Ce billet présente la configuration du chiffrement de disques via la technologie BitLocker proposé par Windows 10 dans un mode TPM + PIN. BitLocker est issu d’un projet d’architecture sécurisé initié en 2004 par Microsoft sous le nom de CornerStone et dont le but est d’assurer la protection des informations en cas de perte ou de vol de périphérique. La fonctionnaté est conjuguée avec une autre fonctionnalité Code Integrity Rooting permettant de valider le système de fichiers et Windows afin de permettre le déchiffrement du volume et d’éviter les accès non sécurisés.

Nous verrons la configuration de BitLocker dans un mode TPM uniquement en abordant les phases suivantes :

• Création de la stratégie BitLocker TPM + PIN
• Résultat de la stratégie forcant le chiffrement TPM+PIN sur les machines
• Configuration manuelle du PIN via un Script utilisateur
  • Création du package Microsoft Intune
  • Déploiement du script packagé
  • Résultats
    

Au préalable, vous devez avoir suivi le billet : Prérequis à la gestion de BitLocker

Création de la stratégie

Commencez par créer un groupe qui stockera les machines qui utiliseront BitLocker dans mode TPM + PIN.
Note : les machines de ce groupe ne doivent pas être dans un groupe ciblé par d'autres stratégies BitLocker.

Passez ensuite procéder la création de la stratégie de configuration BitLocker pour des machines Windows 10 dans un mode TPM+PIN. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Device Configuration – Profiles.

Procédez à la création du profil que vous nommerez selon votre convention de nommage (par exemple : Windows 10 – Configuration BitLocker TPM + PIN). Sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil. Sélectionnez ensuite la catégorie Windows Encryption.

Les stratégies proposent les éléments suivants :

• Encrypt Devices permet d’activer le chiffrement BitLocker sur les machines cibles. Passez l’option à Require.

Dans les paramètres de base de BitLocker :

• L’option Warning for other disk encryption permet de bloquer la fenêtre visant à avertir qu’il ne faut pas activer BitLocker si d’autres solutions de chiffrement de disque sont utilisées.
  Activez l’option.
• Allow standard users to enable encryption during Azure AD Join est une nouvelle option apparue avec Windows 10 1809 permettant aux utilisateurs sans priviléges d’administration d’activer BitLocker lorsque la machine joint Azure Active Directory. Cette option ne s’applique qu’au scénario Azure AD Join et n’est active que si l’option précédente est bloquée.
  Activez l’option.
• Enfin, les trois dernières options permettent de configurer les méthodes de chiffrements souhaitées pour :
  • Les disques de systèmes d’exploitation
  • Les disques de données fixes
  • Les périphériques amovibles
    Laissez l’option par défaut.

Les paramétres suivants permettent de configurer les paramétrages BitLocker pour les disques système :

• L’option Additional authentication at startup permet de configurer les modes de validation BitLocker (TPM, TPM+PIN, TPM+Dongle, TPM+PIN+Dongle).
  Passez l’option à Require.

• Le paramètre Bitlocker with non-compatible TPM chip permet de définir si vous souhaitez bloquer le chiffrement pour des périphériques qui n’ont pas de puce TPM compatible.
  Passez l’option à Block.

• Compatible TPM startup permet de définir si la puce TPM est autorisé, requise ou non autorisé pour le chiffrement.
  Choisissez Allow TPM.

• L’option Compatible TPM startup PIN permet d’ajouter l’usage (autorisé, requis ou non) d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
  Passez l’option à Allow PIN with TPM.
• L’option Compatible TPM startup key permet d’ajouter l’usage (autorisé, requis ou non) d’un dongle de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
  Passez l’option à Do not allow startup key with TPM.
• L’option Compatible TPM startup key and PIN permet d’ajouter l’usage (autorisé, requis ou non) à la fois d’un dongle et d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
  Passez l’option à Do not allow startup key and PIN with TPM.

• L’option Minimum PIN length permet de définir la taille minimale du PIN lorsque vous avez choisi d’autoriser ou d’imposer l’usage d’un PIN dans l’une des options précédentes.
  Activez l’option et renseignez la taille minimale (4 caractères par exemple).

La sous section OS drive recovery traite des options de restauration du disque système :

• Activez la restauration via l’option OS Drive Recovery
• L’option certificate-based data recovery agent permet d’empêcher l’utilisation de l’agent de récupération de données avec les disques systèmes protégés par BitLocker. Ceci permet d’utiliser un certificat d’une PKI pour réaliser le chiffrement des disques. Ce certificat peut ensuite utilisé pour le déchiffrement des disques.

Note :Cette option est très peu utilisée de par sa complexité, vous trouverez néanmoins plus d’informations sur :  https://blogs.technet.microsoft.com/askcore/2015/10/16/setting-up-data-recovery-agent-for-bitlocker

• Le paramètre user creation of recovery password permet de choisir si l’utilisateur est autorisé ou doit créer un mot de passe de restauration de 48 caractères. Cette option doit être passé à Require 48-digit recovery password pour s’assurer que le mot de passe de restauration est bien créé.
• Le paramètre user creation of recovery key permet de choisir si l’utilisateur est autorisé ou doit créer la clé de restauration de 256 caractères. Cette option doit être passé à Require 256-digit recovery key pour s’assurer que la clé de restauration est bien créée.
• L’option Recovery options in the BitLocker setup wizard permet de choisir si l’utilisateur peut voir et changer les options de restauration dans l’assistant.
• L’option Save BitLocker recovery information to Azure Active Directory définit si les informations de restauration BitLocker doit être stockés dans Azure Active Directory. Activez l’option.
• L’option BitLocker recovery Information stored to Azure Active Directory définit les éléments qui doivent être sauvegardés dans Azure Active Directory :
  • Mot de passe de restauration et packages de clé
  • Mot de passe de restauration uniquement
    Choisissez la valeur Backup recovery passwords and key packages.

• Le paramètre Client-driven recovery password rotation définit le comportement (désactivé, activé pour les périphériques Azure AD ou activé pour les périphériques Azure AD et Hybrid Azure AD) pour la rotation du mot de passe de restauration lorsque celui-ci a été utilisé sur la machine (via Bootmgr ou WinRE). Choisissez l’option Key rotation enabled for Azure AD and Hybrid-joined devices.
• L’option Store recovery information in Azure Active Directory before enabling BitLocker puisqu’elle permet de s’assurer que l’utilisateur ne peut pas lancer le chiffrement de sa machine sans avoir procéder à la sauvegarde des informations de restauration dans Azure AD. Passez l’option à
• Vous pouvez ensuite activer la personnalisation d’un message ou d’une URL affiché lors de la phase de prédémarrage lors de la restauration. Une fois l’option activée, vous avez le choix entre
  • Utiliser le message et l’URL de restauration par défaut
  • Utiliser un message et une URL de restauration vide
  • Utiliser un message de restauration personnalisé
  • Utiliser une URL de restauration personnalisée

Passez ensuite les autres paramètres que nous aborderons dans d'autres billets.

Cliquez sur OK à deux reprises puis Create pour procéder à la création de la stratégie.

Une fois crée, procédez à l’assignement de la stratégie au groupe des machines Windows 10 puis cliquez sur Save.

La stratégie étant créée et assignées, vous pouvez passer à la phase de validation.

Le mode TPM + PIN n’est pas supporté nativement par Microsoft Intune car le chiffrement en mode silencieux de Windows 10 ne permet pas de lancer une fenêtre de configuration du code PIN. L’objectif de la stratégie est de permettre/autoriser (Allow) à la fois les configurations suivantes :

• TPM uniquement
• TPM + PIN

Ainsi la configuration du mode TPM + PIN se fait en deux temps :

• Chiffrement automatique et silencieux en mode TPM uniquement
• Activation du mode TPM + PIN par
  • La configuration manuelle du PIN via une application déployée par l’utilisateur. (C’est cette méthode qui est à privilégier)
  • La préconfiguration d’un code PIN par défaut pour l’utilisateur. Note le changement du PIN requiert les droits d’administration.

Si vous n'utilisez pas une des deux méthodes citées précédemment, alors vous pourrez constater les erreurs suivantes dans l’observateur d’événéments Applications and Services Log – Microsoft – Windows – BitLocker-API avec : « La stratégie de groupe ne permet pas l’utilisation exclusive d’un module de plateforme sécurisée au démarrage ».

Configuration Manuelle du PIN via un script utilisateur

Puisque la stratégie BitLocker (TPM+PIN) ne permet pas par défaut un fonctionnement optimal, nous allons utiliser un script de configuration manuel du code PIN par l’utilisateur en complément de la stratégie hybride utilisant le mode TPM uniquement et TPM + PIN. Pour ce faire, nous utiliserons un script communautaire. Ce script sera déployé sous la forme d’une application Win32 via l’Intune Management Extension.

Microsoft Intune requiert un certain format de fichier à intégrer dans le portail. Pour ce faire, Microsoft propose un outil de packaging qui va créer l’équivalent d’un « zip » pouvant être ingéré dans le service.

Pour ce faire, téléchargez l’outil Microsoft-Win32-Content-Prep-Tool (IntuneWinAppUtil.exe).

Procédez ensuite à la création d’un répertoire correspondant au nom de votre application et deux sous répertoire Sources et Output :

• <APPLICATION>
  • Sources : Dossier utilisé par l’outil comme référence des sources
  • Output : Dossier utilisé par l’outil pour générer le fichier de sortie.

Ouvrez un outil en ligne de commande en administrateur. Positionnez vous dans le dossier et tapez la commande suivante : .\IntuneWinAppUtil.exe -c <Chemin vers les sources de l’application> -o <Dossier de sortie>

Exemple : .\intuneWinAppUtil.exe –c SetBitLockerPIN -s SetBitLockerPin.PS1 -o Output -q

L’outil lance une série d’opération et renvoie l’état Done spécifiant que le package <Application>.intunewin est crée.

Une fois l’application packagée, nous pouvons l’intégrer dans Microsoft Intune afin de réaliser le déploiement obligatoire sur les postes de travail. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Applications clientes – Applications. Cliquez sur Ajouter

Dans le type d’application, choisissez Application Windows (Win32). Dans Fichier de package d’application, chargez le fichier .intunewin précédemment généré (par exemple : SetBitLockerPin.intunewin)

Cliquez sur OK.

Une fois le package chargé, dans Information sur l’application, spécifiez :

• Le nom de l’application
• La description (utilisée dans le portail entreprise lorsqu’elle est mis à disposition en libre-service)
• L’éditeur
• La catégorie
• Si l’application doit être mise en avant dans le portail
• Et les autres informations : URL d’informations, URL de la déclaration de confidentialité, etc.
• Ainsi que l’icône de l’outil fourni par le développeur

Cliquez sur OK.

Dans la partie Programmes, saisissez :

• La ligne de commande d’installation : PowerShell -ex bypass – file setbitlockerpin.ps1
• La ligne de commande de désinstallation : PowerShell -command cls
• Le mode d’exécution : Système ou Utilisateur

Dans la partie Spécifications, choisissez :

• L’architecture du système : 32bits et 64 bits
• La version minimale du système : Windows 10 1607

Dans la partie Règles de détection, vous devez spécifier les méthodes de détection permettant de détecter l’application. Choisissez entre Utiliser un script de détection personnalisé. Chargez le script de détection DetectBitLockerPin.ps1 et laissez les options par défaut.

Cliquez sur Sauvegarder pour lancer la création

Rafraichissez la page pour valider que le chargement est terminé puis cliquez sur Affectations.

Cliquez sur Ajouter un groupe et sélectionnez le groupe souhaité (par exemple : Intune-périphériques Windows 10 Bitlocker).

Spécifiez le mode de déploiement :

• Obligatoire : Installation de l’application sans actions de l’utilisateur et sans nécessiter le portail d’entreprise
• Optionnel : Installation par l’utilisateur au travers du portail d’entreprise.

Cliquez sur Enregistrer.

Validation de la configuration du Code PIN et du chiffrement

Maintenant que l’outil de configuration du code PIN a été déployé, nous allons pouvoir constater l’expérience utilisateur et le chiffrement. La première étape est de vérifier que la machine a été chiffrée en mode TPM uniquement par le profil de configuration.

Pour ce faire sur une des machines, exécutez la commande manage-bde -Status afin constater le chiffrement et le type de protecteurs de clés : TPM et Mot de passe numérique

Note :Mot de passe numérique ne correspond pas au code PIN mais à la clé de récupération.

Vous pouvez aussi vérifier la remontée de la clé de recupération dans le portail Microsoft Intune en naviguant dans Devices – All Devices. Choisissez le périphérique et ouvrez la partie Recovery Keys. Observez les clés :

Vous pouvez ensuite forcer le mode TPM+ PIN en configurant ce dernier. Pour ce faire sur une des machines, ouvrez le portail d’entreprise. Identifiez l’application correspondant à l’outil de configuration du code PIN :

Cliquez sur Installer

L’application de configuartion du code PIN se lance. L’utilisateur doit rentrer le code Pin choisi :

Après configuration du PIN, nous pouvons exécuter une commande pour valider : Write-Output $(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | Where { $_.KeyProtectorType -eq 'TpmPin' }

La commande doit renvoyer un protecteur :

Une fois le code PIN configuré, vous pouvez redémarrer la machine pour constater que l’utilisateur est invité à renseigner son code PIN pour accéder au système :

Nous verrons dans un autre billet comment :

• Changer un code PIN
• Accéder au système quand l’utilisateur a oublié son code PIN.

Vous pouvez passer à la partie suivante de cette série : Configuration de BitLocker pour chiffrer les disques additionnels

Forrester a publié son rapport sur les solutions Enterprise Detection and Response (EDR). Microsoft ressort avec CrowdStrike et Trend Micro parmi les leaders du marché. Cybereason, Elastic, Bitdefender, SentinelOne, VMware Carbon Black sont les concurrents qui suivent.

C’est la première fois que Microsoft participe à cette enquête et Microsoft Defender Advanced Threat Protection (ATP) a reçu le score (5 sur 5) le plus important de tous les vendeurs participants. Mais la solution se voit compléter avec toutes les autres solutions du type comme Azure ATP, Office ATP, Microsoft Cloud App Security (MCAS) au travers de Microsoft Threat Protection.

 Lire le rapport de Forrester

Plus d’informations sur : https://www.microsoft.com/security/blog/2020/03/18/forrester-names-microsoft-leader-2020-enterprise-detection-response-wave/

Microsoft vient de publier une série de vidéos pour décrire les concepts et vous former sur Microsoft Defender Advanced Threat Protection (ATP). Pour rappel, Microsoft Defender Advanced Threat Protection est un service initialement inclus dans Windows 10 proposant une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting. Il offre des actions de réponse et une vision courante des attaques possibles. Il permet de répondre à des attaques comme celles de ransomwares, malwares, etc. Il inclut aussi un module de gestion des menaces et des vulnérabilités.

Parmi les sujets abordés par les vidéos, on retrouve :

• L’onboarding
• Role-based Access Control
• L’accès conditionnel (Conditional Access)
• L’investigation et la remédiation automatique
• Les APIs
• [Nouveau] L’investigation
• La recherche avancée (Advanced Hunting)
• L’analyse de menaces (Threat Analytics)
• L’analyse en profondeur (Deep Analysis)
• [Nouveau] La réponse en temps réel (Live Response)
• [Nouveau] Les indicateurs de compromission unifiés
• [Nouveau] Configuration de sécurité
• [Nouveau] Microsoft Threat Experts
• [Nouveau] Gestion des vulnérabilités et des menaces (TVM) - Aperçu
• [Nouveau] Gestion des vulnérabilités et des menaces (TVM) – Découverte et Remédiation
• [Nouveau] Réduction de Surface d’Attaque (ASR)
• [Nouveau] Contrôle d’application (MD Application Control)
• [Nouveau] Protection réseau (MD Exploit Guard Network Protection)
• [Nouveau] Microsoft Defender SmartScreen – Analyse de réputation
• [Nouveau] Streaming API
• [Nouveau] Microsoft Cloud App Security (MCAS)

Ce billet présente la configuration du chiffrement de disques via la technologie BitLocker proposé par Windows 10 dans un mode TPM uniquement. BitLocker est issu d’un projet d’architecture sécurisé initié en 2004 par Microsoft sous le nom de CornerStone et dont le but est d’assurer la protection des informations en cas de perte ou de vol de périphérique. La fonctionnaté est conjuguée avec une autre fonctionnalité Code Integrity Rooting permettant de valider le système de fichiers et Windows afin de permettre le déchiffrement du volume et d’éviter les accès non sécurisés.

Nous verrons la configuration de BitLocker dans un mode TPM uniquement en abordant les phases suivantes :

• Création de la stratégie BitLocker standard
• Validation du chiffrement sur les machines
• Chiffrement manuel par Script (pour les machines ne supportant pas le chiffrement automatique)
• Résultats des Tests

Au préalable, vous devez avoir suivi le billet : Prérequis à la gestion de BitLocker

Création de la stratégie

Cette phase aborde la création de la stratégie de configuration BitLocker pour des machines Windows 10 dans un mode TPM uniquement.
Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Device Configuration – Profiles.

Procédez à la création du profil que vous nommerez selon la convention de nommage de votre entreprise.
Sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil. Sélectionnez ensuite la catégorie Windows Encryption.

Les stratégies proposent les éléments suivants :

• Encrypt Devices permet d’activer le chiffrement BitLocker sur les machines cibles. Passez l’option à Require.
• Encrypt Storage Card (Mobile Only) active le chiffrement des cartes de stockage (Cartes SD) sur les périphériques Windows 10 Mobile.

Dans les paramètres de base de BitLocker :

• L’option Warning for other disk encryption permet de bloquer la fenêtre visant à avertir qu’il ne faut pas activer BitLocker si d’autres solutions de chiffrement de disque sont utilisées.
  Activez l’option.
• Allow standard users to enable encryption during Azure AD Join est une nouvelle option apparue avec Windows 10 1809 permettant aux utilisateurs sans priviléges d’administration d’activer BitLocker lorsque la machine joint Azure Active Directory. Cette option ne s’applique qu’au scénario Azure AD Join et n’est active que si l’option précédente est bloquée.
  Activez l’option.
• Enfin, les trois dernières options permettent de configurer les méthodes de chiffrements souhaitées pour :
  • Les disques de systèmes d’exploitation
  • Les disques de données fixes
  • Les périphériques amovibles

Note :La méthode de chiffrement par défaut est XTS-AES 128 bit. Microsoft a longtemps recommandé l’utilisation d’XTS-AES 256 bit. Néanmoins, certains périphériques préchiffrés (Surface, ou autres fabricants) sont livrés en XTS-AES 128 bit, ce qui demandait de déchiffrer les disques pour les rechiffrer. La baseline de sécurité de Windows 10 1903+ revient sur ce choix et recommande XTS-AES 128 bit. Le mode XTS-AES 256 bit ne propose qu’un bénéfice limité pour un impact performance parfois important. Voir : https://blogs.technet.microsoft.com/secguide/2019/05/23/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903/

Les paramétres suivants permettent de configurer les paramétrages BitLocker pour les disques système :

• L’option Additional authentication at startup permet de configurer les modes de validation BitLocker (TPM, TPM+PIN, TPM+Dongle, TPM+PIN+Dongle). Passez l’option à Require.
• Le paramètre Bitlocker with non-compatible TPM chip permet de définir si vous souhaitez bloquer le chiffrement pour des périphériques qui n’ont pas de puce TPM compatible. Passez l’option à Block.
• Compatible TPM startup permet de définir si la puce TPM est autorisé, requise ou non autorisé pour le chiffrement. Choisissez Require TPM.
• L’option Compatible TPM startup PIN permet d’ajouter l’usage (autorisé, requis ou non) d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
  Passez l’option à Do not allow startup PIN with TPM.
• L’option Compatible TPM startup key permet d’ajouter l’usage (autorisé, requis ou non) d’un dongle de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
  Passez l’option à Do not allow startup key with TPM.
• L’option Compatible TPM startup key and PIN permet d’ajouter l’usage (autorisé, requis ou non) à la fois d’un dongle et d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
  Passez l’option à Do not allow startup key and PIN with TPM.
• L’option Minimum PIN length permet de définir la taille minimale du PIN lorsque vous avez choisi d’autoriser ou d’imposer l’usage d’un PIN dans l’une des options précédentes.
  Laissez l’option à Not Configured.

La sous section OS drive recovery traite des options de restauration du disque système :

• Activez la restauration via l’option OS Drive Recovery
• L’option certificate-based data recovery agent permet d’empêcher l’utilisation de l’agent de récupération de données avec les disques systèmes protégés par BitLocker. Ceci permet d’utiliser un certificat d’une PKI pour réaliser le chiffrement des disques. Ce certificat peut ensuite utilisé pour le déchiffrement des disques.

Note :Cette option est très peu utilisée de par sa complexité, vous trouverez néanmoins plus d’informations sur :  https://blogs.technet.microsoft.com/askcore/2015/10/16/setting-up-data-recovery-agent-for-bitlocker

• Le paramètre user creation of recovery password permet de choisir si l’utilisateur est autorisé ou doit créer un mot de passe de restauration de 48 caractères. Cette option doit être passé à Require 48-digit recovery password pour s’assurer que le mot de passe de restauration est bien créé.
• Le paramètre user creation of recovery key permet de choisir si l’utilisateur est autorisé ou doit créer la clé de restauration de 256 caractères. Cette option doit être passé à Require 256-digit recovery key pour s’assurer que la clé de restauration est bien créée.
• L’option Recovery options in the BitLocker setup wizard permet de choisir si l’utilisateur peut voir et changer les options de restauration dans l’assistant.
• L’option Save BitLocker recovery information to Azure Active Directory définit si les informations de restauration BitLocker doit être stockés dans Azure Active Directory. Activez l’option.
• L’option BitLocker recovery Information stored to Azure Active Directory définit les éléments qui doivent être sauvegardés dans Azure Active Directory :
  • Mot de passe de restauration et packages de clé
  • Mot de passe de restauration uniquement
    Choisissez la valeur Backup recovery passwords and key packages.

• Le paramètre Client-driven recovery password rotation définit le comportement (désactivé, activé pour les périphériques Azure AD ou activé pour les périphériques Azure AD et Hybrid Azure AD) pour la rotation du mot de passe de restauration lorsque celui-ci a été utilisé sur la machine (via Bootmgr ou WinRE). Choisissez l’option Key rotation enabled for Azure AD and Hybrid-joined devices.
• L’option Store recovery information in Azure Active Directory before enabling BitLocker puisqu’elle permet de s’assurer que l’utilisateur ne peut pas lancer le chiffrement de sa machine sans avoir procéder à la sauvegarde des informations de restauration dans Azure AD. Passez l’option à
• Vous pouvez ensuite activer la personnalisation d’un message ou d’une URL affiché lors de la phase de prédémarrage lors de la restauration. Une fois l’option activée, vous avez le choix entre
  • Utiliser le message et l’URL de restauration par défaut
  • Utiliser un message et une URL de restauration vide
  • Utiliser un message de restauration personnalisé
  • Utiliser une URL de restauration personnalisée

Passez ensuite les autres paramètres que nous aborderons dans d'autres billets.

Cliquez sur OK à deux reprises puis Create pour procéder à la création de la stratégie.

Une fois crée, procédez à l’assignement de la stratégie au groupe des machines Windows 10 d’entreprise puis cliquez sur Save.

La stratégie étant créée et assignées, vous pouvez passer à la phase de validation.

Validation de la strategie Intune (TPM uniquement) sur les machines

Cette partie traite de la validation de la configuration de BitLocker sur les machines des types suivants :

• Les machines jointes à Azure Active Directory (AADJ)
  
• Les machines Hybrid Azure AD Join

Validation sur les machines Azure AD Join

Sur une machine Azure AD Join (sans capacité de chiffrement automatique), vous notez l’apparition d’une notification demandant le chiffrement de la machine. Cliquez dessus pour ouvrir l’assistant de chiffrement. L’utilisateur doit valider qu’il n’utilise aucun autre logiciel de chiffrement de disque avant de lancer le chiffrement :

Une fois validé, l’assistant se lance pour initier le chiffrement du disque C:, l’utilisateur est invité à choisir la façon dont il souhaite sauvegarder la clé de récupération. Observez la mention : Certains paramètres sont gérés par votre administrateur système. Choisissez Enregistrer sur votre compte de domaine cloud puis Suivant.

Sur l’écran suivant, l’utilisateur doit choisir s’il souhaite :

• Ne chiffrer que l’espace disque utilisé (plus rapide et plus efficace pour les nouveaux PC et lecteurs)
• Chiffrer tout le lecteur (opération plus lente recommandées pour les PC et les lecteurs en service)

Note : Bien que le chiffrement BitLocker se produise en arrière-plan pendant que l’utilisateur continue à travailler et que le système reste utilisable, les temps de chiffrement varient en fonction du type de disque qui est chiffré, de la taille du disque et de la vitesse du disque.

Enfin, initiez le chiffrement en cliquant sur Démarrer le chiffrement

Une fenêtre vous permet ensuite de suivre l’état de chiffrement :

Une fois terminé, le disque apparaît avec un cadenas afin d’indiquer que BitLocker est activé sur ce volume :

Vous pouvez constater la remontée de la clé de restauration BitLocker dans le portail Microsoft Intune en naviguant dans Devices – All Devices. Sélectionnez ensuite le périphérique en question puis Recovery Key :

Note :Sur les périphériques joints à Azure Active Directory, le chiffrement silencieux ne peut être initié que si la machine est compatible Instant GO/Connected Standby/HSTI. Cette option peut se vérifier via la commande powercfg /a.

Voici le résultat pour une machine non compatible :

Voici le résultat pour une machine compatible :

Nous testerons le chiffrement silencieux via un script pour les machines non compatibles plus loin dans ce billet.

Validation sur les machines Hybrid Azure AD Join

Sur les machines Hybrid Azure AD Join, le chiffrement a lieu de manière silencieuse. Vous pouvez observer que le volume système a été chiffré :

Nous constatons la remontée de la clé de restauration BitLocker dans le portail Microsoft Intune en naviguant dans Devices – All Devices. Sélectionnez ensuite le périphérique en question puis Recovery Key :

Lancement du chiffrement par script pour les machines Azure AD Join non compatibles avec le chiffrement silencieux

Cette partie s’attache à traiter le lancement du chiffrement via un script (proposé par des PFEs Microsoft) pour exécuter le chiffrement de manière silencieux pour les scénarios suivants :

• Les machines jointes à Azure Active Directory (AADJ) non compatibles Instant Go/Standby Connected/HSTI
• Les machines dont le BIOS n’est pas à jour et ne permet pas le chiffrement silencieux automatique

Vous pouvez utiliser le script communautaire suivant : https://blogs.technet.microsoft.com/home_is_where_i_lay_my_head/2017/06/07/hardware-independent-automatic-bitlocker-encryption-using-aadmdm/

Commencez par créer un groupe qui stockera les machines qui seront chiffrées silencieusement par BitLocker. Ensuite, ouvrez le portail Microsoft Intune et naviguez dans Device Configuration – PowerShell Scripts.

Procédez à la création du script que vous nommerez selon votre convention de nommage (par exemple : Windows 10 – Configuration silencieuse de BitLocker)

Passez là l’étape suivante et chargez le script PowerShell au préalablement téléchargé. Laissez les autres options à No.

Passez l’écran d’attribution des balises d’étendue :

Sur l’écran d’assignation des groupes, assignez le groupe précédemment créé :

Relisez les configurations et validez l’ajout :

Sur le poste Azure AD Join non compatible avec le chiffrement silencieux, vous pouvez constater le chiffrement du disque dans l’explorateur de fichiers :

Vous pouvez vérifier le statut du chiffrement via la commande manage-bde -status

Vous pouvez valider le chiffrement par le biais des événéments dans l’observateur d’événéments en naviguant dans Applications and Services Log – Microsoft – Windows – BitLocker-API :

Vous pouvez constater la remontée de la nouvellé clé de chiffrement dans le portail Microsoft Intune en naviguant dans Devices – All Devices puis en sélectionnant le périphérique et Recovery Keys.

Nous ouvrons le fichier de journalisation de l’exécution des scripts PowerShell (AgentExecutor.log) par l’Intune Management Extension localisé dans C:\ProgramData\Microsoft\IntuneManagementExtension\Logs. Nous constatons l’exécution du script PowerShell et le code retour 0 :

Plus globalement, vous pouvez observer l’état d’exécution du script dans le portail Microsoft Intune et en naviguant dans Device Configuration – PowerShell Scripts, en sélectionnant le script puis Device Status.

Vous pouvez passer à la partie suivante de cette série : Configuration de BitLocker dans un mode TPM + PIN

Même si Microsoft Intune est de plus en plus prédominant, Microsoft offre toujours une solution de gestion des périphériques mobiles (MDM) dans Office 365. Cette solution peut être utilisée comme première approche pour permettre la gestion des périphériques modernes sous iOS, Android et Windows. Microsoft vient d’annoncer l’alignement des fins de support pour les plateformes iOS, Android et Windows sur celles de Microsoft Intune. On retrouve donc :

• Pour Android :
  • Android 5.0 (Lollipop) ou ultérieur. Ce prérequis ne s’applique pas au périphériques Teams basés sur Android de Polycom exécutant Android 4.4.
  • Pour Android 10.0, Microsoft recommande d’utiliser Android Enterprise avec Microsoft Intune pour la gestion de ces périphériques ou la protection des applications mobiles (MAM). Ils ne seront donc plus supportés par le MDM d’Office 365.
  • Android 9 et les versions ultérieures ne supporteront pas la gestion des paramètres de mot de passe et la désactivation de la caméra excepté sur Samsung KNOX.
• Pour iOS :
  • Seuls les périphériques iOS 11 ou plus seront supportés.
  • Les anciens périphériques suivants avec des versions antérieurs peuvent être mis à jour vers iOS 11 : iPhone 5, iPhone 5c, et iPad (4^ème génération)
• Pour Windows :
  • Windows Phone 8.1 n’est plus supporté (depuis le 20 février 2020)
  • Windows 10 Mobile ne sera plus supporté après le 11 mai 2020.

Vous pouvez trouver la liste des périphériques gérés par le MDM Office 365 sur cette adresse et ainsi identifier les périphériques qui vont être non supportés.

Pour rappel, la gestion MDM d’Office 365 permet :

• Appliquer des stratégies de sécurité pour valider la synchronisation des documents et emails sur les périphériques gérés par l’entreprise
• Appliquer des stratégies pour forcer la sécurité des périphériques : verrouillage avec un PIN, bloquer les jailbreak…
• Effectuer un effacement des données Office 365 à distance
• Garder la productivité des utilisateurs en laissant l’utilisation du client Mail par défaut

Ce billet présente les prérequis du chiffrement de disques via la technologie BitLocker proposé par Windows 10. BitLocker est issu d’un projet d’architecture sécurisé initié en 2004 par Microsoft sous le nom de CornerStone et dont le but est d’assurer la protection des informations en cas de perte ou de vol de périphérique. La fonctionnaté est conjuguée avec une autre fonctionnalité Code Integrity Rooting permettant de valider le système de fichiers et Windows afin de permettre le déchiffrement du volume et d’éviter les accès non sécurisés.

Prérequis du service

Les prérequis doivent être mis en œuvre pour permettre le chiffrement BitLocker avec Microsoft Intune sur les machines Windows 10 :

• Une tenant Microsoft Intune et Azure Active Directory fonctionnel
• Les prérequis permettant l’enregistrement de machines Windows 10 dans Microsoft Intune (Règle de restriction d’enregistrement, etc.)
• L’utilisateur qui se connecte sur la machine gérée et chiffrée doit être synchronisé dans l’annuaire Azure AD.
• L’enregistrement automatique dans Intune doit être activé au niveau de System Center Configuration Manager (si la machine est cogérée) ou par GPO
  
• Licences :
  • Soit : Intune + Azure AD Premium (P1)
  • Soit : Enterprise Mobility + Security (EMS) E3
  • Soit : Microsoft 365 E3

Prérequis pour les machines

Le chiffrement BitLocker avec Microsoft Intune requiert les prérequis machine suivants :

• Machine équipée de Windows 10 1703 ou plus. Microsoft recommande Windows 10 1909 pour bénéficier de toutes les fonctionnalités (chiffrement automatique et silencieux pour les utilisateurs standards, rotation des clés, etc.). Le support de l’administration de BitLocker est supporté sur Windows 10 Enterprise (1703+) ou Pro (1809+).
• La machine doit être Hybrid Azure AD. C’est-à-dire qu’elle doit s’être enregistrée dans Azure Active Directory.
  
• Au niveau matériel, les prérequis suivants s’appliquent :
  • Présence d’une Puce TPM 1.2 ou 2.0. La prise en charge de BitLocker avec une puce TPM 2.0 nécessite l'utilisation de l'Unified Extensible Firmware Interface (UEFI) pour le périphérique.

Note :Il est possible de chiffrer une machine sans puce TPM mais les prérequis sont trop contraignants pour être réalisables en production.TPM 2.0 n'est pas supporté dans les modes Legacy et CSM du BIOS. Les périphériques avec TPM 2.0 doivent avoir leur mode BIOS configuré en mode UEFI natif uniquement. Les options Legacy and Compatibility Support Module (CSM) doivent être désactivées. Pour plus de sécurité, activez la fonction d'amorçage sécurisé. Le système d'exploitation installé sur le matériel en mode legacy arrête le démarrage du système d'exploitation lorsque le mode BIOS est changé en mode UEFI. Utilisez l'outil MBR2GPT avant de changer le mode BIOS qui préparera le système d'exploitation et le disque à supporter UEFI.

• BIOS/UEFI :
  • Microsoft recommande l’utilisation d’un BIOS ou un firmware de démarrage UEFI conforme au Trusted Computing Group (TCG).
  • (Optionnel) Microsoft recommande fortement la mise à jour du BIOS ou de l’UEFI de la machine pour éviter tous bugs.
  • Optionnellement pour les machines configurées en UEFI, Microsoft recommande l’activation du SecureBoot pour améliorer la sécurité.
• Disques : Certains disques ne peuvent pas être chiffrés avec BitLocker. Les raisons pour lesquelles un lecteur ne peut pas être chiffré incluent une taille de disque insuffisante, un système de fichiers incompatible, si le lecteur est un disque dynamique, ou un lecteur est désigné comme la partition système.
  • Deux partitions (pour le mode BIOS) sont nécessaires pour exécuter BitLocker car l'authentification avant le démarrage et la vérification de l'intégrité du système doivent avoir lieu sur une partition distincte du lecteur système d'exploitation chiffré. Cette configuration permet de protéger le système d'exploitation et les informations contenues dans le lecteur chiffré.
    • Le lecteur du système d'exploitation (ou lecteur de démarrage) contient le système d'exploitation et ses fichiers de support. Il doit être formaté avec le système de fichiers NTFS.
    • Le lecteur système contient les fichiers nécessaires pour charger Windows une fois que le firmware a préparé le matériel système. BitLocker n'est pas activé sur ce lecteur. Pour que BitLocker fonctionne, le lecteur système ne doit pas être chiffré, doit être différent du lecteur du système d'exploitation et doit être formaté avec le système de fichiers NTFS sur les ordinateurs qui utilisent le firmware BIOS. Microsoft recommande que la taille du lecteur système soit d'environ 350 Mo. Une fois que BitLocker est allumé, il devrait avoir environ 250 Mo d'espace libre. Par défaut, le lecteur système (ou la partition système) est masqué de l'affichage. Cependant, s'il n'est pas créé en tant que lecteur caché lorsque le système d'exploitation a été installé en raison d'un processus d'installation personnalisé, ce lecteur peut être affiché mais ne peut pas être chiffré. La partition doit être active.
  • Trois partitions minimum (pour le mode UEFI) sont nécessaires pour exécuter BitLocker car l'authentification avant le démarrage et la vérification de l'intégrité du système doivent avoir lieu sur une partition distincte du lecteur système d'exploitation chiffré. Cette configuration permet de protéger le système d'exploitation et les informations contenues dans le lecteur chiffré.
    • Le lecteur du système d'exploitation (ou lecteur de démarrage) contient le système d'exploitation et ses fichiers de support. Il doit être formaté avec le système de fichiers NTFS.
    • Le lecteur système contient les fichiers nécessaires pour charger Windows une fois que le firmware a préparé le matériel système. BitLocker n'est pas activé sur ce lecteur. Pour que BitLocker fonctionne, le lecteur système ne doit pas être chiffré, doit être différent du lecteur du système d'exploitation et doit être formaté avec le système de fichiers FAT32 sur les ordinateurs qui utilisent le firmware UEFI. Microsoft recommande que la taille du lecteur système soit d'environ 350 Mo. Une fois que BitLocker est allumé, il devrait avoir environ 250 Mo d'espace libre. Par défaut, le lecteur système (ou la partition système) est masqué de l'affichage. Cependant, s'il n'est pas créé en tant que lecteur caché lorsque le système d'exploitation a été installé en raison d'un processus d'installation personnalisé, ce lecteur peut être affiché mais ne peut pas être chiffré. La partition doit être active.
    • Le lecteur Microsoft reserved partition qui fait une taille de 16 MB

Note:

• Lorsqu'il est installé sur un nouvel ordinateur, Windows crée automatiquement les partitions requises pour BitLocker. C’est aussi le cas pour les modèles de séquences de tâches de System Center Configuration Manager ou Microsoft Deployment Toolkit (MDT).

• Les disques dynamiques ne sont pas supportés par BitLocker. Les volumes de données dynamiques ne seront pas affichés dans le Panneau de contrôle BitLocker. Bien que le volume du système d'exploitation soit toujours affiché dans le Panneau de configuration, qu'il s'agisse d'un disque dynamique ou non, il ne peut pas être protégé par BitLocker.

Si vous souhaitez pouvoir lancer le chiffrement automatique et silencieux de la machine lors de sa jointure à Azure Active Directory, elle doit répondre aux prérequis suivants :

• La machine doit être configurée en UEFI.
• Le mode Secure Boot doit être activé.
• La protection Direct memory Access (DMA) doit être activée.
• La machine doit être compatible Instant Go ou HSTI ou Connected/Modern Standby pour permettre le chiffrement automatique et silencieux pour les machines

Note : Pour mitiger ces derniers éléments et lancer le chiffrement automatique, nous verrons comment utiliser un script PowerShell pour lancer automatiquement et de manière silencieuse le chiffrement.

Vous pouvez vérifier ces prérequis en ouvrant l’application System Information / Information du système et en recherchant le support du chiffrement du périphérique (Device Encryption Support) :

En outre, vous pouvez constater l’activation de la puce TPM en naviguant dans Windows Defender Security Center puis en cliquant sur Sécurité de l’appareils

Cliquez sur Détails du processeur de sécurité pour afficher l’état de la puce TPM.

Evaluation du chiffrement des périphériques

Une fois les prérequis remplis et les machines enregistrées dans Microsoft Intune, on retrouve tableau de bord permettant de suivre l’état de chiffrement des machines (Windows 10 ou macOS). Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Device Configuration puis  Encryption Report.

Le rapport présente chaque périphérique avec les propriétés suivantes :

• Nom
• Système d’exploitation (Windows, macOS)
• Version du système d’exploitation
• Version de la puce TPM
• Evaluation du chiffrement (prêt ou non)
• Etat du chiffrement
• Le nom principal de l’utilisateur

Le rapport vous permet donc de suivre plusieurs éléments :

• Les machines pouvant être chiffrées
• L’état de chiffrement des machines

Note : Microsoft Intune effectue un inventaire du périphérique une fois par jour où les détails de chiffrement sont inventoriés. Les informations doivent donc être mises à jour une fois par jour.

Vous pouvez passer à la partie suivante de cette série : Configuration de BitLocker dans un mode TPM Uniquement

Ce billet introductif, présente le chiffrement de disques via la technologie BitLocker proposé par Windows 10. BitLocker est issu d’un projet d’architecture sécurisé initié en 2004 par Microsoft sous le nom de CornerStone et dont le but est d’assurer la protection des informations en cas de perte ou de vol de périphérique. La fonctionnaté est conjuguée avec une autre fonctionnalité Code Integrity Rooting permettant de valider le système de fichiers et Windows afin de permettre le déchiffrement du volume et d’éviter les accès non sécurisés. BitLocker est apparu avec Windows Vista en 2007 dans des versions Premium (Enterprise et Ultimate). Le Service Pack 1 de Windows Vista a introduit la capacité de chiffrer des disques de volumes. Alors que Windows 7 a permis d’ajouter le chiffrement de périphériques amovibles.

BitLocker fournit un système de chiffrement sur le volume logique. Ainsi, ce n’est pas l’ensemble du disque qui est chiffré mais simplement le ou les volumes choisis par l’administration. BitLocker permet de limiter l'accès non autorisé aux données sur les ordinateurs perdus ou volés en chiffrant tous les fichiers utilisateurs et les fichiers système du disque du système d'exploitation, y compris les fichiers d'échange et les fichiers d'hibernation, et en vérifiant l'intégrité des composants de démarrage initial et des données de configuration.

BitLocker permet aussi de chiffrer l'ensemble du contenu d'un lecteur de données. Vous pouvez utiliser des stratégies pour exiger que BitLocker soit activé sur un lecteur avant que l'ordinateur puisse écrire des données sur le lecteur. BitLocker peut être configuré avec une variété de méthodes de déverrouillage pour les lecteurs de données, et un lecteur de données supporte plusieurs méthodes de déverrouillage.

BitLocker ne chiffre pas et ne déchiffre pas l'ensemble du disque lors de la lecture et de l'écriture des données. Les secteurs chiffrés du lecteur protégé par BitLocker ne sont déchiffrés que lorsque cela est demandé par les  opérations de lecture du système. Les blocs qui sont écrits sur le lecteur sont chiffrés avant que le système ne les écrive sur le disque physique. Aucune donnée non chiffrée n'est jamais stockée sur un disque protégé par BitLocker.

Sur les ordinateurs dotés d'une puce TPM compatible, les lecteurs du système d'exploitation protégés par BitLocker peuvent être déverrouillés de quatre façons :

• Via la puce TPM L'utilisation de la validation TPM seule ne nécessite aucune interaction avec l'utilisateur pour déverrouiller et donner accès au lecteur. Si la validation TPM réussit, l'expérience de connexion de l'utilisateur est la même qu'une connexion standard. Si la puce TPM est manquante ou modifiée ou si BitLocker détecte des modifications du code ou de la configuration du BIOS ou de l'UEFI, des fichiers de démarrage critiques du système d'exploitation ou de la configuration de démarrage, BitLocker passe en mode récupération et l'utilisateur doit entrer un mot de passe de récupération pour récupérer l'accès aux données. Cette option est plus pratique pour l'ouverture de session, mais moins sûre que les autres options, qui nécessitent un facteur d'authentification supplémentaire.
• TPM avec clé de démarrage (Dongle USB). En plus de la protection offerte par la puce TPM, une partie de la clé de chiffrement est stockée sur une clé USB, appelée clé de démarrage. Les données du volume chiffré ne sont pas accessibles sans la clé de démarrage.
• TPM avec PIN. En plus de la protection offerte par la puce TPM, BitLocker exige que l'utilisateur entre un code PIN. Il est impossible d'accéder aux données du volume chiffré sans entrer le code PIN. Les puces TPMs sont également munis d'une protection anti-brute force conçue pour prévenir ces attaques qui tenteraient de déterminer le code PIN. En exigeant un code PIN défini par l'utilisateur en plus de la validation TPM, un utilisateur malveillant qui a un accès physique à l'ordinateur ne peut pas simplement démarrer l'ordinateur.
• TPM avec clé de démarrage et PIN. En plus de la protection des composants de base que seul le TPM fournit, une partie de la clé de cryptage est stockée sur une clé USB et un code PIN est nécessaire pour authentifier l'utilisateur sur la puce TPM. Cette configuration permet une authentification multifactorielle de sorte qu'en cas de perte ou de vol de la clé USB, celle-ci ne peut pas être utilisée pour accéder au lecteur, car le PIN correct est également requis.

BitLocker est déployable de manière autonome mais le monde de l’entreprise requiert une solution de gestion permettant d’assurer le cycle de vie. Ceci inclut :

• L’évaluation de la compaitiblité vis-à-vis de BitLocker
• L’application du chiffrement et des paramétrages de configuration de BitLocker
• La gestion du cycle de vie (Inventaire et Rotation des clés de récupération, etc.)
• Le suivi de l’état de chiffrement des machines dans le temps.

Microsoft propose les différentes solutions de gestion suivantes :

• Gestion par GPO + stockage des clés dans Active Directory
  • Gestion difficile
  • Pas de reporting sur l’état de chiffrement
  • Pas de gestion des clés de récupération et du cycle de vie
  • Pas de gestion des machines Workgroup
  • Nécessité de gérer les droits au niveau d’Active Directory pour protéger et récupérer la clé
• Gestion par Microsoft Intune et Azure Active Directory
  • Supporte des machines jointes à Azure Active Directory ou Hybrid Azure AD (AD+AAD)
  • Pas de gestion des machines Workgroup
  • Ne supporte pas encore les mécanismes de Co-Management
    
  • Gestion des stratégies BitLocker directement depuis le portail Microsoft Endpoint Manager
    
  • Nécessite de donner l’accès au portail Intune pour qu’une personne du HelpDesk récupère la clé.
  • Intégration des fonctions via le CSP BitLocker intégré nativement à Windows 10 (pas de déploiement nécessaire)
• Gestion par System Center Configuration Manager
  • Limité aux machines gérées par SCCM ou cogérées
  • La solution requiert d’être dans un mode HTTPS (et prochainement Enhanced HTTP) côté serveurs (MP) et côté clien afin de sécuriser l’envoi de la clé à l’infrastructure. Ceci requiert donc le déploiement de certificat
  • Nécessite System Center Configuation Manager 1910.
  • Gestion des stratégies MBAM directement dans la console SCCM
  • Intégration du client MBAM directement dans le client SCCM (pas de déploiement nécessaire)

Note : Les paramètres de BitLocker ne font PAS partie d'une charge de travail (ni Endpoint Protection ni Device Configuration ) dans le Co-Management.

Note :Microsoft propose aussi historiquement Microsoft BitLocker Administration and Monitoring (MBAM). Néanmoins, cet outil a atteint la fin de support principal et est rentré en fin de support étendu. Microsoft propose System Center Configuration Manager comme solution de remplacement On-Premises et Microsoft Intune comme solution de remplacement Cloud.

Je vous propose une série de billets qui traitent de la gestion de BitLocker avec Microsoft Intune :

• [Intune] Prérequis à la gestion de BitLocker (dimanche)
• [Intune] Configuration de BitLocker dans un mode TPM Uniquement (lundi)
• [Intune] Configuration de BitLocker dans un mode TPM + PIN (mardi)
• [Intune] Configuration de BitLocker pour chiffrer les disques additionnels (mercredi)
• [Intune] Configuration de BitLocker pour forcer le chiffrement des périphériques amovibles (jeudi)
• [Intune] Gestion des clés (Récupération, Rotation des clés, etc.) (vendredi)
• [Intune] Dépannage de la gestion de BitLocker (samedi)

La crise sanitaire actuelle a de nombreux impacts sur nos vies, sur l’économie, sur les entreprises, sur la sécurité (attaques, etc.). Les projets sont chamboulés avec le confinement qui a lieu dans de nombreux pays du monde. Pour cette raison, Microsoft vient d’annoncer une révision de la date de fin de support de Windows 10 1709. Cette dernière est fixée au 13 octobre 2020 contre le 14 avril 2020. Cela laisse donc 6 mois supplémentaires pour laisser passer cette période compliquée.

Microsoft continuera donc de publier des mises à jour de sécurité au travers des différents canaux : Windows Update, Windows Server Update Services, le catalogue Microsoft Update ou System Center Configuration Manager.

Plus d’informations sur : https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet

Source : Revised end of service date for Windows 10, version 1709: October 13, 2020

Microsoft a publié une vidéo qui offre un très bon aperçu aux IT Pros sur le déploiement de Microsoft Teams dans l’entreprise.

Cela avait été annoncé de longue date, il est maintenant possible d’éditer le nom et les balises/tags de groupe des périphériques Windows Autopilot afin que ces propriétés soient utilisées lors du provisionnement.

Note : Ces capacités ne sont valables que pour les scénarios de jointure Azure AD. La convention de nommage utilisée pour les périphériques Hybrid Azure AD Join est définie par le profil Domain Join.

Il existe différents moyens de configurer ces propriétés :

Via le portail Microsoft Endpoint Manager en naviguant dans Devices – Windows – Windows Enrollment – Devices. Vous devez ensuite sélectionner le périphérique et éditez les propriétés Device Name et Group Tag :

Vous pouvez aussi réaliser ce changement via le module PowerShell WindowsAutopilotIntune avec la nouvelle cmdlet Set-AutoPilotDevice

Set-AutoPilotDevice -Id <Identifiant du périphérique autopilot> -GroupTag GroupName -ComputerName WT-TEST

Via l’application Windows Autopilot Companion et définir les propriétés Device Name et Group Tag de la même façon lors de l’utilisation du scénario WhiteGlove

Note : Le changement de nom n’est pas effectif de suite et nécessite une synchronisation manuelle ou automatique (qui a lieu par défaut toutes les 12 heures)

Plus d’informations sur : Windows Autopilot Companion app updated to support editing the computer name and group tag

Michael Niehaus a publié un script PowerShell permettant de vérifier un certain nombre d’éléments dans Windows Autopilot. Il vous donne le résultat sous la forme d’un rapport comprenant :

• L’état d’enregistrement des périphériques afin de lister ceux qui n’ont pas de profils Autopilot
• L’état des objets de périphérique Azure AD pour lister les périphériques Windows Autopilot qui n’en ont pas.
• L’état des périphériques gérés Intune pour lister tous les périphériques Autopilot qui ont un objet Intune associé.
• Les périphériques Autopilot par type de profil avec une répartition des profils par scénario.
• La vérification des périphériques qui ont un profils Hybrid Azure AD Join en vérifiant s’il y a un profil Domain Join qui lui est associé.

Le script utilise les modules suivants :

• Install-Module AzureAD
• Install-Module Microsoft.Graph.Intune
• Install-Module WindowsAutopilotIntune

Vous pouvez télécharger le script AutopilotHealthCheck.ps1:

• Via la cmdlet : Install-Script -Name AutopilotHealthCheck
• Manuellement sur PowerShell Gallery

Source : Windows Autopilot health check: An experiment in Graph API scripting

Voici un très bon poste de Michael Niehaus (MSFT) sur Windows Autopilot et les éventuelles problématiques de temps entre la machine et le service. La différence de temps est l’éternel problème en informatique. C’est déjà le cas depuis des années avec Active Directory par exemple. Le problème avec Windows Autopilot est qu’aujourd’hui, rien ne garantit qu’une machine qui démarre soit à l’heure. L’heure du firmware peut être mal configurée. La batterie qui maintenait l’horloge interne peut être défectueuse et avoir une date et une heure très agée. De plus, les horloges internes n’utilisent pas un temps universel (UTC) ; ce qui peut générer aussi des problématiques.

Le problème est que Windows Autopilot utilise un système de certificat et que si l’heure n’est pas correcte alors la date de génération du certificat peut être dans le futur.

Microsoft a intégré des améliorations dans Windows 10 2003 pour synchroniser automatiquement l’horloge durant la phase OOBE.

Si vous rencontrez des situations comme celle-ci et entendant la prochaine version de Windows 10, vous pouvez synchroniser le temps manuellement en appuyant sur SHIFT+F10 lors du démarrage de la phase OOBE et en exécutant :

net start w32time
w32tm /resync /force

Source : The importance of time

Gartner vient de sortir un nouveau Magic Quadrant pour les plateformes de services de contenu.  Microsoft ressort avec OpenText, et Hyland parmi les leaders du marché avec sa solution SharePoint. Pour rappel, ce secteur est stratégique pour Microsoft ; par exemple le projet Cortex a été annoncé à l’Ignite 2019.

Parmi les forces, on retrouve :

• Microsoft Office 365 offre un ensemble complet de services comprenant la productivité individuelle, la collaboration en équipe, la gestion de contenu, l'automatisation des processus et le workflow documentaire.
• Une plate-forme unifiée basée sur le Cloud comprend des fonctions d'intelligence artificielle efficaces pour l'analyse du contenu et l'automatisation des processus. Les entreprises peuvent tirer parti des fonctionnalités graphiques d'Office 365 pour faciliter la recherche d'informations utiles avant que les utilisateurs ne les recherchent. De plus, Microsoft Flow fournit une multitude de flux de travail pré-intégrés dans l'environnement Office 365 et travaille avec des applications et services externes de fournisseurs tels que Google (Gmail) et Salesforce.
• Un vaste et riche écosystème de fournisseurs de logiciels tiers et de partenaires indépendants augmente les capacités de la plate-forme. Bien que chaque fournisseur de plateforme de services de contenu ait des partenaires logiciels, Microsoft se distingue par le fait que ses partenaires fournissent des outils pour une vaste gamme de cas d'utilisation de services de contenu. Ces partenaires comprennent K2 et Nintex pour le workflow, et RecordPoint, AvePoint et Gimmal pour l'amélioration des capacités de gestion des documents d'Office 365.

Les faiblesses suivantes sont identifiées :

• La plateforme de services de contenu nécessite des add-ons ou des outils tiers pour répondre à des exigences complexes dans des domaines tels que la capture d'informations, la gestion des dossiers et le workflow. De plus, les clients de référence ont fait référence à la complexité de la mise en œuvre de solutions pour des scénarios de collaboration externe riches.
• Des solutions approfondies pour des secteurs tels que les services financiers, le gouvernement et la santé reposent entièrement sur le travail de l'écosystème étendu de partenaires de Microsoft. Les clients potentiels devront évaluer ces offres en plus de la plate-forme sous-jacente, ou construire leurs propres solutions.
• La plateforme de services de contenu de Microsoft n'a pas de capacité de fédération. Le contenu doit être migré vers Office 365 afin d'utiliser les services fonctionnels et de gouvernance qu'il fournit. Les clients doivent donc se lancer dans un exercice de consolidation et de migration ou investir dans un produit tiers pour gérer le contenu en dehors d'Office 365.

Lire la copie du rapport

Plus d’informations sur : https://www.microsoft.com/en-us/microsoft-365/blog/2019/12/12/microsoft-again-leader-2019-gartner-content-services-platforms-magic-quadrant-report/

A l’occasion de l’Ignite 2019, Microsoft a annoncé qu’une application Office Mobile unique et combinant Word, Excel et PowerPoint verrait le jour.  Elle est disponible en Preview sur Google Play.   
Certaines entreprises qui testent cette application, peuvent souhaiter déployer des stratégies de protection applicatives (APP/MAM) avec Microsoft Intune. Pour l’instant, l’application n’est pas listée dans la liste des applications protégées. Ceci est prévu d’ici la disponibilité générale.

En attendant cette arrivée, vous pouvez :

• Pour les stratégies de protection applicatives Android, ajouter les applications Office Hub, Office Hub [HL], et Office Hub [ROW]
• Pour les stratégies de protection applicatives iOS, utiliser l’identifiant de bundle d’application personnalisé suivant microsoft.officemobile

Source : Support Tip: How to enable Intune app protection policies with the Office mobile preview app

Microsoft a publié un guide pratique pour permettre la réalisation de Proof-Of-Concept pour Microsoft Endpoint Manager afin de gérer la configuration, le provisionnement, la protection et la conformité à travers Windows, iOS, Android, et macOS. Parmi les scénarios décrits, on retrouve :

• Configuration Manager avec cloud-attach et Co-Management
• Provisionnement Moderne avec Windows Autopilot
• Gestion de Windows 10
• Gestion des périphériques iOS, Android et macOS
• Gérez différents cas d'utilisation, y compris les périphériques personnels, les périphériques BYO, les périphériques appartenant à l'entreprise, les périphériques durcis et les dispositifs de première ligne pour les travailleurs de première ligne.

Pour accéder aux ressource.

Michael Niehaus signale que la version 1.0 du module PowerShell Partner Center pour Windows Autopilot ne fonctionne plus dû à des changements réalisés sur la méthode d’authentification utilisée avec le Partner Center (qui demande maintenant du MFA). C’est pourquoi Microsoft met à disposition la version 1.1.

Vous pouvez l’installer avec la cmdlet : Install-Module -Name WindowsAutopilotPartnerCenter

Vous pouvez ensuite utiliser la cmdlet Connect-AutopilotPartnerCenter puis Import-AutopilotPartnerCSV

Télécharger le module WindowsAutopilotPartnerCenter

Source : Updated WindowsAutopilotPartnerCenter module posted

Microsoft a communiqué qu’une série de changement est prévu sur le nom des entités dans le schéma de données Advanced Hunting de Microsoft Defender Advanced Threat Protection. Les requêtes enregistrées seront automatiquement mises à jour. De plus, les noms existants continueront de fonctionner pendant au moins un mois après la transition.

Le premier changement concerne donc les tables Microsoft Defender ATP avec la correspondance :

En outre, les noms de colonnes suivants vont être modifié :

Source : Advanced hunting data schema changes

Vous le savez la gestion des contacts sur iOS est rendue difficile de part les limitations de la plateforme. Ainsi, l’application Contacts d’iOS peut récupérer les contacts provenant d’Outlook mais les changements ou ajouts réalisés dans l’application contact ne sont pas reportés dans Outlook. Avec l’arrivée des améliorations du profil Exchange ActiveSync gérés dans iOS 13 et iPadOS, ceci permet de gérer une partie de l’équation.

Le support Intune nous donne une piste :

• Déployer un profil Exchange Active Sync géré pour la synchronisation des contacts
• Déployer une stratégie de configuration d’application pour Outlook qui désactive la sauvegarde de contacts.

Il y a néanmoins une exception car cette option ne doit être déployée que lorsque tous les utilisateurs ont mis à jour leur téléphone vers iOS 13+.

Plus d’informations sur : New contact sync scenario available with Outlook for iOS on enrolled devices

Microsoft a mis à disposition une série de vidéos visant à présenter des informations sur le fonctionnement de l’authentification moderne et d’Azure Active Directory. On retrouve notamment :

• Authentication fundamentals: The basics
• Authentication fundamentals: Web applications
• Authentication fundamentals: Web single sign on
• Authentication fundamentals: Federation
• Authentication fundamentals: Native client applications Part 1
• Authentication fundamentals: Native client applications Part 2

Source : https://aka.ms/identityyoutube

Gartner vient de sortir un nouveau Magic Quadrant pour les solutions Cloud Access Security Brokers (CASB). Microsoft figure parmi : McAfee, Netskope, Symantec et Bitglass. Pour rappel, Cloud App Security est issu du rachat d’Adallom et a été intégré à la suite d’Enterprise Mobility + Security (EMS) E5.

Les forces suivantes sont mis en avant :

• L'interface utilisateur de MCAS est intuitive et contient de nombreux conseils et suggestions pour créer des stratégies efficaces. Les stratégies complexes peuvent être entièrement construites dans un éditeur visuel qui ne nécessite aucune programmation ou scripting.
• Pour les services CCP pris en charge, MCAS offre le suivi de l'historique des fichiers et le contrôle des versions multiples dans la console d'administration.
• Les stratégies d'Azure Information Protection (AIP) sont à la base des règles de classification des documents et des règles DLP. Les actions comprennent l'application du contrôle d'accès, la limitation de l'impression et du transfert, l'application d'un filigrane ou le cryptage. Les organisations qui ont déjà investi dans AIP pour la classification de leurs données apprécieront cette intégration avec MCAS.
• MCAS regroupe les événements et les détails de configuration d'Office 365, d’Azure Security Center (gratuit pour tous les clients Azure ; activation requise), de nombreux services cloud et produits On-premises pour présenter une vue consolidée des risques.
• Microsoft Flow offre à ses clients une capacité de type SOAR de base pour l'ensemble des services cloud de Microsoft et d'autres fournisseurs, y compris les fournisseurs IaaS concurrents.
• Microsoft a regroupé des mécanismes de classification disparates en un store unique entre MCAS, Office 365, AIP et Windows Information Protection (WIP). Les actions DLP sont complètes et peuvent même envoyer des notifications en temps réel des violations (avec des demandes de dérogation de justification commerciale) dans Teams. L'OCR en DLP est disponible sans frais supplémentaires. La liste des types de données sensibles courants est fréquemment mise à jour.
• L'interface UEBA affiche une vue consolidée utile des activités d'un compte unique sur plusieurs services cloud.

Parmi les faiblesses, on retrouve :

• Une stratégie typique de sécurité dans le Cloud de Microsoft nécessitera plusieurs produits Microsoft, et pas seulement son CASB. Par exemple, l’accès conditionnel (Azure Active Directory Conditional Access) et EDRM (Azure Information Protection) nécessitent une des suites EMS. Les produits de sécurité Cloud de Microsoft fonctionnent mieux lorsque les clients déploient la suite complète ; les déploiements autonomes ou à la carte offrent des fonctionnalités réduites.
• L'intégration des applications SaaS pour l'utilisation du reverse proxy se fait via l'accès conditionnel Azure AD. Les clients qui ont besoin d'une inspection par procuration en temps réel doivent également utiliser Azure AD pour bénéficier de la fonction d'accès conditionnel.
• L'intégration des renseignements sur les menaces par des tiers n'évalue que les adresses IP des connexions entrantes. L'intégration UEM tierce se limite à vérifier si un périphérique possède un certificat numérique ; Intune est nécessaire pour le contrôle d'autres périphériques ou applications.

Voir Magic Quadrant for Cloud Access Security Brokers

Plus d’informations sur : https://www.microsoft.com/security/blog/2019/10/29/gartner-microsoft-leader-2019-cloud-access-security-broker-casb-magic-quadrant/

Gartner vient de sortir un nouveau Magic Quadrant pour les solutions d’archivage de l’information d’entreprise.  Microsoft est mis en avant des fonctions telles que la réduction des données entre les types de contenu, la gestion de la rétention, l'indexation du contenu et les outils de base pour l’e-discovery et la classification. Microsoft figure parmi : Mimecast, Proofpoint, Smarsh (Actiance), Global Relay et ZI. Technologies.

Les forces suivantes sont mis en avant :

• Microsoft a une vision proactive d'Office 365 en tant que suite de bout en bout pour la gouvernance, la conformité et la protection de l'information.
• Microsoft apporte simplicité architecturale et facilité d'utilisation pour l'archivage des utilisateurs finaux dans Office 365, avec des fonctions natives d'archivage.
• Les clients de Microsoft font l'éloge de la prise en charge du produit, y compris la création de rapports et l'intégration, grâce à l'amélioration de l'étiquetage/labeling et de la classification dans les archives et aux fonctions avancées de recherche en ligne.

Parmi les faiblesses, on retrouve :

• Des solutions tierces et de bout en bout de découverte électronique qui complètent Office 365 sont nécessaires pour les marchés verticaux très litigieux avec des charges de travail complexes en dehors de l'écosystème Microsoft.
• Les clients de référence notent des problèmes de performance avec de gros ensembles de données, des fonctionnalités immatures avec des cas d'utilisation sous supervision et un processus limité basé sur l'IA pour les règles de rétention.
• Microsoft accuse un retard par rapport à ses concurrents en termes de connecteurs tiers et de recherche unifiée sur l'ensemble des charges de travail Office 365 en une seule expérience utilisateur.

Voir Magic Quadrant for Enterprise Information Archiving

Plus d’informations sur : https://www.microsoft.com/security/blog/2019/11/26/gartner-names-microsoft-a-leader-in-the-2019-enterprise-information-archiving-eia-magic-quadrant/

L’actualité concernant la partie Modern Workplace est très riche ! Il est parfois difficile de tout s’approprié. Cet article résume les différentes annonces :

Général

• Pour appel, vous pouvez consulter les annonces réalisées à l’Ignite 2019.

Microsoft 365

• Les administrateurs peuvent attribuer une étoile à un rôle de gestion pour le désigner comme un rôle favori (fréquemment utilisé).
• A partir du lundi 16 décembre 2019, l'API de rapports Microsoft Graph exige non seulement que l'application exploitant l'API soit autorisée à obtenir les autorisations déléguées nécessaires, mais aussi que l'administrateur de l'entreprise attribue à l'utilisateur connecté le rôle correspondant dans Azure Active Directory (Azure AD) via le portail Azure. Il peut s'agir de l'un des rôles suivants : Company Administrator, Exchange Administrator, SharePoint Administrator, Lync Administrator, Global Reader, Reports Reader
• A partir de début décembre, le lien Device Management redirigeant vers Microsoft Intune sera renommé Endpoint Management pour s’aligner sur Microsoft Endpoint Manager.

• Disponibilité Générale de la fonctionnalité permettant de recevoir des notifications par email des nouveaux incidents touchant le tenant ainsi que tout changement de statut pour un incident actif à partir du centre d’administration Microsoft 365. Le déploiement doit s’échelonner de décembre à fin mars.

Enterprise Mobility + Security

Azure Active Directory

• Les nouveautés d’Azure Active Directory en Novembre 2019

Microsoft Intune

• Les nouveautés de mi-novembre 2019
• Microsoft permet de garder confidentiel les données d’entreprise pour les notifications Outlook sur l’écran de verrouillage d’iOS et Android.

Azure Information Protection

• Publication de la version 2.5.33.0 du client Unified Labeling d’Azure Information Protection sur Windows Update.
• Publication de la version 2.0.1371 de l’application mobile Azure Information Protection sur Android. Cette version fixe des bugs et comprend des améliorations mineures.
• Les nouveautés dans la documentation de Novembre 2019 :
  • What is Azure Information Protection? : Mise à jour des liens pour les 5 sessions recommandées de l’Ignite 2019 :
  • Frequently asking questions for Azure Information Protection : Mise à jour avec le support de pdf, xls, et ppt pour Power BI
  • Client devices that support Azure Information Protection: Mise à jour avec Android 6.0 comme version minimum supportée pour Android
  • Configuring usage rights for Azure Information Protection : vous pouvez désormais Chiffrer automatiquement les documents PDF non protégés lorsqu'ils sont joints à un e-mail chiffré. Le document hérite des mêmes permissions que celles du message électronique.
  • Deploying the Azure Information Protection scanner to automatically classify and protect files :
    • Ajout d’un prérequis SQL Server pour les collations insensibles à la casse.
    • Nouvelle section, Exigences de stockage et planification de la capacité pour SQL Server.
    • Les informations sur la fréquence de rafraîchissement des stratégies d'étiquetage/labeling pour le scanner à partir de l’Unified Labeling Client sont corrigées pour indiquer toutes les 4 heures seulement. Auparavant, il était dit toutes les 4 heures et quand le service de scanner démarre.
    • Correction des informations que le scanner du client Unified Labeling écrit dans le journal des événements Windows. Comme le client Unified Labeling, le scanner de ce client ne prend pas en charge le journal des événements.
  • Central reporting for Azure Information Protection : Mise à jour pour supprimer l'étape supplémentaire nécessaire à la publication des étiquettes dans le volet d'étiquetage unifié du portail Azure après avoir configuré votre espace de travail pour les analyses Azure Information Protection, puis chaque fois que vous apportez des modifications à vos étiquettes. Avec une mise à jour du backend, cette étape supplémentaire n'est plus nécessaire.
  • The client side of Azure Information Protection : Ajout des différentes périodes de rafraîchissement des stratégies pour le scanneur dans le tableau de comparaisons détaillées pour les clients.
  • Admin Guide: File types supported by the Azure Information Protection unified labeling client : Contrairement au client classique, les fichiers.msg ne sont pas automatiquement exclus. Si ces types de fichiers sont étiquetés (classifiés et génériquement protégés), le fichier ne peut pas être ouvert. Pour contourner ce problème, enlevez le label. En raison de ce problème, nous ne vous recommandons pas de supprimer le type de fichier.msg de l’analyser.

Cloud App Security

• Preview de la découverte de données dans Azure Sentinel permettant de corréler des données de découverte avec d'autres sources de données pour une analyse plus approfondie, visualiser les données dans Power BI avec des tableaux de bord prêts à l'emploi et profiter de périodes de rétention plus longues avec Log Analytics.
• Preview du connecteur Google Cloud Platform. Cloud App Security étend ses capacités de surveillance IaaS avec Google Cloud Platform. La connexion vous fournit :
  • Une visibilité sur toutes les activités effectuées via la console d'administration et les appels API.
  • La possibilité de créer des strategies personnalisées et d'utiliser des modèles prédéfinis pour alerter sur les événements à risque.
  • Toutes les activités GCP sont couvertes par notre moteur de détection d'anomalies et seront automatiquement alertées de tout comportement suspect, tel qu'un voyage impossible, des activités de masse suspectes et des activités d'un nouveau pays.
• Amélioration du parseur de log Cloud Discovery :
  • Cloud App Security Cloud Discovery analyse un large éventail de journaux de trafic pour classer et noter les applications. Désormais, l'analyseur de logs intégré à Cloud Discovery prend en charge le format de logs Ironport WSA 10.5.1.
• Microsoft permet aux administrateurs de personnaliser la page d'accueil (avec un logo et un message) que les utilisateurs voient lorsqu'ils naviguent vers une application à laquelle une
• Nouvelles détections
  • Preview de Suspicious AWS logging service changes qui vous avertit lorsqu'un utilisateur apporte des modifications au service d'enregistrement CloudTrail.
  • Multiple VM creation activitie alerte lorsqu'un utilisateur effectue un nombre inhabituel d'activités de création de machines virtuelles AWS.

Azure ATP

• Les versions 2.100 et 2.101 apportent des améliorations et des corrections de bugs sur les capteurs.

Microsoft Defender ATP

• Les applications qui ont atteint leur fin de vie sont signalées comme telles afin de prévenir qu'elles ne seront plus prises en charge et que qu’il est nécessaire de prendre des mesures pour les désinstaller ou les remplacer. Ceci fait partie du module Threat & Vulnerability Management (TVM).

Office 365 et Office

• Outlook pour Windows fournira des suggestions d’emails et de fichiers une fois que vous aurez tapé ou cliqué dans la boîte de recherche. Ceci aligne l'expérience avec Microsoft Search dans Word, Excel et PowerPoint.
• Concernant OneNote, on retrouve les nouveautés suivantes :
  •  
• Concernant PowerPoint on the web, on retrouve :
  • .
• Concernant Outlook on the Web, Microsoft introduit les changements suivants :
• Concernant Microsoft To-Do :
  • Les clients qui utilisent To Do commenceront à recevoir des notifications poussées les informant des modifications apportées aux listes de tâches qu'ils partagent.

Collaboration

• Concernant SharePoint et OneDrive, on retrouve les éléments suivants :
  • La fonctionnalité Save for Later permet de mettre un signet des fichiers et des dossiers sur OneDrive et SharePoint pour un accès ultérieur.
  • Déploiement de la fonctionnalité "Request Files" où vous pouvez créer des liens spéciaux pour demander des fichiers à d'autres personnes. Toute personne ayant le lien de demande de fichier pourra uploader des fichiers sans avoir à se connecter, aucun compte OneDrive n'étant requis. Ceci est très utile pour des appels d’offres.
  • Microsoft va localiser les emails si possibles dans la langue préférée des destinataires, telle que définie dans leurs paramètres AAD et Exchange. Dans le cas d’emails à destinataires multiples, la logique intégrée consommera le contenu et les langues du site pour localiser les emails.
  • Preview du support de la Confidentialité pour SharePoint et OneDrive.
  • Power Apps permet de créer une application pour une liste directement à partir des bibliothèques SharePoint.

• Lorsque vous visualisez la fenêtre en survol pour les fichiers, un nouveau pivot sur les conversations apparaît et affiche les emails, les réunions et les conversations Teams pertinents. Lorsqu'une personne envoie un e-mail, un message Teams ou une invitation à une réunion faisant référence à un fichier SharePoint ou OneDrive, cette conversation s'affiche sur la fiche avec un lien vers la ou les conversations.

• • Un nouveau bouton "Expand" apparaîtra dans la barre d'outils à l'intérieur des listes et bibliothèques. Les utilisateurs peuvent cliquer sur ce bouton pour que le contenu de la liste ou de la bibliothèque occupe davantage l'écran en masquant la navigation du site.
  • Si vous avez des labels de rétention qui déclarent les éléments comme étant des enregistrements utilisés dans SharePoint Online et OneDrive for Business, les utilisateurs verront maintenant une nouvelle option nommée "État des enregistrements" sous les propriétés de l'élément.
  • Les entreprises qui utilisent des labels de rétention dans le cadre de la gouvernance de l'information ou de la gestion des dossiers du Microsoft 365 Compliance Center pourront désormais utiliser des classificateurs dotés d'un apprentissage automatique pour appliquer automatiquement des labels de rétention.
  • Microsoft retire les rapports d'utilisation et de popularité classiques pour les sites Classic. Ceci inclut les rapports pour les collections de sites, les sites, les bibliothèques de documents, les dossiers et les éléments individuels. Ces rapports d'utilisation ne seront plus disponibles après le 29 février 2020.
• Concernant Microsoft Teams, on retrouve les annonces suivantes :
  • Lancement de la résidence des données de Microsoft Teams aux Emirats Arabes Unis (UAE).
  • Public Preview des labels de confidentialité (Sensibility Labels) pour Teams. Les labels de confidentialité peuvent être appliquées au niveau du tenant et, lorsqu'elles sont appliquées à un Teams, elles peuvent régler les paramètres public/privé qui peuvent être sélectionnés par l'utilisateur créant le Teams. De plus, les labels peuvent également régler si les équipes créées par n'importe quel utilisateur dans le tenant peuvent avoir un accès invité ou non.
  • Microsoft continue d’apporter la puissance de SharePoint dans Teams avec les nouvelles, pages, listes - et maintenant, une nouvelle expérience de fichiers dans l'onglet Fichiers pour les canaux des Teams. Cela inclut la possibilité de synchroniser des fichiers sur l’ordinateur (PC ou Mac), de voir des prévisualisations riches sur plus de 320 types de fichiers, de créer des vues et de travailler avec des métadonnées, de voir les signaux du cycle de vie des documents, d'examiner les cartes de fichiers sur le dessus, d'afficher les fichiers en haut, de prendre des mesures comme l'enregistrement et le retrait, etc.
  • Chaque canal privé possède sa propre collection de sites SharePoint optimisée pour le partage de fichiers. La collecte séparée des sites vise à garantir que l'accès aux fichiers du canal privé est limité aux seuls membres du canal privé par rapport au site de la base d'opérations où les propriétaires d'équipes ont accès à tous les actifs de la collection du site.
  • Microsoft ajoute une notification pour l’arrivée de nouveaux collègues dans Teams.

• À l'aide de balises, les propriétaires de Teams peuvent organiser les utilisateurs en fonction d'un attribut commun, comme le rôle, le projet, la compétence, la formation ou l'emplacement. Après que les membres de l'équipe ont des tags, le propriétaire du Teams ou un membre de l'équipe marqué peut créer un message de canal, @tagName, qui informe seulement les utilisateurs qui ont ce tag (dans ce cas @tagName). Les tags sont basés sur un Teams ; vous devez être membre d'un Teams pour pouvoir utiliser un tag associé.
• Le nouveau bouton Chat sera maintenant situé en haut de la liste des chats. Cela signifie que vous ne pourrez y accéder qu'à partir de l'application Chat, par opposition à n'importe quelle application (par exemple Teams, Calendar, etc). Le raccourci Ctrl + N (CMD + N pour Mac) continuera à fonctionner comme avant.

Sécurité

Office 365 ATP

• Preview de nouvelles capacités détection et de réponse à la compromission des utilisateurs dans Office 365 ATP Plan 2.

Microsoft vient d’informer les clients qui utilisent Apple School Manager, Apple Business Manager, Apple Volume Purchasing Program, et Apple Device Enrollment Program avec Microsoft Intune, d’accepter les nouveaux termes de service (CGV).

En effet, Les périphériques gérés ne pourront pas se synchroniser avec Intune tant que les nouveaux termes d'Apple ne seront pas acceptés. Le service Intune reçoit l'erreur "T_C_NOT_Signed" de la part d’Apple. Il se peut que vous rencontriez cette erreur ou que vous la rencontriez bientôt au moment où Apple déploie les nouvelles CGV.

Microsoft a mis à disposition une requête Log Analytics qui permet d’identifier les machines dans cet état :

IntuneEvent

| where env_time >= ago(1d)

| where env_cloud_environment == "PE"

| where ComponentName == "DepFeatureTelemetry"

| where EventUniqueName in ("syncMultiTokenAccountDetailsFailureEvent", "SyncMultiTokenDepProfileAssignmentToAppleFailureEvent", "SyncMultiTokenDepProfileTppleFailureEvent", "SyncMultiTokenDevicesToAppleFailureEvent", "DepEnabledProfileAssignmentFailure")

| where Message contains "T_C_NOT_SIGNED"

| summarize Errors=count() by AccountId

| join (AccountService_Account | project AccountId, ContextId) on AccountId

| project AccountId, ContextId, Errors

| order by Errors desc

Voici la procédure d’Apple : Si un Apple Business Manager ou un Apple School Manager vous demande d’approuver de nouvelles conditions générales

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Novembre 2019.

Microsoft apporte les nouveautés suivantes :

• Nouvelle page My Sign-ins à destination des utilisateurs finaux dans Azure AD permettant à l’utilisateur de voir l’historique des connexions récentes pour vérifier les activités inhabituelles.
• Microsoft a ajouté des fonctionnalités supplémentaires pour personnaliser et envoyer des claims dans le jeton SAML. Ces nouvelles capacités comprennent :
  • Des fonctions supplémentaires de transformation des claims.
  • La possibilité d'appliquer plusieurs transformations à un même claim.
  • La possibilité de spécifier la source du claim, en fonction du type d'utilisateur et du groupe auquel l'utilisateur appartient.
• 21 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Airtable, Hootsuite, Blue Access for Members (BAM), Bitly, Riva, ResLife Portal, NegometrixPortal Single Sign On (SSO), TeamsChamp, Motus, MyAryaka, BlueMail, Beedle, Visma, OneDesk, Foko Retail, Qmarkets Idea & Innovation Management, Netskope User Authentication, uniFLOW Online, Claromentis, Jisc Student Voter Registration, e4enable

• De nouvelles applications permettent le provisionnement par la création, la mise à jour et la suppression d’utilisateurs : SAP Cloud Platform Identity Authentication Service, RingCentral, SpaceIQ, Miro, Cloudgate, Infor CloudSuite, OfficeSpace Software, Priority Matrix
• Disponibilité Générale du support de l’accès conditionnel et du Single Sign-On par Microsoft Edge Mobile.
• Public Preview de la mise à jour de la page My Apps avec les nouveaux workspaces permettant de regrouper les applications selon les choix de l’administrateur.

• Azure AD Application Proxy supporte Chrome 80 et l’attribut SamSite. Le traitement des cookies sera mis à jour pour traiter ce cas en apssant la valeur par défaut de Use Secure Cookie à Yes et de SameSite à None.
• Public Preview d’un nouveau rapport d’activités des applications AD FS pour aider à migrer ces applications vers Azure AD.
• Public Preview d’un nouveau workflow pour les utilisateurs afin de demander le consentement de l’administration. Si un utilisateur tente d'accéder à une application, mais n'est pas en mesure de donner son consentement, il peut maintenant envoyer une demande d'approbation par l'administrateur. La demande est envoyée par email, et placée dans une file d'attente accessible depuis le portail Azure, à tous les administrateurs qui ont été désignés comme évaluateurs.
• Preview d’un nouveau workflow d’approbation à deux étapes dans Azure AD entitlment Management. Ce workflow permet de demander à deux approbateurs d'approuver la demande d'un utilisateur pour un package d'accès. Par exemple, vous pouvez le paramétrer de telle sorte que le responsable de l'utilisateur demandeur doive d'abord approuver, puis vous pouvez également demander l'approbation d'un propriétaire de ressource. Si l'un des approbateurs n'approuve pas, l'accès n'est pas accordé.

• Disponibilité Générale du support de la facturation mensuelle des utilisateurs actifs (MAU) dans Azure AD B2C.
• Disponibilité Générale du support des Identifiants Google Social pour Azure AD B2B Collaboration

On retrouve les modifications de service suivantes :

• Mise à jour (1.4.32.0) d’Azure Active Directory Connect (AADC)
• Azure AD Domain Services :
• • Mise à jour de l’expérience de création d’Azure AD Domain Service afin d’être réalisée en 3 clics.
  • Il est maintenant possible d’effectuer une migration des réseaux virtuels classiques vers Azure Resource Manager d’Azure AD Domain Services (Azure AD DS).
• La stratégie d'expiration des groupes d'Office 365 a été améliorée pour renouveler automatiquement les groupes qui sont activement utilisés par ses membres. Les groupes seront automatiquement renouvelés en fonction de l'activité des utilisateurs dans toutes les applications Office 365, y compris Outlook, SharePoint et Teams.
• Consolidation des éléments de sécurité dans un menu Security dans le portail Azure AD afin d’inclure : Conditional Access, Identity Protection, Security Center, Identity Secure Score, Authentication methods, MFA, et Risk reports
• Microsoft a augmenté la longueur maximale de la définition de la valeur du rôle à 240 caractères (contre 120 initialement).
• Microsoft a mis à jour la galerie d'applications Azure AD pour permettre de trouver plus facilement des applications pré-intégrées qui prennent en charge le provisioning, OpenID Connect et SAML sur un tenant Azure Active Directory.
• Les utilisateurs ne sont plus obligés de se réenregistrer lors de la migration du MFA par utilisateur vers le MFA basée sur l'accès conditionnel.
• Dépraciation de l’API identityRIskEvent pour Azure AD Identity Protection.
• Mise à jour de la version 1.2.0 de la page de contrat pour Azure AD B2C. Vous pouvez maintenant contrôler l'ordre de chargement des éléments, ce qui peut aussi aider à arrêter le clignotement qui se produit lorsque la feuille de style (CSS) est chargée.

Plus d’informations sur : What’s new Azure AD

Il y a quelques mois, j’annonçais que l’application mobile Adobe Acrobat Reader for Intune atteindrait la fin du support et ne sera plus supportée par les stratégies de protection des applications (APP) de Microsoft Intune à partir du 1er décembre 2019. Suite à des retours clients, la fin de support a été étendue jusqu’au 31 mars 2020.

Pour rappel, en lieu et place, Microsoft recommande l’utilisation de l’application Acrobat Reader dans les stratégies puisque cette application s’est pleinement intégrée avec le SDK Intune.

Si vous aviez déjà des stratégies ciblant Adobe Acrobat Reader for Intune, vous remarquerez qu'elles sont maintenant ciblées sur 'Acrobat Reader'. Microsoft a fait ce changement au niveau du backend pour vous. A partir du 31 Mars 2020, vous ne pourrez plus cibler Adobe Acrobat Reader for Intune, et les utilisateurs finaux ne recevront plus la stratégie de protection des applications pour cette application particulière sur les périphériques.

Si vous êtes dans ce cas, vous devez vous assurer de ne plus déployer Adobe Acrobat Reader for Intune mais de privilégier Acrobat Reader en lieu et place.

Plus d’informations sur : https://helpx.adobe.com/acrobat/kb/intune-app-end-of-life.html