Il y a maintenant plusieurs mois, je vous avais partagé mon expérience de dépannage chez un client qui n’arrivait pas à enregistrer des machines Windows 10 dans Microsoft Intune via la stratégie de groupe (GPO). Les machines étaient bien Hybrid Azure AD Join, l’Azure AD PRT nécessaire à l’opération d’enregistrement était bien récupéré mais l’erreur suivante était générée :
EventID : 71 Inscription GPM : échec (Unknown Win32 Error code: 0x80180001)

L’équipe du support Intune vient de confirmer le non-support de l’option Device Credential visant à utiliser les identifiants de la machine pour l’enregistrement dans Microsoft Intune via la stratégie Enable automatic MDM enrollment using default Azure AD credentials.

Ce mode n’est utilisé que lors de l’enregistrement via le Co-Management de Microsoft Endpoint Manager Configuration Manager.

Vous devez donc utiliser la valeur User Credential.

Source : Twitter

J’en parlais il y a quelques mois, Microsoft a travaillé sur une nouvelle expérience pour le portail Microsoft Intune (et Microsoft Endpoint Manager) à destination des administrateurs permettant la création et l’édition sur un seul et même unique écran. Ceci met fin au concept d’ouverture perpétuel et d’étalement de blade/tuile dans le portail. Les workflows et assistants de création et d’édition vont donc être condensé en un seul et unique écran/tuile. Vous n’aurez donc plus à naviguer en profondeur dans les tuiles.

L'expérience plein écran va être déployée sur le portail Intune sur portal.azure.com et devicemanagement.microsoft.com dans les prochains jours. Cette mise à jour de l'interface utilisateur n'aura pas d'impact sur les fonctionnalités des stratégies et profils existants, mais vous verrez une cinématique de création/modification légèrement modifié. Lorsque vous créez de nouvelles stratégies, par exemple, vous pourrez définir certaines affectations au lieu de le faire une fois la stratégie créée.

Pour les entreprises ayant créé des documentations d’exploitation, vous allez devoir les mettre à jour pour refléter ces changements.

Plus d’informations et un aperçu des écrans sur : https://aka.ms/intune_fullscreen

Microsoft vient d’annoncer la Preview 1910.2 de l’interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center.

Parmi les nouveautés de cette Preview, on retrouve notamment les capacités :

• Il est possible de couper/copier/coller dans l’outil de Fichiers (Files).
• Il devient possible de redémarrer le service sans avoir à arrêter et redémarrer.
• Mise à jour rapide des clusters - Sur le tableau de bord des clusters, les mises à jour des nœuds connectés apparaîtront dans la section "Alertes".
• Upload de fichiers - en cas d'échec d’upload d'un fichier volumineux, vous pouvez désormais réessayer d’uploader le fichier
• Filtres pour machines virtuelles - Lorsque vous consultez une liste de machines virtuelles avec plusieurs filtres appliqués, les machines virtuelles ne disparaissent plus après un certain temps
• Connexion à Azure Update Management - Les utilisateurs ne reçoivent plus d'erreur de connexion lorsqu'ils tentent de configurer Azure Update Management après avoir mis en place la supervision d'Azure
• Création de comptes Active Directory – Microsoft a corrigé une erreur dans les services de domaine Active Directory où les comptes pouvaient être créés avec des mots de passe qui ne répondaient pas aux exigences de complexité

Télécharger Windows Admin Center 1910.2 Preview

Toujours la crise du COVID-19, Microsoft repousse légèrement la fin de support des protocoles Transport Layer Security (TLS) 1.0 et 1.1 dans les navigateurs Microsoft.

Ainsi :

• Microsoft Edge (Chromium) se verra désactiver ces protocoles à partir de la version 84 (prévue en Juillet 2020)
• Internet Explorer 11 et Microsoft Edge (Legacy) se verront désactiver ces protocoles à partir du 8 septembre 2020.

Il sera toujours possible aux entreprises de les réactiver selon les besoins.

Source : Microsoft

L’équipe Exchange vient d’annoncer le report de la désactivation de l’authentification basique dans Exchange Online. Cette décision intervient avec la crise exceptionnelle du COVID-19 afin laisser la priorité à la productivité des clients. Le report est prévu jusqu’à la seconde moitié de 2021. Cette décision de report ne concerne que les anciens tenants qui utilisent encore l’authentification basique.

Dans les cas suivants, l’authentification basique sera désactivée :

• Pour les nouveaux tenants instanciés
• Pour les tenants qui n’ont pas enregistré d’usage depuis octobre 2020.

Source : Microsoft

Avec la montée en puissance du télétravail, de la mobilité, le modèle Zero Trust n’a jamais fait aussi sens ! Cette vision de sécurité part du principe qu’il ne faut avoir confiance en aucun élément de sécurité qui aurait pu être mis en place et que le principe de brèche doit être intégré dans la philosophie de l’entreprise.

Pour aider les entreprises à évaluer leur état de maturité (traditionnel, avancé, optimal) vis-à-vis du modèle, Microsoft a mis en place un outil visant à évaluer les différents aspects :

• Identités
• Périphériques
• Applications
• Infrastructure
• Donnée
• Réseau

L’entreprise peut donc juger de son niveau au travers d’un questionnaire pratique.

Vous pouvez ensuite vous référer à un livre blanc pour décrire la vision du modèle de maturité Zero Trust.

Utiliser Microsoft Zero Trust Assessment tool

Parmi les stratégies et configurations qu’il est possible de déployer avec un outil de gestion tel que Microsoft Endpoint Manager Microsoft Intune, on retrouve certaines configurations qui génèrent des redémarrages de la machine.

Ces dernières peuvent causer des problèmes dans les scénarios de déploiement avec Windows Autopilot où la machine redémarre et nécessite alors que l’utilisateur se connecte à nouveau pour continuer le processus.

La liste des configurations identifiées comme générant des redémarrages est stockée dans le registre via la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Provisioning\SyncML\RebootRequiredURIs.

On retrouve par exemple :

• Des paramétrages liés à Device Guard et Credential Guard
• Un paramétrage lié à Exploit Guard
• Des paramétrages liés au menu de démarrage
• Un paramétrage lié à la gestion des Builds en Preview
• Le paramétrage d’activation de Microsoft Defender Application Guard
• L’application d’une clé Windows afin de mettre à niveau le système

Ainsi, si vous créé une stratégie visant à configurer Windows Update for Business et même si vous ne modifiez pas le paramétrage de gestion des Builds, la stratégie comprendra le paramétrage avec une valeur par défaut (désactivé) qui génèrera le redémarrage.

Une des solutions entrevues est le déploiement de ces profils de configuration sur l’utilisateur plutôt que la machine afin qu’il s’applique à la fin du processus et ne bloque pas la page Enrollment Status Page (ESP).

[Windows 10] Une mise à jour hors cycle pour adresser un problème de connectivité internet avec des proxy et du VPN

Microsoft vient de publier une mise à jour optionnelle hors cycle permettant d’adresser un problème où les périphériques utilisant un proxy, en particulier ceux qui utilisent un VPN, peuvent présenter un état de connexion à lnternet limité ou inexistant. Cette mise à jour qui s’adresse aux versions de Windows 10 a été publiée sur le catalogue Microsoft Update et doit être déployée si vous constatez ce problème dans votre environnement :

• Windows 10, version 1909 (KB4554364)
• Windows 10, version 1903 (KB4554364)
• Windows 10, version 1809 (KB4554354)
• Windows 10, version 1803 (KB4554349)
• Windows 10, version 1709 (KB4554342)

Microsoft vient de publier la version 2.6.111.0 du client et du scanner Unified Labeling d’Azure Information Protection.

Parmi les changements sur l’Unified Labeling Client, on retrouve :

• Modification de l'ensemble de cmdlets PowerShell Set-AIPFileLabel pour permettre la suppression de la protection des fichiers PST, rar, 7zip et MSG. Cette fonction est désactivée par défaut et doit être activée à l'aide de la cmdlet Set-LabelPolicy.
• Ajout de la possibilité pour les administrateurs d'Azure Information Protection de contrôler quand les extensions .pfile sont utilisées pour les fichiers.
• Ajout du marquage visuel dynamique pour les applications et les variables. Il existe néanmoins les limitations suivantes :
  • La syntaxe des paramètres dynamiques est sensible à la casse (contrairement à la version 1)
  • Problème avec les variables dynamiques ${User.Name} et ${User.PrincipalName} qui ne seront pas appliquées.
• Des améliorations ont été apportées aux astuces personnalisables pour les labels automatiques et recommandées.
• Ajout du support de la fonction de labeling hors ligne avec les applications Office dans le client Unified Labeling.
• Amélioration de la qualité du client AIP

Parmi les nouveautés et changements sur le scanner, on retrouve :

• Disponibilité Générale de la fonctionnalité permettant d’inspecter et labéliser des documents sur des emplacements de données On-Premises
• Facilitation de la découverte de SharePoint On-Premises et des sous sites. La configuration de chaque site spécifique n'est plus nécessaire.
• Ajout d'une propriété avancée pour le dimensionnement des SQL chunks.
• Les administrateurs ont désormais la possibilité d'arrêter les analyses existantes et d'effectuer une nouvelle analyse si une modification a été apportée au label par défaut.
• Par défaut, le scanner définit désormais une télémétrie minimale pour des analyses plus rapides et une réduction de la taille des journaux et des types d'informations sont désormais mis en cache dans la base de données.
• Le scanner supporte désormais des déploiements séparés pour la base de données et le service, tandis que les droits Sysadmin ne sont nécessaires que pour le déploiement de la base de données.
• Des améliorations ont été apportées aux performances du scanner.

 
Télécharger Azure Information Protection Client

Microsoft va publier une nouvelle version de sa certification à destination des administrateurs Azure.  L’AZ-104 vient remplacer l’AZ-103: Microsoft Azure Administrator permettant de devenir Microsoft Certified: Azure Administrator Associate. L’AZ-103 est prévue pour être retirée le 31 août 2020.

Voici les différents éléments évalués en détail par l’AZ-104: Microsoft Azure Administrator :

• Manage Azure subscriptions and resources (15-20%)
• Implement and manage storage (15-20%)
• Deploy and manage virtual machines (VMs) (15-20%)
• Configure and manage virtual networks (30-35%)
• Manage identities (15-20%)

Un code de passage (AZ104WAGONER) est disponible pour les 300 premiers afin de recevoir une réduction de 80%.

Les certifications doivent être passées avant le 31 mai 2020. 

Source : https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375290

Microsoft a introduit un ensemble de nouveautés dans Microsoft Cloud App Security (MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

La version 169 introduit les changements suivants :

• De nouvelles détections pour Workday avec les détections de géolocalisation des utilisateurs suivantes :
  • Activité à partir d'adresses IP anonymes
  • Activité provenant d'un pays peu fréquent
  • Activité provenant d'adresses IP suspectes
  • Voyages impossibles
• Amélioration de la collecte de données Salesforce : Cloud App Security prend désormais en charge le journal d'événements horaire de Salesforce. Les journaux d'événements horaires vous permettent de surveiller les activités des utilisateurs de manière accélérée et en temps quasi réel.
• Support de la configuration de la sécurité AWS à l'aide d'un compte master : La connexion du compte master permet de recevoir des recommandations de sécurité pour tous les comptes de membres dans toutes les régions.
• Le contrôle des sessions de sécurité des applications Cloud inclut désormais le support de Microsoft Edge (Chromium). Bien que Microsoft continue à prendre en charge les versions les plus récentes d'Internet Explorer et l'ancienne version de Microsoft Edge, le support sera limité et l’entreprise recommande d'utiliser le nouveau navigateur Microsoft Edge.

Les versions 170 et 171 regroupe les éléments suivants :

• Preview d’une nouvelle détection d'anomalies pour AWS : Une région inhabituelle pour les ressources Cloud (Unusual region for cloud resource). La nouvelle détection est maintenant disponible par défaut et permet de vous alerter automatiquement lorsqu'une ressource est créée dans une région AWS où l'activité n'est pas normalement réalisée. Les attaquants utilisent souvent les crédits AWS d'une organisation pour mener des activités malveillantes telles que le crypto-mining. La détection de ces comportements anormaux peut aider à atténuer une attaque.
• Nouveaux modèles de stratégie d'activités pour Microsoft Teams
  • Changement de niveau d'accès (Teams) : Alertes lorsque le niveau d'accès d'un Teams passe de privé à public.
  • Ajout d'un utilisateur externe (Teams) : Alertes lorsqu'un utilisateur externe est ajouté à un Teams.
  • Suppression en masse (Teams) : Alertes lorsqu'un utilisateur supprime un grand nombre de Teams.
• Intégration avec Azure Active Directory (Azure AD) Identity Protection permettant de contrôler la gravité des alertes Azure AD Identity Protection qui sont ingérées dans Cloud App Security. De plus, si vous n'avez pas encore activé la détection de connexion Azure AD Risky, la détection sera automatiquement activée pour ingérer les alertes de haute gravité.

Plus d’informations sur : What's new with Microsoft Cloud App Security

Microsoft vient de publier une mise à jour (1.5.18.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

Cette version apporte les éléments suivants :

• Ajout du support de la fonction mS-DS-ConsistencyGuid pour les objets de groupe. Cela vous permet de déplacer des groupes entre les forêts ou de reconnecter des groupes dans AD à Azure AD lorsque l'objectID du groupe AD a changé, par exemple lorsqu'un serveur AD est reconstruit après un désastre. Pour plus d'informations, voir Déplacer des groupes entre les forêts.
• L'attribut mS-DS-ConsistencyGuid est automatiquement défini sur tous les groupes synchronisés et vous n'avez rien à faire pour activer cette fonctionnalité.
• Suppression de la cmdlet Get-ADSyncRunProfile car elle n'est plus utilisée.
• Modification de l'avertissement que vous voyez lorsque vous essayez d'utiliser un compte Enterprise Admin ou Domain Admin pour le compte connecteur AD DS afin de fournir plus de contexte.
• Ajout d'une nouvelle cmdlet pour supprimer des objets de l'espace connecteur ; l'ancien outil CSDelete.exe est supprimé et remplacé par la nouvelle cmdlet Remove-ADSyncCSObject. La cmdlet Remove-ADSyncCSObject prend un CsObject en entrée. Cet objet peut être récupéré en utilisant la cmdlet Get-ADSyncCSObject.

Elle corrige les bugs suivants :

• Correction d'un buge dans le sélecteur de groupe writeback forest/OU lors de la relance de l'assistant Azure AD Connect après avoir désactivé la fonction.
• Introduction d'une nouvelle page d'erreur qui s'affichera si les valeurs requises du registre DCOM sont manquantes avec un nouveau lien d'aide. Des informations sont également écrites dans les journaux.
• Correction d'un problème avec la création du compte de synchronisation Azure Active Directory où l'activation des extensions de répertoire ou du PHS pouvant échouer parce que le compte ne s'est pas propagé à travers tous les réplicas de service avant la tentative d'utilisation.
• Correction d'un bug dans l'utilitaire de compression des erreurs de synchronisation qui ne gérait pas correctement les caractères de substitution.
• Correction d'un bug dans la mise à niveau automatique qui laissait le serveur dans l'état en suspend du scheduler.

Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#15180

Télécharger Microsoft Azure Active Directory Connect

Comme beaucoup d’entreprises qui adaptent leurs programmes (SNCF Fidélité, Air France, etc.) suite à cette situation exceptionnelle du COVID-19, Microsoft vient de réaliser une adaptation du programme de certification et de formation. Parmi les annonces, on retrouve

• Fermeture des centres de tests de Paerson VUE
• Augmentation des capacités permettant de la réalisation d’examens surveillés en ligne
• Suppression temporaire des frais d’annulation et de replanification. Il n'y aura pas de frais si vous reportez ou annulez au moins 24 heures avant votre rendez-vous, au lieu du délai de six jours auparavant.
• Extension des dates de retrait des certifications MCSA, MCSD, MCSE du 30 juin 2020 au 31 Janvier 2021.
• Extension des offres de réduction/discount et des dates des vouchers qui devaient expirées entre le 26 mars et le 31 août 2020 jusqu’au 31 janvier 2021.
• Microsoft recommande l’utilisation de Microsoft Learn pour la formation.

Source : https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375289

Comme pour beaucoup de service, Microsoft a mis en suspend la promotion de la prochaine monture (Version 81) de Microsoft Edge Chromium sur le canal stable. Il en est de même pour Google Chrome. Microsoft veut minimiser l’impact sur les entreprises et les développeurs Web. La version 80 va continuer de recevoir des mises à jour de sécurité et de stabilité. Les canaux de préversion (Canary, Dev, Beta) vont continuer de recevoir des mises à jour comme attendu.

Source : Microsoft

L’équipe Windows a annoncé que Microsoft mettrait en pause à partir de mai 2020, toutes les mises à jour optionnelles ne traitant pas de la sécurité (Mise à jour C et D) pour toutes les versions de Windows et Windows Server supportées. Cette décision intervient avec la crise exceptionnelle du COVID-19 afin laisser la priorité à la sécurité et au maintien de la protection et de la productivité des clients.

Source : Microsoft

Microsoft vient de mettre à disposition en Early Wave, la version finale (5.00.8968.1000) de Microsoft EndPoint Manager Configuration Manager 2002. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1806 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 1806.

Microsoft Endpoint Manager Configuration Manager 2002 comprend les nouveautés suivantes : 

Administration

• Si vous disposez d’une hiérarchie avec un CAS, vous pouvez maintenant supprimer ce CAS afin de simplifier la hiérarchie et la complexité liée à la réplication intersites. Ce mécanisme doit pour l’instant être réalisé avec l’aide du support Microsoft.
• De nouvelles règles Management Insights sont disponible sous le groupe Configuration Manager Assessment avec notamment :
  • Réduire le nombre d’applications et de packages sur les points de distribution. Le nombre supporté peut aller jusqu’à 10 000 packages et applications.
  • Mettre à jour tous les sites d’une hiérarchie avec la même version. Ceci permet d’identifier les hiérarchies dans un mode d’interopérabilité.
  • La découverte par pulsation d’inventaire (Heartbeat) est désactivée.
  • Des requêtes de collection à temps d’exécution long sont activées avec la mise à jour incrémentielle. Cette règle révèle les collections qui ont un temps de mise à jour incrémentiel supérieur à 30 secondes.
  • Problèmes d’installation des sites secondaires révèlent les sites secondaires avec un état de mise à niveau bloqué à Pending ou Failed.
  • La découverte de système Active Directory est configurée pour s’exécuter trop fréquemment (toutes les 3 heures).
  • La découverte de groupe de sécurité Active Directory est configurée pour s’exécuter trop fréquemment (toutes les 3 heures).
  • La découverte d’utilisateur Active Directory est configurée pour s’exécuter trop fréquemment (toutes les 3 heures).
  • Les collections limitées à All Systems et All Users. Configuration Manager met à jour l'appartenance de ces collections avec les données des méthodes de découverte Active Directory. Ces données peuvent ne pas être valides pour les clients Configuration Manager
• De nouvelles règles Management Insights sont disponible sous le groupe Cloud Services avec notamment :
  • Les sites n’ont pas la configuration HTTPS adéquates
  • Les périphériques ne sont pas uploadés sur Azure AD
• Amélioration de l’Administration Service afin de ne plus demander d’activer la fonctionnalité Enhanced HTTP ou d’utiliser un certificat au niveau du rôle IIS du SMS Provider. A partir de maintenant, le service d’administration utilise automatiquement le certificat autosigné du site.
• Support du proxy pour la synchronisation des groupes et la découverte Azure AD
• Vous pouvez initier la collection des journaux (logs) d’un client vers le serveur de site depuis les actions de notification dans la console d’administration. Les journaux sont ensuite consultables depuis l’explorateur de ressources (Resource Explorer) via le nœud Diagnostic Files.
• Il est possible d’exécuter une action de notification cliente à distance depuis le CAS afin de réveiller des périphériques. Cette action n’était disponible qu’à partir du site primaire.
• Ajout de la plateforme All Windows 10 (ARM64) à la liste des conditions et prérequis (pour les applications, les baselines, les objets de configuration, etc.). L’option est sous le groupe de plateformes Windows 10. L’option n’est pas présélectionnée pour les objets existants.
• OneTrace supporte maintenant des groupes de journalisation personnalisables comme dans Support Center. Ceci permet d’ouvrir tous les fichiers de journalisation dans un seul scénario (Application Management, Compliance Settings, Software Updates). Pour rappel, OneTrace est une nouvelle visionneuse de journaux. L’outil fonctionne de manière similaire à CMTrace en supportant les logs ConfigMgr, les messages d’état, et les logs Windows Update.
• L'outil d'extension et de migration des sites On-Premises vers Microsoft Azure prend désormais en charge le provisionnement de plusieurs rôles de système de site sur une seule machine virtuelle Azure. Vous pouvez ajouter des rôles de système de site après le déploiement initial de la machine virtuelle Azure.

Gestion attachée au Cloud (Cloud-attached Management)

• La gestion attachée au Cloud est une nouvelle fonctionnalité qui permet de connecter l’infrastructure Microsoft Endpoint Manager à Microsoft Intune afin de pouvoir remonter des informations et de lancer des actions à partir d’un portail unique celui de Microsoft Endpoint Manager/Microsoft Intune.

• Le serveur de site lève des messages d’état critique (ID 11488) si le serveur de site n’arrive pas à se connecter aux points de terminaison requis pour les services Cloud.
• La Cloud Management Gateway (CMG) supporte maintenant l’authentification basée sur des tokens (jetons). Ce nouveau mode d’authentification vient compléter celui proposé au travers des certificats, de l’authentification via la jointure à Azure AD. Il permet de couvrir des machines qui sont sur Internet et ne se connectent pas fréquemment au réseau Internet.
• La charge de travail Client Apps (précédemment Mobile Apps) du Co-Management sort de sa phase de Preview

Desktop Analytics

• Le tableau d’état de santé des connexions de Desktop Analytics affiche maintenant les problèmes de connexion client avec notamment deux aspects :
  • La vérification de la connectivité des points de terminaison : Si un client ne peut atteindre ces points de terminaison, vous voyez un alerte dans le tableau de bord ; ce qui peut vous permettre d’identifier les problèmes de configuration de proxy
  • L’état de connectivité : Si vous utilisez un proxy, Configuration Manager affiche les problèmes d’authentification proxy des clients.

Inventaire et Reporting

• Vous pouvez maintenant intégrer Power BI Report Server avec le composant de reporting. Ceci permet d’avoir accès à des visualisations modernes et de meilleures performances.
• Microsoft facilite la navigation entre les entités CMPivot en permettant la recherche de propriétés.

Gestion du contenu

• Dans le cadre de l’utilisation de PeerCache, il devient possible de spécifier des sous-réseaux à exclure de la liste des sources fournie aux clients qui souhaitent récupérer du contenu.
• Support du Proxy pour Microsoft Connected Cache, le serveur relais de Delivery Optimization.

Gestion des Applications

• Le tableau de bord de gestion de Microsoft Edge (présent dans l’espace Software Library) fournit des éléments sur l’usage de Microsoft Edge et des autres navigateurs en permettant de :
  • Voir combien de périphériques ont Microsoft Edge installé.
  • Voir combien de clients ont des versions différentes de Microsoft Edge installées
  • Avoir une vue des navigateurs installés sur les périphériques
  • Avoir une vue des navigateurs préférés par périphérique
• Il est maintenant possible de créer une application Microsoft Edge qui se voit automatiquement mise à jour avec les nouvelles versions. Ceci permet de s’assurer que vous déployez toujours la dernière version sans avoir à passer par le système de gestion des mises à jour logicielles.
• Vous pouvez maintenant installer des applications complexes en utilisant les séquences de tâches via le modèle d’application. Ceci signifie que vous pouvez ajouter un type de déploiement de type séquence de tâches sur une application pour l’installation ou la désinstallation. Ceci permet de pouvoir faire afficher une icône et de mettre des métadonnées additionnelles sur une séquence de tâches qui ne le permettait pas en temps normal

Mises à jour logicielles

• Microsoft a complétement revu la fonction Server Group qui permettait d’orchestrer l’installation des mises à jour logicielles. Cette dernière est renommée Orchestration Groups et permet d’offrir un meilleur contrôle sur le déploiement des mises à jour logicielles. Vous pouvez donc créer des collections qui définissent la façon dont les mises à jour logicielles doivent s’installer en fonction d’un pourcentage de disponibilité, d’un nombre de machines ou d’un ordre spécifique. La fonction vous permet d’exécuter des scripts de pré déploiement et de post installation. La création du groupe d’orchestration se fait depuis Assets and Compliance – Orchestration Group.
• Configuration Manager détecte maintenant si une mise à jour de la pile de maintenance (Servicing Stack Update) fait partie d'une installation de plusieurs mises à jour. Lorsqu'un SSU est détecté, il est d'abord installé. Après l'installation du SSU, un cycle d'évaluation des mises à jour logicielles s'exécute pour installer les mises à jour restantes. Ce changement permet d'installer une mise à jour cumulative dépendante après la mise à jour de la pile de maintenance. L'appareil n'a pas besoin de redémarrer entre l’installation, et vous n'avez pas besoin de créer une fenêtre de maintenance supplémentaire. Les SSU ne sont installés en premier que pour les installations initiées par des non-utilisateurs. Par exemple, si un utilisateur lance une installation pour plusieurs mises à jour à partir du Software Center, le SSU pourrait ne pas être installé en premier.
• Vous pouvez utiliser un nouvel outil pour importer les mises à jour d'Office 365 à partir d'un serveur WSUS connecté à Internet dans un environnement Configuration Manager déconnecté. Auparavant, lorsque vous exportiez et importiez des métadonnées pour des logiciels mis à jour dans des environnements déconnectés, vous ne pouviez pas déployer les mises à jour d'Office 365. Les mises à jour d'Office 365 nécessitent des métadonnées supplémentaires téléchargées à partir d'une API Office et du CDN Office, ce qui n'est pas possible pour les environnements déconnectés.

Déploiement de systèmes d’exploitation

• Vous pouvez lancer une séquence de tâches immédiatement après l’enregistrement du client en ajoutant le paramètre de ligne de commande /PROVISIONTS <ID de la Séquence de tâches>. Cette fonctionnalité permet notamment d’améliorer les scénarios de personnalisation réalisés avec Windows Autopilot après l’installation du client SCCM par Microsoft Intune.
• Amélioration de l’étape de vérification des prérequis (Check Readiness) avec l’ajout des propriétés suivantes :
  • Architecture de l'OS actuel
  • Version minimale du système d'exploitation
  • Version maximale du système d'exploitation
  • Version minimale du client
  • Langue du système d'exploitation actuel
  • Alimentation électrique branchée
  • L'adaptateur réseau est connecté et non pas le WiFi
• Amélioration de fenêtre de progression de la séquence de tâches pour :
  • Permettre l’affichage du nombre total d’étape, le numéro de l’étape courante et le pourcentage de progression
  • Augmenter la taille de la fenêtre pour donner plus d’espace et mieux voir le nom de l’entreprise sur une seule ligne.
• Les améliorations générales suivantes sur le déploiement de système d’exploitation :
  • L'environnement de la séquence de tâches comprend une nouvelle variable en lecture seule, _TSSecureBoot. Cette variable permet déterminer l'état de démarrage sécurisé (SecureBoot) sur un périphérique compatible UEFI.
  • Définissez les variables de séquence de tâches SMSTSRunCommandLineAsUser et SMSTSRunPowerShellAsUser pour configurer le contexte utilisateur pour les tâches Run Command Line et Run PowerShell Script.
  • Sur la tâche Run PowerShell Script, vous pouvez maintenant définir la propriété Paramètres sur une variable.
  • Le PXE responder envoie désormais des messages d'état au serveur du site. Ce changement permet de faciliter le dépannage des déploiements de systèmes d'exploitation qui utilisent ce service.

Protection

• Extension de l’onboarding des machines dans Microsoft Defender Advanced Threat Protection pour supporter les nouveaux systèmes suivants : Windows 7 SP1, Windows 8.1, Windows Server 2008 R2 SP1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2016, version 1803, et Windows Server 2019.
• Amélioration de la gestion de BitLocker :
  • La stratégie de gestion de BitLocker comprend désormais des paramètres supplémentaires, notamment des stratégies pour les lecteurs fixes et amovibles.
  • Avec Configuration Manager 1910, vous deviez activer le protocole HTTPS sur un Management Point. La connexion HTTPS est nécessaire pour chiffrer les clés de restauration en transit sur le réseau. À partir de cette version, l'exigence HTTPS concerne le site web d'IIS qui héberge le service de récupération, et non l'ensemble des rôles Management Point. Ce changement assouplit les exigences en matière de certificat, tout en continuant à chiffrer les clés de récupération en transit.

Gestion des paramétrages et de la conformité

• Une option "Track remediation history when supported" permet de générer des messages d’état pour toutes les remédiations initiées sur les clients.E

Console Configuration Manager

• Afin de vous aider à dépanner les problèmes liés à des groupes de limites, Microsoft vous permet d’ajouter une colonne Boundary Group(s) à la vue des périphériques et des collections dans la console d’administration. Si une machine est dans plus d’un groupe de limites, ils sont tous affichés séparés par des points virgules. L’information est mise à jour à chaque demande de contenu ou au maximum toutes les 24 heures. Si un périphérique n’est dans aucun Boundary Group, alors la colonne n’a pas de valeur.

• Comme dans les versions précédentes, vous pouvez maintenant utiliser l'option de recherche Tous les sous-dossiers (All Subfolders) à partir des nœuds Configuration Items et Configuration Baselines.
• Vous pouvez désormais choisir de joindre des fichiers de journalisation et de diagnostic lorsque vous utilisez la fonction Send a Frown dans la console. Ces informations supplémentaires peuvent aider Microsoft à déterminer plus rapidement la cause du problème. Les fichiers inclus avec les commentaires sont transmis et stockés à l'aide de Microsoft Error Reporting (également connu sous le nom de Windows Error Reporting).
• Lorsque vous envoyez retour, un message d’état est créé lorsque le retour d'information est soumis. Cette amélioration permet d'enregistrer les informations sur quand, qui, le statut et l’identifiant de la soumission. Un message d’état avec un identifiant 53900 est une soumission réussie et 53901 est une soumission échouée.

Plus d’informations sur cette version : What’s new in version 2002

Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

Pour télécharger cette version en Early Wave, vous devez utiliser le script PowerShell

Microsoft vient de mettre à disposition la Technical Preview 2003 (5.0.8974.1000) de Microsoft Endpoint Manager Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2003 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 2003 comprend les nouveautés suivantes :

Administration

• Afin de vous aider à dépanner les problèmes liés à des groupes de limites, Microsoft vous permet d’ajouter une colonne Boundary Group(s) à la vue des périphériques et des collections dans la console d’administration. Si une machine est dans plus d’un groupe de limites, ils sont tous affichés séparés par des points virgules. L’information est mise à jour à chaque demande de contenu ou au maximum toutes les 24 heures. Si un périphérique n’est dans aucun Boundary Group, alors la colonne n’a pas de valeur.

• Microsoft a publié un nouvel assistant de retour sur le produit permettant d’améliorer l’expérience en donnant une description, en sélectionnant des catégories de problèmes, incluant des astuces pour faire un retour utile, permettant d’attacher des fichiers et affichant une page avec l’identifiant de transaction.

• Dans la TP2001.2, Microsoft a introduit un nouveau message de statut, qui donne des détails sur les retours envoyés. Cette Technical Preview offre une requête Feedback sent to Microsoft permettant de résumer ces messages d’état.
  Note : Vous devez exécuter une requête spécifique si vous avez mis à jour la TP depuis une version précédente.

Cloud and Tenant-Attach

• Vous pouvez maintenant déployer des stratégies d’onboarding à Microsoft Defender ATP sur des clients ConfigMgr sans avoir besoin qu’ils soient enregistrés dans Azure AD ou Microsoft Intune. Vous pouvez créer une stratégie ciblant une collection plutôt que des groupes Azure Active Directory directement depuis le portail Endpoint Manager/Microsoft Intune.

Inventaires et Reporting

• Le tableau de bord de gestion de Microsoft Edge offre un nouveau diagramme permettant de suivre l’usage des différents navigateurs sur le périphérique sur les 7 dernières jours. Vous devez pour cela activer la classe d’inventaire SMS_BrowserUsage.

• CMPivot peut être exécuté sur un appareil individuel. Ce changement facilite la création de requêtes CMPivot pour un périphérique par des techniciens du service informatique.

Configuration et Conformité

• Une option "Track remediation history when supported" permet de générer des messages d’état pour toutes les remédiations initiées sur les clients.

Déploiement de système d’exploitation

• La tâche Check Readiness comprend maintenant une vérification « Computer is in UEFI mode» pour déterminer si l'appareil utilise l'UEFI. Elle comprend également une nouvelle variable de séquence de tâches, _TS_CRUEFI en lecture seule avec les valeurs suivantes : 0 : BIOS et 1 : UEFI
• Si vous activez la fenêtre de progression de la séquence de tâches pour afficher des informations plus détaillées sur la progression, elle ne compte plus les étapes activées dans un groupe désactivé. Ce changement permet de rendre l'estimation de la progression plus précise.
• Certaines entreprises construisent des interfaces de séquences de tâches personnalisées en utilisant la méthode IProgressUI::ShowMessage, mais elle ne renvoie pas de valeur pour la réponse de l'utilisateur. Sur la base des retours UserVoice, cette version ajoute la méthode IProgressUI::ShowMessageEx. Cette nouvelle méthode est similaire à la méthode existante, mais comprend également une nouvelle variable de résultat entière, pResult. La valeur de cette variable est une valeur de retour standard de la boîte de message Windows.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-2003

Aujourd’hui je souhaitais revenir sur un cas d’erreur spécifique que vous pouvez rencontrer lors de l’enregistrement automatique dans Microsoft Intune d’une machine Windows 10. Ceci peut notamment survenir lorsque la machine a été Hybrid Azure AD jointe et qu’ensuite vous utilisez la stratégie de groupe ou le Co-Management pour réaliser l’enregistrement automatique.

En naviguant dans le journal d’événements et dans l’arborescence Application and Services Logs – Microsoft – Windows – DeviceManagement-Enterprise-Diagnostics-Provider puis dans le journal Admin, vous observez l’événement 76 avec le code d’erreur 0x80180026.

Vous devez vérifier que :

• La configuration Hybrid Azure AD Join
• La machine a bien récupéré l’AzureADPRT nécessaire à l’enregistrement via la commande dsregcmd /status
• La configuration de Microsoft Intune est correcte :
  • Enregistrement de machine Windows autorisée
  • Enregistrement DNS correctement créé
  • Autorisation de l’enregistrement sur l’application Microsoft Intune au niveau d’Azure AD

Cette erreur peut trouver de nombreuses raisons plus ou moins bien documentées parmi lesquelles :

• Un conflit entre le paramètre d’enregistrement automatique lié au Co-Management de Microsoft Endpoint Manager Configuration Manager et Microsoft Intune et la stratégie de groupe. La GPO (Disable MDM Enrollment) peut interdire l’enregistrement automatique dans Microsoft Intune alors que MEM CM l’impose.
• Le périphérique est géré par une solution MDM tierce ou par le client Intune traditionnel/hérité.
• Une licence Microsoft Intune ou EMS ou Microsoft 365 n’est pas associée à l’utilisateur connecté.
• L’utilisateur a atteint la limite du nombre de périphérique Azure Active Directory et/ou Microsoft Intune.

C’est cette dernière cause qui a causé le problème dans mon cas, vous devez donc :

• Soit nettoyer/supprimer des enregistrements Azure AD ou Microsoft Intune associés à l’utilisateur
• Soit utiliser un autre compte utilisateur pour réaliser cet enregistrement
• Soit augmenter la limite du nombre de périphériques enregistrable par utilisateur sur Azure AD et Microsoft Intune

Microsoft planifie une maintenance pour Microsoft Intune avec une période d’indisponibilité pour certains comptes. Lors de cette maintenance, Microsoft réalisera des améliorations afin d'incorporer la résilience à la récupération en cas de désastre dans les infrastructures. Il s'agit d'un pas vers une plus grande résilience d'Intune face aux pannes d'un seul datacenter. Il y a une action requise de votre part en ce moment, pour s'assurer que le service Intune continue à fonctionner comme prévu après la maintenance.

Cette indisponibilité va impacter :

• Le portail Intune dans Azure, le portail Endpoint Manager
• Le centre d’administration de gestion des périphérique Microsoft 365
• Le portail Intune pour Education

Pendant cette période d'inactivité, vous pourrez vous connecter à ces portails, mais vous ne pourrez pas effectuer de changements. Microsoft recommande de ne pas se connecter à Intune pendant cette période d'inactivité, car les données et les rapports risquent de ne pas s'afficher correctement. Les services, par exemple l'enregistrement des appareils, l'inscription et l'installation d'applications ne seront pas disponibles dans la console. Les utilisateurs finaux ne pourront pas accéder au portail de l'entreprise ni enregistrer leur appareil pendant cette période. Vous ne devez pas prévoir d'effectuer des mises à jour ou des modifications pendant cette fenêtre de maintenance. Pensez donc à vos scripts !

Si vous avez configuré des règles de pare-feu, elles devront être modifiées pour inclure la nouvelle adresse IP, avant la période d'indisponibilité.

Vous pouvez retrouver les nouvelles adresses IP sur : https://docs.microsoft.com/intune/intune-endpoints

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Mars 2020.

Microsoft apporte les nouveautés suivantes :

• À partir de maintenant, les clients qui ont des tenant gratuits peuvent accéder aux journaux de connexion du portail Azure AD pendant 7 jours maximum. Auparavant, les journaux de connexion n'étaient disponibles que pour les clients possédant des licences Azure Active Directory Premium.

• Disponibilité d’Azure AD B2B Collaboration dans Microsoft Azure opéré par 21Vianet (Azure China) et Azure Government.
• Le service de provisionnement Azure AD offre un ensemble de capacités de configuration. Les entreprises peuvent enregistrer leur configuration afin de pouvoir s'y référer ultérieurement ou revenir à une bonne version connue. Microsoft a ajouté la possibilité de télécharger ou d’uploader la configuration de provisionnement sous la forme d'un fichier JSON.
• Azure Monitor pour Azure Logs est maintenant disponible dans Azure Government. Vous pouvez acheminer les journaux AD Azure (journaux d'audit et de connexion) vers un compte de stockage, un Event Hub et un Log Analytics.

On retrouve les modifications de service suivantes :

• Pour garantir la fiabilité d’Azure AD, les mots de passe des utilisateurs sont désormais limités à 256 caractères. Les utilisateurs dont le mot de passe est plus long seront invités à le modifier lors de leur prochaine connexion, soit en contactant leur administrateur, soit en utilisant la fonction de réinitialisation du mot de passe en libre-service.

• Provisionnement d’applications : Historiquement, les utilisateurs ayant le rôle d'accès par défaut n'ont pas la possibilité d'être provisionnés. Microsoft a pris en compte les retours des commentaires selon lesquels les entreprises souhaitent que les utilisateurs ayant ce rôle soient inclus dans le provisionnement. Progressivement, Microsoft modifiera le comportement des configurations de provisionnement existantes afin de permettre aux utilisateurs ayant ce rôle de provisionner.
• Redesign des emails d’invitation pour Azure AD B2B Collaboration.
• Microsoft a corrigé un bug où les modifications apportées à la politique de HomeRealmDiscovery n'étaient pas incluses dans les journaux d'audit. Vous pourrez désormais voir quand et comment la politique a été modifiée, et par qui.
• Rafraichissement d’Azure AD Identity Protection dans Azure Government pour s’aligner sur el Cloud Public.
• Auparavant, dans Microsoft Azure exploité par 21Vianet (Azure China 21Vianet), les administrateurs utilisant la réinitialisation des mots de passe en libre-service (SSPR) pour réinitialiser leurs propres mots de passe n'avaient besoin que d'une seule méthode (challenge) pour prouver leur identité. Dans les Cloud Public, les administrateurs doivent généralement utiliser deux méthodes (SMS, Appel, Application Authenticator) pour prouver leur identité lorsqu'ils utilisent le SSPR.

Plus d’informations sur : What’s new Azure AD

Azure ATP étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.111 apporte des améliorations et des corrections de bugs sur les capteurs.

• La version 2.112 intègre les changements suivants :
  • Les nouvelles instances Azure ATP s’intègrent automatiquement avec Microsoft Cloud App Security par défaut.
  • De nouvelles activités sont supervisées :
    • La connexion interactive avec un certificat
    • La connexion en échec avec un certificat
    • L’accès aux ressources déléguées (Delegated Resource Access)
  • Azure ATP fournit maintenant des informations sur les activités d'accès aux ressources, montrant si la ressource est fiable pour une délégation sans contrainte.

Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

Tout comme Microsoft Defender Application Guard, Microsoft Defender Credential Guard tire ses bénéfices de l’approche d'isolation matérielle en contenerisant le processus d’authentification LSASS dans un conteneur. Ceci permet d’éviter qu’un hacker vole les identifiants d’une machine en dumpant par exemple le processus d’authentification qui stocke les identifiants NTLM ou Kerberos.

Credential Guard empêche les attaquants de récupérer les informations d'identification stockées dans LSASS en exécutant LSASS dans un conteneur virtualisé auquel même un utilisateur ayant des privilèges SYSTEM ne peut accéder. Le système crée alors un processus proxy appelé LSAIso (LSA Isolated) pour communiquer avec le processus LSASS virtualisé.

Sous Windows 10, l'autorité locale de sécurité (LSA) est responsable de la validation des utilisateurs lorsqu'ils se connectent. Lorsque Credential Guard est activé, Windows 10 stocke les informations d'identification dans une un processus LSA isolée, qui ne contient que les binaires sécurisés signés, certifiés et basés sur la virtualisation dont il a besoin pour conserver ces informations d'identification en toute sécurité. e LSA isolé communique avec le LSA régulier par des appels de procédure à distance et valide chaque binaire avant de lancer un fichier dans la zone protégée.

Note : La technologie Microsoft Defender Credential Guard ne permet néanmoins pas de se prémunir des vols d’identifiants suivants :

• Un keylogger fonctionnant sur le système pour capturer tous les mots de passe saisis.
• Un utilisateur disposant de privilèges d'administrateur peut installer un nouveau fournisseur de support de sécurité (SSP). Le nouveau SSP ne pourra pas accéder aux hachages de mots de passe stockés, mais pourra capturer tous les mots de passe une fois le SSP installé.
• Extraire les informations d'identification stockées d'une autre source, comme c'est le cas dans l'attaque "Internal Monologue".

Prérequis de Microsoft Defender Credential Guard

Les prérequis suivants s’appliquent pour exécuter Microsoft Defender Credential Guard :

• Machine équipée de Windows 10 Enterprise
• Processeur
  • Processeur 64-bits (Processeur plus récent que la gamme Haswell)
  • Les Extensions de virtualisation CPU : VT-x (Intel) ou AMD-V avec Second Level Address Translation (SLAT)
• Puce TPM 1.2 ou 2.0
• Optionnel : Input/Output Memory Management Unit (IOMMU) est recommandé
• Firmware :
  • UEFI 2.3.1
  • Secure Boot
  • Secure MOR (Optionnel)
  • SMM Protection (Optionnel)
  • Boot Integrity (Optionnel)

Configuration de Microsoft Defender Credential Guard avec Microsoft Intune

Cette sous-partie traite de la configuration de Microsoft Defender Credential Guard. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Configuration de l’appareil – Profils.

Procédez à la création du profil que vous nommerez selon la convention de nommage de l'entreprise (par exemple : Windows 10 – Configuration Microsoft Defender Credential Guard). Sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil puis la catégorie de paramètrage Microsoft Defender Credential Guard.

Dans le paramétrage Credential Guard, sélectionnez Enable with UEFI lock :

Cliquez sur OK à deux reprises puis Créer.

Lorsque la stratégie a été créé, vous devez ensuite affecter ce profil au groupe de périphérique Windows 10 souhaité (par exemple : Intune-Périphériques Windows 10 Entreprise)

Le profil est maintenant déployé sur les machines Windows 10 afin de configurer Microsoft Defender Credential Guard.

Validation de Microsoft Defender Credential Guard

Il existe un certain nombre d’éléments qui peuvent être vérifiés pour valider que Microsoft Defender Credential Guard est fonctionnel :

• Microsoft fournit un script permettant de valider les prérequis matériels et logiciels nécessaires à l’exécution de l’outil
• L’application System Information donne des propriétés qui sont representatives de la configuration de Microsoft Defender Credential Guard.
• L’exécution du processus Lsalso.exe

Note: Il est possible de vérifier par une tentative de cracking du processus lsass.exe. La technique revient à faire un dump et de tenter d’extraire les identifiants qui ont été utilisés.

Validation de la configuration avec l'outil de dépannage de Microsoft

Si une machine a des problèmes pour activer Microsoft Defender Credential Guard ou pour évaluer sa configuration vis-à-vis de cette fonctionnalité, Microsoft a publié un outil appelé : Device Guard and Credential Guard hardware readiness tool

 Récupérez l’outil et dezippez le script. Procédez à l’exécution du script PowerSHell pour évaluer Credential Guard avec la commande : DG_Readiness.ps1 –Capable –CG

L’outil valide les éléments suivants :

• Le Secure Boot est configuré
• L’architecture du système (Edition 64-bits)
• L’édition du système (Edition Entreprise ou Education requise)
• La virtualisation doit être activée dans le BIOS
• Une puce TPM doit être présente et la version doit être 1.2 ou 2.0
• Le Secure MOR doit être disponible
• L’état du NX Protector (Fonctionnalité de l’UEFI qui permet d’augmenter la sécurité)
• L’état du SMM Mitigation (Fonctionnalité de l’UEFI qui permet d’augmenter la sécurité)

Le résultatl de l’exécution montre par exemple que le poste de travail utilisé n’a pas la bonne édition de Windows 10

Validation de la configuration avec System Information

Pour valider l’état de configuration de Credential Guard, vous pouvez utiliser l’applet System Information/Information Système.

Vous retrouverez 4 champs importants à la fin de la liste du nœud résumé système :

• Sécurité basée sur la virtualisationdoit être En cours d’exécution.
• Propriétés de sécurité requise pour la sécurité basée sur la virtualisation doit comporter la valeur Prise en charge de la virtualisation de base.
• Propriétés de sécurité disponibles pour la sécurité basée sur la virtualisation doit comporter la valeur Prise en charge de la virtualisation de base.
• Services configurés pur la sécurité basée sur la virtualisationdoit comprendre Credential Guard.
• Services en cours d’exécution pur la sécurité basée sur la virtualisation doit comprendre Credential Guard.

Validation par la présence du processus

Outre les éléments vus précédemment, il est possible de valider la présence du processus Lsalso.exe representant l’instance contenerisée du processus Lsass.exe. Pour ce faire, vous pouvez vérifier avec le gestionnaire de tâches :

Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Les données de compatibilité Windows classent certaines applications et certains pilotes avec un statut de précaution ou de garde-fou, ce qui peut entraîner l'échec de la mise à jour vers Windows 10 ou un retour en arrière. Desktop Analytics peut désormais vous aider à identifier ces garde-fous à l'avance, afin que vous puissiez y remédier avant de déployer la mise à jour.
• Vous pouvez désormais connecter plusieurs hiérarchies Configuration Manager (sous réserve d’utiliser la version 1910 ou plus) à un seul tenant d'Azure Active Directory avec un seul identifiant commercial pour l'analyse des postes de travail. Le portail permet de classer les appareils de différentes hiérarchies et d'améliorer l'expérience des pilotes et des plans de déploiement à l'échelle globale.
  • Lorsque vous configurez votre pilote global, si vous incluez des collections qui contiennent plus de 20 % du total de vos périphériques inscrits, le portail affiche un avertissement.
  • Lorsque vous créez un plan de déploiement, si vous sélectionnez des collections pour plusieurs hiérarchies, le portail affiche un avertissement.

Un détail de ces fonctionnalités sur : https://techcommunity.microsoft.com/t5/desktop-analytics-blog/desktop-analytics-gets-better-and-smarter-this-march/ba-p/1239648

Plus d’informations sur : What’s new in Desktop Analytics

Microsoft Defender Application Guard est conçu pour aider à prévenir les attaques anciennes et nouvelles passant par le navigateur ou la suite bureautique Office afin de maintenir la productivité des utilisateurs. En utilisant l’approche d'isolation matérielle, le but est de rendre obsolètes les méthodes utilisées par les attaquants.

Si un employé se rend sur un site non fiable via Microsoft Edge ou Internet Explorer, Microsoft Edge ouvre le site dans un conteneur Hyper-V isolé, qui est séparé du système d'exploitation hôte. Cette isolation de conteneur signifie que si le site non fiable s'avère malveillant, le PC hôte est protégé et l'attaquant ne peut pas accéder aux données de l’entreprise. Par exemple, cette approche rend le conteneur isolé anonyme, de sorte qu'un attaquant ne peut pas accéder aux informations d'identification de l'entreprise.

Il en va de même pour les documents non connus ou non ouverts à partir d'emplacements de confiance (internet, emplacements dangereux ou pièces jointes Outlook), ces derniers sont ouverts dans une instance d'Office située dans un conteneur Hyper-V , qui est séparé du système d'exploitation hôte.

Ensuite les actions de partage entre le conteneur virtuel et l’hôte sont gérés en fonction des paramétres définis par l’entreprise (Accès aux imprimantes, Accès au système de fichiers, Copier/Coller, etc.)

Prérequis de Microsoft Defender Application Guard

Les prérequis suivants s’appliquent pour exécuter Microsoft Defender Application Guard :

• Machine équipée de Windows 10 Pro/Enterprise
• Processeur
  • 64-bits
  • un minimum de 4 cœurs pour permettre l’utilisation de l’hyperviseur et Virtualization Based Security (VBS)
  • Les Extensions de virtualisation CPU : VT-x (Intel) ou AMD-V avec Second Level Address Translation (SLAT)
• Mémoire : 8 GB de RAM minimum
• Disque :
  • 5 GB d’espace disque disponible
  • Disque SSD recommandé
• Optionnel : Input/Output Memory Management Unit (IOMMU) est recommandé

Note : Microsoft Defender Application Guard n'est pas supporté sur les VMs et les environnements VDI.

Pour Office ProPlus, les prérequis supplémentaires :

• Le client Office 365 ProPlus doit être installé sur la machine
• L'utilisateur connecté à Office doit être titulaire d'une licence Microsoft 365 E5 ou Microsoft 365 E5 Security

Configuration de Microsoft Defender Application Guard avec Microsoft Intune

Cette sous-partie traite de la configuration de Microsoft Defender Application Guard avec Microsoft Intune. La configuration se fait en deux parties :

• Configuration de la stratégie d’activation et de paramétrage du service
• Configuration de la stratégie définissant les sites Internet d’entreprise (Limites réseau)

Activation et configuration de Microsoft Defender Application Guard

Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Configuration de l’appareil – Profils.

Procédez à la création du profil que vous nommerez selon la convention de nommage de l'entreprise (par exemple : Windows 10 – Configuration Microsoft Defender Application Guard). Sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil puis la catégorie de paramètrage Microsoft Defender Application Guard.

Dans le paramétrage Credential Guard :

• Passez Application Guard à Enabled for Edge ou Enabled for Office
  
• Choisissez le comportement du presse papier pour:
  • Autoriser le copier/coller depuis l’hôte vers le navigateur uniquement
  • Autoriser le copier/coller depuis le navigateur vers l’hôte uniquement
  • Autoriser le copier/coller entre le PC et le navigateur
  • Bloquer le copier/coller entre le PC et le navigateur
• Choisissez le type de contenu qui peut être copié dans le presse papier (Texte et/ou Images)
• Bloquer le contenu provenant de sites web non approuvés sur les sites d’entreprise sur l’instance de Microsoft Edge qui n’est pas protégée par Microsoft Defender Application Guard.
• Autoriser l’impression depuis le navigateur virtuel en precisant quelles sont les imprimantes aux quelles l’utilisateur à accès : PDF, XPS, Local, Réseau
• Autoriser la collection des journaux pour des événéments qui surviendraient dans le conteneur virtuel
• Conserver les données de navigation générées par l’utilisateur (mot de passe, favoris, et cookies)
• Autoriser l’accès à un processeur graphique virtuel permettant l’accélération graphique.
• Autoriser l’utilisateur à télécharger des fichiers vers l’hôte.

Une fois réalisée, cliquez sur OK à deux reprises puis Create.

Lorsque la stratégie a été créé, vous devez ensuite affecter ce profil au groupe de périphérique Windows 10 souhaité (par exemple : Intune-Périphériques Windows 10 Entreprise)

Le profil est maintenant déployé sur les machines Windows 10 afin de configurer Microsoft Defender Application Guard.

Configuration des limites de réseau

Microsoft Defender Applicatin Guard requiert la configuration des limites de réseau de l’entreprise (réseaux, site intranet, adresse IP). Ceci permet à Microsoft Edge de savoir quand le site doit être exécuté sur la version du système ou sur la version contenerisée.

Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Configuration de l’appareil – Profils.

Procédez à la création du profil que vous nommerez selon la convention de nommage de votre entreprise (par exemple :  Windows 10 – Configuration des limites du réseau). Sélectionnez la plateforme Windows 10 et ultérieur puis Network boundary dans le type de profil.

Ajoutez autant d’espace d’entreprise que nécessaire selon les types suivants :

• Ressources Cloud
• Noms de domaine réseau d’entreprise
• Serveurs proxy
• Serveurs proxy internes
• Plages d’adresse IPv4
• Plages d’adresse IPv6
• Resources neutres

Note : La specification de plusieurs ressource d’une même catégorie peut être faite par l’ajout d’une seule entrée et par l’utilisation d’un caractère de séparation qui peut être la virgule, le pipe, ou le point virgule. Le caractère d’échappement dépend du type de ressource (par exemple les domaines protégés utilisent le point virgule ; )

L’option Enterprise Proxy Servers list is authoritative (do not auto-detect) permet que Windows traite les serveurs proxy spécifiés dans la définition des limites du réseau comme la liste complète des serveurs proxy disponibles sur le réseau. Si vous décochez cette case, Windows recherchera des serveurs proxy supplémentaires dans le réseau immédiat.

L’option Enterprise IP Ranges list is authoritative (do not auto-detect) permet que Windows traite les plages IP spécifiées dans la définition des limites du réseau comme la liste complète des plages IP disponibles sur le réseau. Si vous décochez cette case, Windows recherchera des plages IP supplémentaires sur n'importe quel périphérique connecté à le réseau.

Cliquez sur OK puis Create.

Lorsque la stratégie a été créé, vous devez ensuite affecter ce profil au groupe de périphérique Windows 10 souhaité (par exemple : Intune-Périphériques Windows 10 Entreprise)

Les machines Windows 10 sont maintenant configurées pour correctement utiliser Microsoft Defender Application Guard.

Microsoft propose une nouvelle préversion (1.2020.319.0) de son outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Pas de nouveautés dans cette préversion mais une amélioration des fonctionnalités déjà introduite précédemment :

• Amélioration de la qualité des icônes extraites
• Amélioration de l’extraction des icônes pour les raccourcis
• Corrections de bugs

Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool