel Microsoft va effectuer un changement qui dépend de la version de macOS :

• Les périphériques macOS qui exécutent la version 10.13x à 10.14x :
  • Le mot de passe devra toujours être modifié si le périphérique détecte un changement de politique de mot de passe :
    • Cela se produit lorsque des utilisateurs sont déplacés d'un groupe avec une stratégie de mot de passe à un autre et même si la stratégie est la même.
    • Cela se produit lorsque la stratégie de mot de passe est mise à jour de quelque manière que ce soit et envoyée au périphérique.
    • Ce comportement se poursuivra à partir de mai 2020, à moins que le périphérique ne soit mis à jour à la version 10.15 ou plus.
  • A partir de mai 2020, tous les périphériques macOS fonctionnant sous 10.15-10.15.x - Après une mise à jour quelconque de la stratégie de mots de passe, l'appareil ne doit pas demander de changement de mot de passe.
    • Toutefois, le péripéhrique peut se révéler non conforme jusqu'à ce que le mot de passe soit mis à jour manuellement par l'utilisateur final.
    • C'est le cas à partir de mai, quelle que soit la version du périphérique Mac (10.12, 10.13, 10.14, etc.)
    • Tous les paramètres du mot de passe s'appliqueront toujours au périphérique. Si l'administrateur fixe une expiration de 30 jours à la stratégie, l'utilisateur final sera toujours invité à changer son mot de passe tous les 30 jours.
  • À partir de macOS 10.16 (pas encore publié à date), tout changement ou mise à jour de la politique de code d'accès obligera une fois de plus l'utilisateur à mettre à jour son mot de passe sur le péripéhrique.

Vous devez prévenir le support informatique que vous ne pouvez pas forcer les périphériques macOS 10.15 à mettre à jour leurs mots de passe par la seule mise à jour de la stratégie des mots de passe. Sachez que les utilisateurs de macOS peuvent subir des réinitialisations de mot de passe lorsque vous les faites entrer ou sortir de différents groupes.

Plus d’infos

Si vous utilisez Azure Advanced Threat Protection (AATP) et Azure AD Connect pour synchroniser vos objets et identités dans Azure AD, il existe certaines considérations afin de ne pas générer des alertes non justifiées. C’est notamment le cas lorsque vous utilisez les fonctions de réécriture (writeback) de périphérique, de mot de passe, de groupe, etc. Dans ce scénario, les serveurs Azure AD Connect génèrent une demande de réplication sur les contrôleurs de domaine afin de modifier et répliquer les changements. Les serveurs n’étant pas des contrôleurs de domaine, Azure ATP pense à une attaque et génère une alerte de type Suspected DCSync attack (replication of directory services)

Dans ce cas de figure, vous devez créer une exclusion en naviguant dans paramètres (la roue crantée) puis Exclusions (sous Détection).

Cherchez ensuite l’alerte Suspected DCSync attack (replication of directory services) puis ajoutez les différents comptes MSOL_<XXXX> utilisés par vos serveurs Azure AD Connect. En outre, ajoutez les serveurs Azure AD Connect dans la liste des ordinateurs :

Cliquez ensuite sur Enregistrer en bas de la page.

En retournant sur la chronologie, vous pouvez observer que les alertes en question, ont été fermées :