Microsoft propose une vidéo via Microsoft Mechanics pour présenter les dernières nouveautés du service Microsoft Cloud App Security. MCAS est une solution CASB qui assure la découverte, la conformité, la protection de l'information et la protection contre les menaces pour les services natifs de Microsoft et les applications tierces.

Parmi les nouveautés présentées dans la vidéo, on retrouve :

• Découverte d'applications métier (LoB)
• Évaluation de la conformité GDPR de toutes les applications de votre organisation.
• Détection des ransomware et des activités des utilisateurs qui ne devraient plus avoir accès aux ressources de votre entreprise.
• Surveillance et contrôle des sessions des utilisateurs en temps réel avec le contrôle des applications avec accès conditionnel.
• Gestion centralisée du DLP avec le moteur de classification des données de Microsoft

Source : https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/Microsoft-Cloud-App-Security-Updates-Microsoft-Mechanics/ba-p/234827

Vous avez mis à jour d’une version Windows 10 à l’autre et les applications modernes précédemment retirées sont revenues ? Vous avez provisionné une application pour tous les utilisateurs mais cette dernière n’a pas été chargée lors de l’ouverture de session et du profil ?

Autant de questions qui peuvent nécessiter du dépannage avancé.

DISM et PowerShell peut être une première réponse. L’observateur d’événements peut vous donner des éléments en naviguant dans : Applications and Services logs – Microsoft – Windows – AppxDeployment et AppxDeployment-Server

Mais le registre peut fournir des éléments intéressants via : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore

On retrouve différentes clés :

• Applications
• Deleted avec des sous clés :
  • EndofLife pour les applications retirées par l’éditeur
  • Upgrade : pour des applications qui ont été mises à niveau
• Deprovisioned : liste les applications qui ont été retirés globalement par un administrateur via DISM ou les Cmdlets PowerShell.
• InboxApplications pour les applications essentielles au système qui ne peuvent être désinstallées. Ceci inclut Microsoft Edge
• Les clés correspondant au SID de l’utilisateur qui listent toutes les applications installées pour l’utilisateur
• Staged : Les applications provisionnées pour tous les utilisateurs.

Par exemple pour Windows 10 1703 ou 1709, vous pouvez créer des clés spécifiques sous Deprovisioned pour s’assurer que celles qui ont été retirées ne seront plus réinstallée avec la version 1803.

Aaron Margosisv (Microsoft) a créé une boite à outils de script qui visent à créer et maintenir des règles de liste blanche AppLocker. Les scripts PowerShell documentent les exécutions d’applications sur des dossiers qui sont écrivables par un utilisateur standard. Il permet ainsi de bloquer et créer les règles adéquates.

Plus d’informations sur le billet d’Aaron : Application whitelisting with “AaronLocker”

Télécharger les scripts

Microsoft a annoncé la fin de support d’iOS 9 par Microsoft Intune à partir de Septembre. La sortie d’iOS 12 est attendue pour septembre 2018 et après cette date l’enregistrement à Microsoft Intune, le portail d’entreprise et le navigateur géré (Managed Browser) demanderont à minima iOS 10.

Microsoft rappelle que les applications mobiles d’Office 365 ne sont déjà plus compatibles iOS 9. Les périphériques suivants sont concernés :

• iPhone 4S
• iPod Touch
• iPad 2
• iPad (3^ème Génération)
• iPad Mini (1^er Génération)

Vous devez donc les remplacer vers des périphériques plus récents qui supportent au moins iOS 10.

Pour identifier les périphériques qui ne seront plus compatibles, vous pouvez :

• Pour Intune en mode autonome, naviguez dans Devices – all devices et filtrer sur le système d’exploitation
• Pour Intune en mode hybride avec Configuration Manager, naviguez dans Assets and Compliance – Devices et ajoutez la colonne Operating System et Client Version pour trouver les périphériques concernés.

Les stratégies de protection des applications peuvent aussi vous permettre dès aujourd’hui de demander une version de système d’exploitation minimum avec le paramètre : « Require minimum iOS operating system (Warning only) »

Chris Jackson (Microsoft) a publié un billet sur la fonctionnalité de réduction de la surface d’attaque (ASR) présente dans Windows 10 via Windows Defender Exploit Guard. Le principal problème de cette fonctionnalité est que les différentes atténuations peuvent avoir des impacts sur les applications utilisées ; ceci inclut aussi des applications Microsoft telles qu’Excel.

Son article revient sur la stratégie à adopter lors de l’implémentation de la fonctionnalité : Interpreting Exploit Guard ASR audit alerts

Matt Shadbolt (MSFT) a publié un billet pour décrire la marche à suivre lorsque vous devez dépanner l’application de stratégies MDM sur Windows 10 via Microsoft Intune.

Le premier point de passage est l’observateur d’événements (eventvwr) en naviguant dans Application and Services Logs – Microsoft - Windows - DeviceManagement-Enterprise-Diagnostics-Provider.

Le journal Admin donne des éléments intéressants mais vous pouvez activer le mode Debug via le menu View puis Show Analytics and Debug Logs. Un journal Debug apparaît alors. Vous pouvez l’activer et relancer une synchronisation pour avoir plus de détails.

Pour en apprendre plus, rendez-vous sur : Troubleshooting Windows 10 Intune Policy Failures

Microsoft a mis à jour une nouvelle fois la baseline permettant de vérifier l’état de conformité des machines vis-à-vis des vulnérabilités Spectre et Meltdown (Speculation Execution Side-Channel) avec System Center Configuration Manager. Cette version ajoute la vérification de la vulnérabilité CVE-2018-3620.

La baseline vérifie si la protection est activée pour les quatre vulnérabilités suivantes :

• CVE-2018-3620 (L1 Terminal Fault)
• CVE-2018-3639
• CVE-2017-5715
• CVE-2017-5754

La baseline requiert PowerShell 3.0 pour fonctionner.

Télécharger Speculation Execution Side-Channel Vulnerabilities Configuration Baseline

Source : https://blogs.technet.microsoft.com/configurationmgr/2018/08/20/speculative-execution-configuration-baseline-updated-for-l1tf-cve-2018-3620/

L’équipe du support Intune a publié un billet pour détailler d’un comportement concernant la plateforme Android et la gestion par Microsoft Intune. Il se peut que les périphériques Android ne demandent pas nécessairement la création d’un mot de passe si vous avez laisser le type de mot de passe comme par défaut du périphérique.

Microsoft va retirer cette valeur afin d’empêcher la création de stratégie qui ne donne pas le comportement voulu.

Vous pouvez constater le paramétrage dans le portail Intune en naviguant dans

• Device configuration > Profiles > Android device restrictions profile > Password.
• Device configuration > Profiles > Android enterprise, Work profile only device restriction profile > Work profile settings
• Device configuration > Profiles > Android enterprise, Work profile only device restriction profile > Device password
• Device configuration > Profiles > Android enterprise, Device Owner only device restriction profile > Device password
• Device compliance > Policies > Android policy > System Security tab

L’option Device Default doit donc être changée à une valeur comme Any ou Required.

Plus d’information sur : Android passwords may not be enforced when selecting “device default” password type

Cela fait maintenant plusieurs mois que Microsoft a changé la stratégie de mise à jour des systèmes d’exploitation pour aligner ce qui a été mis en place avec Windows 10. On retrouve différents types de mises à jour cumulatives publiées et si vous naviguez sur les Forums Microsoft, vous avez peut-être pu voir des ingénieurs dire que certains bugs étaient corrigés dans la mise à jour 4C, 5D, etc.

Non ! Ce n’est pas la bataille navale mais bien un jargon faisant référence à un type de mise à jour cumulative mensuel.

• Les mises à jour B font références aux mises à jour cumulatives publiées lors du Patch Tuesday, le second mardi du mois. Ce sont celles qui permettent de corriger les vulnérabilités de sécurité détectées et testées par Microsoft.
• Les mises à jour C et D ont lieu la 3^ème et 4^ème semaine du mois. Ce sont des Preview qui ne contiennent pas de mises à jour de sécurité et sont proposées à des fins de tests pour la publication du Patch Tuesday du mois suivant (comme une mise à jour B).
• Les mises à jour hors cycle (out-of-band release) n’ont pas de planification particulière. Ces mises à jour de sécurité sortent du cycle standard de mise à jour pour corriger une vulnérabilité dangereuse (0days) ou un problème de qualité immédiatement sans avoir à attendre les autres mises à jour.

Ainsi, si vous voyez quelqu’un qui parle de la mise à jour 9C, cela signifie que c’est la mise à jour publiée la 3^ème semaine du mois de septembre.

Plus d’informations sur l’histoire des mises à jour via l’article : Windows 10 update servicing cadence

L’équipe du support Intune a communiqué avoir retiré certains paramétrages pour iOS et macOS qui étaient présentés temporairement dans le portail Azure. Ces paramétrages ont été présentés dans l’interface bien que le backend n’étaient pas prêt.

Voici la liste des paramétrages iOS qui ont été temporairement supprimés :

• Require students to request permission to leave Classroom course (supervised only)
• Allow over-the-air PKI updates
• Limit ad tracking
• Block VPN creation (supervised only)
• Require iTunes password for all purchases
• Block removal of system apps from device (supervised only)
• Block AirPrint (supervised only) – 4 paramètres
• Block iCloud Keychain sync
• Block Enterprise Book Backup
• Block enterprise book metadata sync (notes and highlights)

Voici la liste des paramétrages macOS qui ont été temporairement supprimés :

• Block AirPrint (supervised only) – 3 paramètres
• Block iCloud Keychain sync

Source : https://blogs.technet.microsoft.com/intunesupport/2018/08/13/support-tip-update-to-some-manageability-settings/

Voilà une bonne nouvelle pour toutes les entreprises qui gèrent des machines Windows 10 et une bonne raison de passer à Windows 10 1809. Microsoft a annoncé avoir travaillé sur un nouveau type de mise à jour de qualité plus facile à gérer, plus petite en taille et redistribuable.

Jusqu’à maintenant, on retrouvait trois types de packages :

• Les mises à jour cumulatives complètes pouvant aller jusqu’à 2 GB
• Les mises à jour cumulative Delta étant un sous ensemble des changements entre la version précédente et la version courante du niveau de mise à jour.
• Les mises à jour Express comprenant un découpage des composants de la mise à jour afin que le client ne télécharge et l’installe que ce qui est nécessaire.

On retrouvait un ratio inversement proportionnel entre la taille nécessaire à télécharger sur les clients et la taille du stockage nécessaire sur les serveurs WSUS ou les points de distribution d’une infrastructure System Center Configuration Manager. En effet les mises à jour cumulatives complètes, ont une taille fixe de 2GB sur les clients ou sur les points de distribution. Les mises à jour Express peuvent avoir une taille bien moindre (100 MB) sur les clients mais demander jusqu’à trois fois la taille de la mise à jour complète (+ de 6GB) sur les points de distribution.

Les entreprises avaient donc le choix entre impacter le réseau et le stockage client avec des mises à jour cumulatives complètes ou impacter le stockage des serveurs d’infrastructure (WSUS/SCCM) pour limiter l’impact sur la bande passante et le stockage local des clients.

Avec ce nouveau type de mise à jour, on retrouve une optimisation similaire côté client ou côté serveur d’infrastructure :

Ces mises à jour seront disponibles au format Cabinet (.cab) sur Windows Update, WSUS et SCCM ou au format Update Standalone Installer (.msi) en téléchargement. Ils pourront donc être gérés par System Center Configuration Manager, WSUS, Microsoft Intune, ou des outils de MDM tiers. Ceci s’appliquera à Windows 10 1809+ ou Windows Server 2019.

Source : https://techcommunity.microsoft.com/t5/Windows-IT-Pro-Blog/What-s-next-for-Windows-10-and-Windows-Server-quality-updates/ba-p/229461

Cela faisait plusieurs mois qu’on pouvait s’attendre à une annonce comme celle-ci avec le peu de nouveautés et d’investissements sur la gestion des périphériques mobiles (MDM) en mode hybride via System Center Configuration Manager couplé à Microsoft Intune. C’est maintenant officiel et la fin du service est prévue pour le 1er septembre 2019. Cette décision est motivée par l’investissement important fait par Microsoft sur Microsoft Intune dans mode autonome. Ceci a créé un plébiscitât du service par les entreprises. Il y a de moins en moins d’entreprises qui utilisent le mode hybride.

Les clients concernés ont été informés via une notification (MC146431) dans l’Office Message Center du portail Office 365.  Pour savoir si vous utilisez le mode hybride, vous pouvez ouvrir la console Configuration Manager et naviguer dans Administration – Cloud Services – Microsoft Intune Subscriptions. Si vous constatez qu’un abonnement est présent, c’est que vous utilisez le mode hybride.

Microsoft laisse donc un an à ses clients pour migrer vers la gestion des périphériques mobiles (MDM) via Microsoft Intune en mode autonome. Pendant cette année, Microsoft corrigera les bugs importants et s’assurera que les fonctionnalités existantes, fonctionnent sur les nouveaux systèmes tels qu’iOS 12.

Les clients qui migreront sur Microsoft Intune en mode autonome n’ont pas à opérer de changement de licences puisque ces dernières, restent les mêmes. A partir de Novembre 2018, Microsoft va commencer à bloquer l’ajout de nouveaux tenants hybrides. Lorsque la fin du service sera effective le 1er septembre 2019, les périphériques gérés en mode hybride ne recevront plus de stratégies, d’applications, etc.

Pour les clients hybrides, vous devez commencer à réfléchir à la migration. Microsoft fournit un chemin de migration qui permet de passer du mode hybride au mode autonome sans interruptions particulières. Vous pouvez vous référez à la documentation. Dans les grandes lignes, le processus est le suivant :

1. Importer les données de Configuration Manager dans Microsoft Intune via l’outil Intune Data Importer Tool. Ceci inclut les stratégies, les profils, les déploiements, etc.
2. Préparer Intune pour la migration des utilisateurs. Ceci inclut la création des groupes Azure Active Directory, l’installation des connecteurs Exchange ou NDES.
3. Changer l’autorité MDM pour certains utilisateurs et procéder ainsi à la migration par lots. Ceci met votre tenant dans une mode d’autorité mixte.
4. Changer l’autorité MDM à Microsoft Intune seul.

Les clients peuvent se faire assister par le programme Microsoft FastTrack.

Dans les faits, voici quelles sont les options pour chaque plateforme si vous utilisez le mode hybride :

• Périphériques Windows 10 Desktop ou Mobile : Passage du mode hybride vers Microsoft Intune autonome ou Co-Management via Configuration Manager et Microsoft Intune.
• Périphériques iOS : Passage du mode hybride vers Microsoft Intune autonome.
• Périphériques Android : Passage du mode hybride vers Microsoft Intune autonome.
• Périphériques macOS : Passage du mode hybride vers Microsoft Intune autonome.

Note : Cette annonce ne remet pas en cause le futur de System Center Configuration Manager qui reste positionné comme une solution de gestion traditionnelle On-Premises.

Plus d’informations : https://blogs.technet.microsoft.com/intunesupport/2018/08/14/move-from-hybrid-mobile-device-management-to-intune-on-azure/

Après trois semaines où la version n’était proposée qu’en Slow Ring via l’exécution du script PowerShell, Microsoft vient de mettre à disposition System Center Configuration Manager 1806 (5.00.8692.1000) pour toutes les infrastructures. Vous pouvez aller dans la partie Administration – Updates & Servicing pour lancer la mise à niveau de votre infrastructure. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1702 avant de pouvoir passer à cette version.

Pour voir la liste des nouveautés, je vous invite à lire mon autre billet.

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Microsoft a informé d’une vulnérabilité Denial of Service (DoS) (CVE-2018-5390) affectant le kernel Linux. Des machines virtuelles exécutants Linux, peuvent être vulnérable. Les hôtes Azure ne sont pas concernés par ce problème de vulnérabilité et Microsoft travaille avec les fabricants de distribution Linux pour corriger le problème.
• Disponibilité Générale des groupes d’administration (Azure Management Groups) permettant d’organiser les abonnements et appliquer des contrôles de gouvernance via Azure Policy et RBAC. Tous les abonnements des groupes d’administration héritent de ces contrôles.
• Intégration d’Ansible 2.6 à Azure Cloud Shell avec 4 nouveaux modules permettant de gérer (créer, mettre à jour et supprimer) un service Azure Kubernetes, et de gérer des ressources Azure en utilisant l’API REST Azure. Ansible permet d’automatiser les applications et les infrastructures IT. Pour rappel, l'Azure Cloud Shell est un outil de ligne de commande en mode navigateur qui permet d'exécuter des commandes directement dans le portail.

Azure MarketPlace

• On retrouve 97 nouvelles offres en Juillet parmi lesquelles :
  • Pour les machines virtuelles : Bloombase StoreSafe, BlueCat DNS Edge Service Point VM for Azure, CentOS 7 WebServer (LAMP) with WAF, Dell EMC Data Domain Virtual Edition (DD VE) v4.0, Dell EMC NetWorker Virtual Edition, Eastwind Sensor for CloudVu, Hardened Node.js PHP IIS on Windows Server 2012 R2, ISP OCR on Azure, LimeSurvey by tunnelbiz, Netsweeper 6.0.6, php linux server with laravel framework, QRadar SIEM (BYOL), Softadmin, et Zultys MXvirtual from Connector73.
  • Pour les Web Applications : AcuPebble, CSP Control Center, Kaspersky Hybrid Cloud Security (BYOL), et RadiantOne Federated Identity Service.

Azure Storage

• Public Preview d’Azure NetApp files, un service natif Azure proposant la technologie ONTAP de NetApp. Ceci permet d’apporter des volumes NFS gérés dans Azure. La Preview est disponible dans le Datacenter East US et prochainement sur West US 2.
• Preview des disques SSD pour le service Azure Data Box Disk. Ce dernier permet le transfert de jusqu’à 40 TB de données vers Azure.

Azure Network

• Public Preview d’Azure Virtual WAN offrant la possibilité de connecter de façon transparente vos succursales à Azure avec les périphériques SDWAN et VPN (c'est-à-dire les équipements des locaux de l’entreprise) avec une facilité d'utilisation intégrée et une gestion automatisée de la connectivité et de la configuration. Microsoft lance le service avec Citrix et Riverbed mais des partenaires additionnels sont attendus : Barracuda, Checkpoint, Nokia Nuage, Palo Alto, Versa Networks et Silverpeak
• Public Preview d’Azure Firewall offrant des capacités de pare-feu natif entièrement dynamique pour les ressources du réseau virtuel, avec une haute disponibilité intégrée et la possibilité d'évoluer automatiquement. Les clients peuvent créer et appliquer des stratégies de connectivité à l'aide de règles de filtrage au niveau des applications et du réseau. Les stratégies de connectivité peuvent être appliquées sur plusieurs abonnements et réseaux virtuels. Le service Azure Firewall est entièrement intégré avec la plate-forme Azure, l'interface utilisateur du portail et les services.
• Microsoft annonce l’arrivée de 8 nouveaux emplacements POP (Point of Presence) pour Azure CDN : Seattle (USA), Las Vegas (USA), Houston (USA), Budapest (Hongrie), Barcelone (Espagne), Varsovie (Pologne), New Delhi (Inde), et Busan (Corée du Sud).
• Disponibilité Générale des VNet Service Endpoints pour MySQL et PostgreSQL dans toutes les régions afin de vous permettre d'isoler la connectivité à votre serveur logique à partir d'un sous-réseau ou d'un ensemble de sous-réseaux donné dans votre réseau virtuel. Le trafic vers MySQL/PostgreSQL de votre VNet restera toujours dans le réseau Azure. Cette route directe sera privilégiée par rapport à toutes les routes spécifiques qui utilisent le trafic Internet via des appliances virtuelles ou On-Premises.
• Ajout des probes HTTPS aux load balancers standard dans Azure. Ceci permet d’obtenir l’état pour un chemin et un port spécifique entre différents essais.

Azure Advisor

• Azure Advisor intègre de nouvelles recommandations pour Azure SQL Data Warehouse.
• Public Preview de la journalisation des activités en utilisant les paramétrages de diagnostic d’Azure Monitor. Ceci vous permet de streamer des données de journalisation du service vers un compte de stockage Azure, un espace de nom Event Hubs ou un workspace Log Analytics.

IaaS

• Disponibilité Générale de la flexibilité de la taille des instances de machines virtuelles réservées. La fonctionnalité permet de déployer des machines virtuelles de tailles différentes tout en gardant le bénéfice d’Azure Reserved Instances (RI). On retrouve donc un ratio associé à la taille par groupe de machines virtuelles (par exemple DSv3 Series).
• Disponibilité Générale de la fonctionnalité permettant de convertir des machines virtuelles avec des disques non gérés vers disques gérés (Managed Disks). La migration peut se faire en un seul clic. Les Managed Disks offre de nombreux bénéfices comme la fin des limites associées au compte de stockage, la création de VM Scale Sets avec plus de 1000 instances, la sécurisation des disques, des snapshots et des images via RBAC, etc.
• Une option de redémarrage a été ajoutée Azure Update Management.

Azure Stack

• Mise à jour 3 d’Azure App Service pour Azure Stack apportant les fonctionnalités suivantes :
  • Support de l’utilisation de SQL Server Always ON pour les bases de données Azure App Service Resource Provider.
  • Mise à jour d’App Service Tenant, Admin, des portails Functions, et des outils Kudu.
  • Mise à jour d’ASP.Net Core, NodeJS, Zulu OpenJDK, Tomcat, PHP, Wincache et Git.
  • Des correctifs et des mises à jour
• Les différents services Azure sur Azure Stack ne nécessiteront plus qu’un port dédié pour l’ajout de fonctionnalité dans le portail. Seul le port 443 sera nécessaire et devra être ouvert en sorti. Microsoft vient de faire le travail pour les extensions par défaut du portail utilisateur et d’administration pour la mise à jour 1810. Ce qui a réduit de 27 à un seul port nécessaire. Microsoft va peu à peu étendre ceci à l’ensemble des services comme SQL ou MySQL. Ceci demandera par contre deux certificats wildcard SSL pour le portail utilisateur et d’administration.

Azure Advanced Threat Protection

• Microsoft annonce 4 nouvelles détections. Deux détections sont autour d'une nouvelle attaque où un attaquant se fait passer pour un contrôleur de domaine afin d'obtenir des privilèges dans l'environnement. Microsoft détecte maintenant quand une machine est promue de façon suspecte comme contrôleur de domaine, et quand une demande de réplication d'un contrôleur de domaine suspect est envoyée. Microsoft a également ajouté une nouvelle façon de détecter les attaques Golden Ticket, lorsque l'attaquant accorde un golden ticket à un faux utilisateur qui n'existe pas dans Active Directory. Ceci constitue une technique courante utilisée par les attaquants pour cacher leurs traces. La dernière détection vous avertit lorsqu'un utilisateur se connecte à partir d'une connexion VPN suspecte.

Enterprise Mobility + Security

Azure Active Directory

• Microsoft a unifié les expériences utilisateurs pour l’enregistrement des informations de sécurité pour l’authentification à facteurs multiples (MFA) et le portail de réinitialisation de mot de passe en libre-service (SSPR). Microsoft a créé une nouvelle documentation pour guider les utilisateurs dans cette nouvelle expérience.
• Amélioration de l’expérience d’enregistrement de l’application Microsoft Authenticator avec des instructions et des illustrations claires. De plus, les utilisateurs qui s'inscrivent à partir de leur périphérique mobile peuvent configurer leur compte dans l'application Microsoft Authenticator d'un simple clic.
• Les utilisateurs qui enregistrent l'application Microsoft Authenticator par le biais de la nouvelle expérience d'enregistrement des informations de sécurité ou de l'expérience actuelle d'enregistrement MFA peuvent utiliser une application d'authentification pour prouver qui ils sont pour réinitialiser leur mot de passe. Voici la documentation pour activer cette fonctionnalité.

Azure Information Protection

• Mise à jour de la documentation d’Azure Information Protection :
  • How to configure conditions for automatic and recommended classification for Azure Information Protection pour inclure les nouveaux types d’information sensibles qui vont devenir disponible dans le portail Azure afin d’identifier les données personnelles dans les documents et Emails.
  • Deploying the Azure Information Protection scanner to automatically classify and protect files pour expliquer qu’afin de découvrir et classifier des documents Office, ces derniers doivent être dans un format de fichier Office 97-2003 ou Office Open XML.
  • Azure Information Protection client: Version release history and support policy : Mise à jour avec la nouvelle version Preview.
  • Azure Information Protection client administrator guide : Ajout d’une section Post installation tasks qui inclut des instructions pour modifier les macros dans les feuilles Excel.
  • Mise à jour de Admin Guide: Custom configurations for the Azure Information Protection client

Operations Management Suite

• Depuis fin juillet, les Workspaces ne peuvent être créé qu’à partir du portail Azure.

Windows Analytics

• .

Azure Log Analytics

• Nouvelle version 6.0-163 de l’agent Log Analytics pour Linux apportant la fin du support de SSL 0.9.8 et TLS 1.0/1.1, le support d’Ubuntu 18.04, la fin du support des distributions Amazon Linux 2012.09, CentOS 5, Oracle Linux 5, RHEL 5, Debian 6 et 7, Ubuntu 12.04, SUSE 11. Il apporte aussi l’amélioration de la sécurité et notamment des permissions sur les fichiers et dossiers. On retrouve aussi Ruby 2.4.4, OMI 1.4.2-5, SCX 1.6.3-659.

• • Advanced Analytics arrive dans le portail Azure. Celui-ci permet d’exécuter des requêtes avancées. Vous pourrez alors mettre autant d’onglets que vous le souhaitez, des visualisations enrichies, la colorisation de la syntaxe, l’exploreur de requêtes, le visionnaire de schéma, etc.

• Pas moins de 12 fonctions ont été ajoutés au langage de requêtage d’Azure Log Analytics.

Azure Automation

• Disponibilité Générale de la fonctionnalité permettant le démarrage et l’arrêt de machines virtuelles en dehors des heures de travail.

Azure Backup

• Azure Backup supporte maintenant jusqu’à 100 machines virtuelles par stratégie de protection.

Azure Site Recovery

• Update Rollup 27 pour Azure Site Recovery (ASR) avec l’ajout du Support de SUSE 12 et RHEL 7.5 et la correction d’un bug si un nombre de cœurs insuffisant est disponible dans l’abonnement.
• Veritas Backup Exec Instant Cloud Recovery peut maintenant utiliser les capacités d’Azure Site Recover via Backup Exec 20.2. Les utilisateurs de Backup Exec peuvent facilement configurer la réplication continue pour les machines virtuelles On-Prem vers Azure avec un basculement rapide en cas de perturbation sur site. Les clients de Backup Exec peuvent minimiser le RPO et le RTO pour les applications critiques.

Azure Migrate

• Azure Migrate permet maintenant de planifier la migration vers Azure pour des machines virtuelles qui utiliseront les instances réservées. Azure Migrate vous permettra de mettre en évidence le modèle de coût.
• La solution fournit de nouveaux moyens de spécifier les séries de machines virtuelles qui seront utiliser pour les recommandations de tailles.
• Vous pouvez utiliser la propriété de type de stockage dans une évaluation et spécifier des disques premium comme type de stockage pour vous assurer que la recommandation de taille VM est faite en conséquence.
• Vous pouvez maintenant utiliser la propriété VM uptime en évaluation pour spécifier les détails du temps de disponibilité des VMs et obtenir l'estimation des coûts des VMs.
• Azure Migrate supporte maintenant Azure Government Cloud.
• Si vous avez des machines virtuelles Windows Server 2008 dans votre environnement, vous pouvez maintenant profiter de l'option pour obtenir des mises à jour de sécurité étendues gratuites en migrant ces machines virtuelles vers Azure. Azure Migrate vous aidera maintenant à identifier ces VMs comme des VMs prêtes pour Azure qui peuvent être migrées vers Azure en utilisant Azure Site Recovery.

Azure SQL

• Disponibilité Générale des capacités réservées pour Azure SQL Database pour une seule et des bases de données simples et des Elastic Pools.
• Améliorations d’Azure Database for MySQL avec notamment :
  • Preview du support de l’amélioration de la sécurité avec les Virtual Network Service Endpoints afin d’isoler la connectivité d’un serveur logique à partir d’un ou plusieurs réseaux.
  • Support de bases de données allant jusqu’à 4TB lors de la sélection des niveaux de service General Purpose ou Memory Optimized.
  • Disponibilité Générale de Data-in Replication pour synchroniser les données depuis un serveur On-Premises, une machine virtuelle ou des services de base de données en dehors d’Azure dans Azure Database for MySQL.
  • La restauration géographique est disponible.
  • Preview du support par Azure Database Migration Service (DMS) pour permettre la migration de bases de données MySQL vers Azure Database for MySQL sans interruption.
  • Disponibilité générale du niveau de prix Memory Optimized.
  • Disponibilité Régionale dans 28 régions supplémentaires dont : Central US (Gen 4), North Central US (Gen 5), France Central (Gen 5), East Asia (Gen 5), Australia East (Gen5), Australia East 2 (Gen5), Australia Southeast (Gen 5), Central India (Gen 5), West India (Gen 5), South India (Gen 5), et Korea Central (Gen 5).
• Améliorations d’Azure Database for PostgreSQL avec notamment :
  • Preview du support de l’amélioration de la sécurité avec les Virtual Network Service Endpoints afin d’isoler la connectivité d’un serveur logique à partir d’un ou plusieurs réseaux.
  • Support de bases de données allant jusqu’à 4TB lors de la sélection des niveaux de service General Purpose ou Memory Optimized.
  • La restauration géographique est disponible.
  • Support de PostgreSQL version 10.3.
  • Preview du support par Azure Database Migration Service (DMS) pour permettre la migration de bases de données PostgreSQL vers Azure Database for PostgreQSL sans interruption.
  • Disponibilité générale du niveau de prix Memory Optimized.
  • Disponibilité Régionale dans 28 régions supplémentaires dont : Central US (Gen 4), North Central US (Gen 5), France Central (Gen 5), East Asia (Gen 5), Australia East (Gen5), Australia East 2 (Gen5), Australia Southeast (Gen 5), Central India (Gen 5), West India (Gen 5), South India (Gen 5), et Korea Central (Gen 5).

Azure Data Factory

• Les outils visuels Azure Data Factory supporte maintenant l’intégration avec GitHub.

HDInsight

• Azure HDInsight Apache Phoenix supporte maintenant Zeppelin. Apache Phoenis est une base de données relationnelle massivement parallèle open source et construite sur HBase. Apache Zeppelin est un notebook open source basé sur le Web qui permet l'analyse interactive des données et des documents collaboratifs avec SQL, Scala et beaucoup d'autres langages.
• HDInsight supporte les Service endpoints avec les Blob Storage, Azure SQL Database, et Azure Comsos DB.

Azure IoT

• Public Preview de la fonctionnalité de bascule manuelle d’Azure IoT Hub. La fonctionnalité permet à une entreprise de basculer une instance IoT Hub d’une région principale Azure vers une région géographiquement associée.

Azure App Service

• Disponibilité Générale de Linux sur les environnements App Service. Vous pouvez utiliser du Node, PHP, Java, .NET Core. En outre si vous utilisez vos conteneurs personnalisés, vous pouvez prendre des images à partir de DockerHub, Azure Container Registry, et de votre propre registre privé.
• Public Preview du support des conteneurs Windows par Azure App Service. On retrouve de nouveaux SKUs et des images de base. Cette Public Preview permet de déployer des applications conteneurisées en utilisant Docker Hub, Azure Container Registry ou des registres privés, le déploiement incrémental en production, le dimensionnement automatique, etc.

Autres services

• Disponibilité Générale des outils d’analyse comportemental des utilisateurs dans Azure Application Insights.
• Public Preview du SDK 2.0 Java Script pour Azure Cosmos DB
• Publication de la version 0.5.0 du SDK Speech Devices.
• Disponibilité de la version 1.3.0 d'Azure Blockchain Workbench avec l'amélioration du temps et de la fiabilité de déploiement, l'amélioration des microservices DLT Watcher et DLT Consumer. On retrouve aussi la capacité de déployer u nWorkbench dans un consortium multi membre Ethereum PoA.

Microsoft vient de publier une mise à jour de sécurité pour Exchange Server 2013 CU20, 2013 CU21, 2016 CU9, et 2016 CU10.

Ces mises à jour corrigent la vulnérabilité suivante : Microsoft Common Vulnerabilities and Exposures CVE-2018-8302. Une vulnérabilité d'exécution de code à distance existe dans Microsoft Exchange lorsqu’il ne gère pas correctement les objets en mémoire. Un attaquant qui a exploité avec succès la vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l'utilisateur du système. Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes.

Télécharger :

• Security Update For Exchange Server 2013 CU20 (KB4340731)
• Security Update For Exchange Server 2013 CU21 (KB4340731)
• Security Update For Exchange Server 2016 CU9 (KB4340731)
• Security Update For Exchange Server 2016 CU10 (KB4340731)

L’équipe Exchange vient de publier le 23ème Rollup (KB4340733) pour Exchange Server 2010 SP3 (version 14.03.0417.001).

Il corrige la vulnérabilité suivante : Microsoft Common Vulnerabilities and Exposures CVE-2018-8302

Télécharger Update Rollup 23 For Exchange 2010 SP3 (KB4340733)

Voici un article intéressant de Paul Bergson (PFE Microsoft) qui détaille une nouvelle mode avec la montée en puissance des cryptomonnaies : Le Cryptojacking. On retrouve un nouveau genre de malware qui vise à utiliser les ressources des ordinateurs pour miner de la cryptomonnaie. Les attaquants n’ont souvent pas l’argent de payer des charges de calcul dans le Cloud et passe donc par l’infection de machines standards pour miner notamment du Monero.

Comme à l’usage, l’infection a lieu de deux façons :

• Via une attaque par hameçonnage (phishing)
• Via un website infecté qui lance un script (JavaScript).

L’article revient sur des éléments de base pour assurer la sécurité :

• Avoir un système et un antivirus à jour.
• Blacklister les sites connus pour le minage
• L’utilisation d’un bloqueur de pub
• La désactivation de JavaScript dans le navigateur
• La suppression des extensions de navigateur qui peuvent avoir été compromises
• La supervision des serveurs et des postes de travail
• L’éducation de l’utilisateur pour voir des changements sur le CPU, l’augmentation du ventilateur ou de la chaleur de l’ordinateur

En outre, il détaille les solutions Microsoft pour éviter ce genre de problème :

• Windows Defender SmartScreen
• Windows Defender Exploit Guard – Network Protection
• Windows Defender Antivirus en activant le filtre contre les applications potentiellement non souhaitées (PUA)
• Windows Defender Advanced Threat Protection
• AppLocker et Windows Defender Application Control pour donner un système de verrouillage et de liste noire/blanche d’applications.

Lire Cryptojacking – Leeches of the Internet

Microsoft a mis à disposition une nouvelle version (15.0.2.540) du serveur de rapports On-Premises pour Power BI et de PowerBI Desktop (2.61.5192.641). Power BI Report Server est disponible au travers de la licence Power BI Premium. Il permet d’offrir plus de capacité aux utilisateurs pour accéder, partager et distribuer le contenu Power BI. Le but notamment de fournir un serveur On-Premises pour héberger les rapports Power BI. Le service est construit sur la technologie SQL Server Reporting Services et inclut par conséquent toutes ses capacités (comme l’exécution de rapports RDL). Outre cette publication, on retrouve le client Power BI Desktop optimisé pour Power BI Report Server.

Cette nouvelle version de Power BI Report Server apporte :

• Reporting :
  • Report Theming
  • Boutons pour déclencher des actions
  • Styles de lignes de graphiques combinés
  • Amélioration du tri par défaut pour les visuels
  • Slicer numérique
  • Synchronisation avancée des slicers
  • Améliorations de l'axe logarithmique
  • Options de l'étiquette de données pour le diagramme en entonnoir
  • Régler la largeur de trait à zéro
  • Prise en charge d'un contraste élevé pour les rapports
  • Contrôle du rayon des Donuts
  • Contrôle de la position des étiquettes de détail des tableaux et donuts
  • Formatage des étiquettes de données séparément pour chaque mesure dans un diagramme combiné.
  • Nouvel en-tête visuel avec plus de flexibilité et de formatage
  • Formatage des fonds d'écran
  • Tooltips pour les tableaux et les matrices
  • Désactivation des infobulles pour les visuels
  • Accessibilité pour les slicer
  • Améliorations du volet de formatage
  • Support de lignes étagées pour les graphiques en ligne et combo.
  • Amélioration de l'expérience de tri
  • Imprimer les rapports par le biais de l'exportation au format PDF (dans Power BI Desktop)
  • Créer des groupes de favoris
  • Retraitement du slicer
  • Infobulles pour la page de rapport
• Analytics
  • Nouvelle fonction DAX : COMBINEVALUES()
  • Mesurer le drillthrough
  • Formatage conditionnel par un champ différent
  • Formatage conditionnel par valeurs
• Modeling
  • Filtrage et tri dans la vue des données
  • Amélioration du formatage des paramètres linguistiques
  • Catégories de données pour les mesures
  • Fonctions DAX statistiques

Pour faire fonctionner cette version, vous avez besoin de :

• .NET Framework 4.5.2 ou plus
• SQL Server Database Engine (2008 ou plus), pour stocker la base de données du serveur de rapports
• SQL Server Analysis Services (2012 SP1 CU4 ou plus), pour vos sources de données Live Analysis Services

Plus d’informations sur : https://powerbi.microsoft.com/fr-fr/blog/power-bi-report-server-update-august-2018/

Télécharger

• Microsoft Power BI Report Server – August 2018
• Microsoft Power BI Desktop (Optimized for Power BI Report Server - August 2018)

Microsoft vient de mettre à jour (version 7.7.1136.0) le management pack permettant la supervision des systèmes d’exploitation UNIX/Linux avec System Center 2012 Operations Manager (SCOM) 2012, 2016, 1801 ou 1807. Ce Management Pack permet la découverte et la supervision de la disponibilité ou de la configuration des systèmes UNIX. Cette mise à jour inclut l’agent en version 1.6.0-163 ou 1.6.3-659 (1807).

La mise à jour comprend les Management Packs pour System Center Operations Manager 1807.

Télécharger System Center Monitoring Pack for UNIX and Linux Operating Systems

Apple s’apprête à introduire un changement concernant les connexions VPN dans iOS 12. Les anciens clients des fournisseurs VPNs ne pourront plus fonctionner. Certains fabricants ont déjà communiqué sur le sujet :

• Cisco Legacy AnyConnect
• F5 Access Legacy/F5 Access 2.1 and earlier
• Palo Alto Networks GlobalProtect 4.1 and earlier

Vous devez migrer vos clients vers les nouveaux clients. Cela peut être déjà le cas pour Cisco AnyConnect. Microsoft va intégrer les changements nécessaires avant la sortie d’iOS 12 pour les clients VPN de :

• F5 Access 2018/F5 Access 3.0 ou plus
• Palo Alto Networks GlobalProtect 5.0 ou plus

Vous pouvez déjà changer pour ces clients en utilisant un profil VPN iOS avec un type de connexion personnalisé. Néanmoins, la fonctionnalité de connexion par une application ainsi que le contrôle d’accès réseau (NAC) ne fonctionneront pas.

Source : https://blogs.technet.microsoft.com/intunesupport/2018/07/30/support-tip-ios-12-and-vpn/

Initialement détecté sur iOS 12 Beta 5, il semble que le problème touche aussi iOS 11.3.1 et iOS 11.4. Lorsque l’utilisateur a activé le Touch ID ou Face ID pour iTunes et l’App Store dans les paramétrages et que l’administrateur déploie avec Microsoft Intune, une application issue du store avec un déploiement requis, disponible pour les périphériques enregistrés ou disponible avec ou sans enregistrement, alors l’authentification Face ID ou Touch ID apparaît à plusieurs reprises. Après plusieurs essais, un message d’erreur finit par s’afficher : “The <app name> could not be installed”

Le problème provient d’un bug dans iOS. Apple est au courant du problème. Ce dernier a déjà été corrigé avec iOS 12 Beta 6. En attendant qu’Apple corrige le problème sur iOS 11.3.1 ou 11.4, vous pouvez demander à vos utilisateurs de temporairement désactiver le paramétrage « Use Touch ID for iTunes and App Store ».

Source : https://blogs.technet.microsoft.com/intunesupport/2018/07/30/known-issue-intune-managed-store-app-installs-failing-on-ios-11-3-1-and-11-4-when-face-id-or-touch-id-are-enabled-for-itunes-and-app-store/

Aujourd’hui en rallumant une machine virtuelle Windows 10 de mon environnement, je me suis rendu compte que la version du système d’exploitation dans Microsoft Intune ne correspondait pas. En regardant la date de dernier contact, je constate qu’elle date de Mars ; ce qui correspond à la date de dernier démarrage de la machine virtuelle.

Je décide de me connecter à la machine et d’initier une synchronisation manuellement. Je constate alors que la synchronisation ne peut avoir lieu et elle renvoie l’erreur 0x82ac0194.

En cherchant le code d’erreur, il s’avère qu’il soit lié à l’expiration du certificat d’authentification de la machine par le service. J’ouvre donc la console de certificat (mmc -> certmgr) et constate que le certificat est expiré depuis fin Avril. Le certificat n’a donc pas été renouvelé avant et la machine n’arrive plus à communiquer avec le service.

Pour résoudre le problème, vous devez déconnecter la machine d’Azure AD ou désenregistrer la machine de Microsoft Intune pour ensuite la réenregistrer afin d’obtenir un nouveau certificat.

Ce scénario assez rare n’est pas censé survenir pour des machines qui sont allumées et synchronisées à des intervalles convenables.

J’ai rencontré un problème sur une infrastructure System Center Configuration Manager Current Branch où les données d’inventaire et le résultat de l’évaluation des rapports de conformité, n’étaient plus traités par le serveur de site. En outre, les machines ne remontent pas non plus l’état de vérification du client. Vous pouvez constater ces différents éléments via les rapports ou directement dans la console en regardant les dates de dernières remontées.

Côté client, les fichiers de journalisation ne montrent pas de problème et tout semble fonctionner. Côté serveur, le serveur IIS semble fonctionner si vous accédez à l’adresse http://<Serveur>/sms_mp/.sms_aut?mplist

Les problèmes se gâtent lorsque vous regardez les fichiers de journalisation IIS du Management Point. Vous pouvez observer les erreurs suivantes : (bits_error :, 501,0x80070005)

Cela dénote une erreur BITS. Si vous essayez d’ouvrir le gestionnaire IIS et que vous essayez d’accéder au composant BITS sur le site web par défaut, vous obtenez le message d’erreur : BITS server was unable to read from the IIS Meta-base as it is corrupt. The settings for this virtual directory have been reset to the BITS Defaults. Parameter count mismatch :

En regardant le fichier de journalisation de traitement de l’inventaire (dataldr.log), on observe des dizaines d’erreurs CounterThreadProc : MIFs/Min counter missing qui s’enchainent toutes les secondes.

Pourtant, l’état du composant SMS_INVENTORY_DATA_LOADER est normal dans la console d’administration.

Il *semble* que le problème survienne à la suite de la mise à niveau du serveur de site de Windows Server 2012 R2 vers Windows Server 2016.

Pour résoudre le problème, vous devez :

1. Désinstaller le rôle Management Point
2. Valider la désinstallation dans le fichier MPSetup.log
3. Installer le rôle Management Point à nouveau
4. Valider la réinstallation dans le fichier MPSetup.log
5. Exécuter la commande suivante dans le dossier <Répertoire d’installation de ConfigMgr>\bin\i386 : perfsetup /install /siteserver:(SERVEUR) SMS_INVENTORY_DATA_LOADER

A la suite de ces opérations, vous n’observez plus d’erreur dans les journaux IIS ainsi que des erreurs dans dataldr.log.

Veuillez noter qu’un backlog important et donc une surcharge du serveur, est à prévoir après ces opérations en fonction du délai entre le début des problèmes et le jour de la correction. En effet, le serveur va devoir traiter les données qui n’ont pas été traitées jusqu’alors.

Il y a quelques temps, Microsoft mettait à disposition un outil (SetupDiag) permettant d’aider les administrateurs à obtenir du détail lorsqu’une mise à niveau de Windows 10 ne fonctionnait pas. L’outil vérifie les fichiers de journalisation Windows Setup pour trouver les éléments bloquants afin d’identifier la cause principale de l’échec.

Afin d’exécuter l’outil, vous devez utiliser Windows 10 et avoir le .NET Framework 4.6 installé.

L’outil en ligne de commande peut être exécuté sur la machine ou de manière hors ligne à partir d’une machine où vous aurez récupéré les journaux d’une autre machine. Après exécution, vous obtenez un fichier SetupDiagResult.log qui vous donne les éléments essentiels trouvés par l’outil.

Plus d’informations sur l’outil et les paramètres de la ligne de commande 

Télécharger SetupDiag 1.3.1.0

Initialement fixée au 2 avril 2018, la fin de vie de l’ancien portail Silverlight Microsoft Intune pour la gestion des périphériques mobiles (MDM) est maintenant prévue au 31 août 2018. A partir de cette date, il sera nécessaire d’utiliser le portail Intune dans Microsoft Azure.

Ainsi, seule la gestion classique des PCs avec l’agent Intune restera dans le portail Silverlight.

Vous devez vérifier que la migration de votre tenant s’est bien passée en validant les stratégies, les messages dans le centre Office Message Center.

A noter que pour les entreprises qui utilisent Microsoft Intune dans mode hybride couplé à System Center Configuration Manager, la configuration d’Android for Work et des solutions de Mobile Threat Defense se feront toujours depuis le portail Silverlight.