• [Microsoft Defender for Endpoint] Les nouveautés de février 2024

    Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

    • Afin de renforcer les mesures de sécurité au sein des entreprises, Microsoft a modifié le délai d'expiration du script d'offboarding obtenu via le portail Microsoft Defender XDR de 30 à 3 jours.
    • Deux nouvelles règles ASR sont désormais en Preview :
      • Block rebooting machine in Safe Mode (preview): Cette règle empêche l'exécution de commandes visant à redémarrer des machines en mode sans échec.
      • Block use of copied or impersonated system tools (preview) : Cette règle bloque l'utilisation de fichiers exécutables identifiés comme des copies d'outils système Windows. Ces fichiers sont soit des doublons, soit des imposteurs des outils système d'origine.
    • Dans la version de janvier du client Defender for Endpoint pour macOS (Build: 101.23122.0005 | Release version: 20.123122.5.0), on retrouve des corrections de la prise en charge des périphériques Bluetooth pour le contrôle des périphériques et des corrections de bugs et de performances.
    • Dans la version de janvier du client Defender for Endpoint pour Linux (Build: 101.23122.0002 | Release version: 30.123122.0002.0),
      • Microsoft Defender pour Endpoint sur Linux supporte maintenant officiellement les distros Mariner 2, Rocky 8.7 et plus, Alma 9.2 et plus. Si vous avez déjà Defender for Endpoint fonctionnant sur l'une de ces distros et que vous rencontrez des problèmes avec les anciennes versions, veuillez mettre à jour vers la dernière version de Defender for Endpoint.
      • Mise à jour de la version du moteur par défaut à 1.1.23100.2010, et de la version des signatures par défaut à 1.399.1389.0.
      • Améliorations générales de la stabilité et des performances.
      • Corrections de bugs

     

    Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

  • [Universal Print] Les nouveautés de février 2024

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Universal Print.

    Les fonctionnalités suivantes sont ajoutées :

    • Ajout du support de l'impression à partir de macOS en Public Preview, ce qui constitue un pas de plus vers la réalisation de l'objectif consistant à rendre l'impression possible à partir de toutes les applications et de tous les appareils.

    Plus d’informations sur : What's new in Universal Print | Microsoft Learn

  • [Windows 365] Les nouveautés de février 2024

    Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    Général

    Expérience Utilisateur

    • Disponibilité Générale de la gestion par l'utilisateur des paramètres de l'ordinateur local via son ordinateur Windows 365 Boot.
    • Disponibilité Générale de la détection et la notification des problèmes de configuration du réseau ou de l'application par Windows 365 Boot.
    • Disponibilité Générale de la prise en charge par Windows 365 Boot de la personnalisation de la page d'ouverture de session.
    • Disponibilité Générale des informations d'affichage permettant la différentiation des tâches Windows pour le PC Cloud ou le PC local dans Windows 365 Switch
    • Disponibilité Générale de la possibilité pour les utilisateurs de se déconnecter en toute transparence de leur Cloud PC sans quitter leur bureau local avec Windows 365 Switch.
    • Disponibilité Générale des informations sur l'état de la connexion et le délai d'attente sur l'écran de connexion pour Windows 365 Switch avec les PC Windows 365 Frontline Cloud.

    Sécurité du périphérique

    • Preview d’une nouvelle option de fréquence d'ouverture de session de 15 minutes. Ceci fait appel aux règles d’accès conditionnel et notamment l’option : Conditional access > Session > Sign-in frequency > Every time.

    Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

  • Publication et mise à jour (février 2024) des outils Sysinternals

    Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

  • [Sécurité] Microsoft publie un guide des principes directeurs de NIS2

    Microsoft vient de publier un guide des principes directeurs de NIS2. La Network and Information Security Directive 2 (NIS2) est la continuation et l'expansion de la précédente directive de l'Union européenne (UE) sur la cybersécurité introduite en 2016. Avec la NIS2, l'UE élargit le socle initial de mesures de gestion des risques de cybersécurité et d'obligations de déclaration pour inclure davantage de secteurs et d'organisations critiques. L'établissement d'un socle de mesures de sécurité pour les fournisseurs de services numériques et les opérateurs de services essentiels a pour but d'atténuer le risque de cybermenaces et d'améliorer le niveau général de cybersécurité dans l'UE. Il introduit également une plus grande responsabilité, par le biais d'obligations de déclaration renforcées et de sanctions ou pénalités accrues. Les organisations ont jusqu'au 17 octobre 2024 pour améliorer leur niveau de sécurité avant d'être légalement obligées de se conformer aux exigences de la NIS2.

    Télécharger NIS2 guiding principles guide 

  • Mise à jour (2.3.6.0) de Microsoft Entra Connect (AADC)

    Microsoft vient de publier une mise à jour (2.3.6.0) à Microsoft Entra Connect. Microsoft Entra Connect est anciennement Azure Active Directory Connect - AADC, DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

    La dernière mise à jour (2.3.6.0) apporte les éléments suivants :

    • Amélioration de la détection de la mise à niveau automatique. La mise à niveau automatique ne réessayera plus si elle détecte que la machine ne répond pas aux exigences du système d'exploitation ou de l'environnement d'exécution .NET.

    Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

    Télécharger Microsoft Azure Active Directory Connect

  • [Windows] Microsoft propose deux nouvelles règles de réduction de surface d’attaque (ASR)

    Microsoft semble préparer deux nouvelles règles de réduction de surface d’attaque (Attack Surface Reduction) proposées dans Windows :

    Block rebooting machine in Safe Mode permet d’auditer, d’avertir, ou de bloquer le redémarrage en mode sans échec.

    Block use of copied or impersonated system tools permet d’auditer, d’avertir, ou de bloquer les exécutables qui usurpent l'identité ou sont des copies d'outils système et de binaires trouvés sur la machine.

    Ces éléments sont déjà visibles dans les stratégies de règles de réduction de surface d’attaque (ASR) de Microsoft Intune. Néanmoins, nous ne connaissons pas les prérequis des versions ou mises à jour nécessaires pour Windows.

  • [Edge] L’Europe impose un changement de comportement sur Windows

    Vous le savez surement cela fait plusieurs années que l’Europe impose des modifications aux entreprises qui jouirait d’une position dominante. On se souvient des versions N de Windows sans Media Player, etc. Le 15 décembre 2020, L’Europe annonçait le Digital Markets Act (DMA) pour réguler le modèle économique des GAFAMs. Après de longs mois de négociations, l’Europe vient d’imposer à Microsoft un nouveau changement qui permettra aux utilisateurs finaux de la zone économique européenne d'avoir la possibilité de désinstaller le navigateur Microsoft Edge. De plus, Microsoft Edge ne s'appuiera plus sur les politiques de groupe de diagnostic Windows dans les domaines concernés par le Digital Markets Act. Il utilisera à la place la stratégie de groupe Microsoft Edge, DiagnosticData, pour la collecte de données de diagnostic.

    La version Edge 122 introduira également une nouvelle stratégie, UrlDiagnosticDataEnabled, pour permettre plus de contrôle sur la collecte de données facultative. Cette politique permet à l’entreprise d'envoyer des données de diagnostic facultatives pour contribuer aux améliorations et à la stabilité critiques du produit, mais en évitant de partager les URL des pages visitées et l'utilisation par page.

    Les versions Windows 10 22H2 et Windows 11 23H2 seront conformes à cette directive.

  • [Remote Desktop] Nouvelle version 1.2.5126 du client Remote Desktop pour Windows

    Microsoft vient de mettre à disposition une nouvelle version (1.2.5126) du client Windows pour Remote Desktop.

    Cette version apporte les éléments suivants :

    • Correction de la régression qui provoquait un problème d'affichage lorsqu'un utilisateur sélectionnait des moniteurs pour sa session.
    • Microsoft a apporté les améliorations d'accessibilité suivantes :
      • Expérience de lecteur d'écran améliorée.
      • Contraste plus élevé pour la couleur d'arrière-plan du menu déroulant des commandes à distance de la barre de connexion.
    • Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et de flux.

    Télécharger pour :

  • [WUFB] Le rapport Windows Update for Business affiche des données partielles pour Delivery Optimization

    Suite à l’accompagnement d’un client sur son projet de configuration et d’implémentation de Delivery Optimization sur Windows 10 et Windows 11. Pour rappel, Delivery Optimization est un téléchargeur HTTP fiable avec une solution gérée par le cloud qui permet aux appareils Windows de télécharger des packages à partir de sources alternatives si souhaité comme d’autres appareils sur le réseau et/ou un serveur de cache dédié en plus des serveurs traditionnels basés sur Internet appelés ‘sources HTTP’. Delivery Optimization peut être utilisé pour réduire la consommation de bande passante en partageant le travail de téléchargement de ces packages entre plusieurs appareils.

    L’objectif de ce client était de configurer les Group IDs utilisés pour l’échange entre clients ainsi que le serveur de cache connecté (MCC). Pour cela, nous souhaitions suivre avec le rapport Windows Updates for Business et notamment la partie Delivery Optimization.

    Nous avons constaté que seule une toute petite partie des clients remontait dans cette partie du rapport (environ 100 contre 8000 machines) alors que le statut des mises à jour logicielles remontait correctement.
    Après vérification des prérequis, tout est opérationnel.

    Une première piste correspondait au fait que le client avait désactivé les mécanismes d’optimisation (P2P, MCC) proposés par Delivery Optimization via l’option DOMode définie à 100. En creusant avec l’équipe qui supporte le rapport, les machines remontent dans les conditions :

    • Les données sont générées/agrégées pour les 28 derniers jours pour les appareils actifs.
    • Pour que les données relatives à Delivery Optimization soient enregistrées dans le rapport, l'appareil doit avoir effectué une action Delivery Optimization au cours de la fenêtre mobile de 28 jours. Cela inclut les informations relatives à la configuration de l'appareil.

    Ceci signifie que les machines ne remonteront que si le client est configuré dans le mode Delivery Optimization :

    • HTTP Only (0)
    • LAN (1 – par défaut)
    • Group (2)
    • Internet (3)

    Les modes Simple (99) et Bypass (100) ne génèrent pas de données.

    La documentation a été mis à jour en ce sens.

  • [Outlook] Microsoft change sa politique de vérification de licences pour les comptes secondaires

    Voici une bonne nouvelle pour tous les utilisateurs qui ont des comptes Microsoft 365 avec des licences ne permettant pas l’accès au client lourd (E1, Business Basic, etc.). Auparavant, le nouveau client Outlook faisait une vérification des licences pour l’ensemble des comptes Microsoft 365. Ce comportement n’est pas celui de l’ancien client Outlook qui ne faisait qu’une vérification du compte principal. Ceci pouvait poser problème pour certaines typologies de profils (Consultants, etc.) qui ajoutait parfois des comptes emails pour les clients pour qui ils travaillaient.

    Microsoft a réalisé le changement depuis le 10 février. Cette amélioration garantit que Outlook classique pour Windows et le nouveau Outlook pour Windows prennent en charge les mêmes scénarios.

    Plus d'informations sur : How licensing works for work and school accounts in the new Outlook for Windows (microsoft.com)

  • [SCM] Les baselines de sécurité pour Microsoft Edge v121

    Microsoft a fait une revue de sécurité pour Microsoft Edge v121 et a déterminé qu'il n'y a pas de paramètres de sécurité supplémentaires à appliquer. La configuration recommandée reste la version 117 de Microsoft Edge.

    Il existe 11 nouveaux paramètres machines et 11 nouveaux paramètres utilisateurs dont vous pouvez voir les différences avec la version 120.

    Plus d’informations sur : Security review for Microsoft Edge version 121 - Microsoft Community Hub

    Télécharger Security Compliance Toolkit

  • Le Correctif cumulatif 14 pour Exchange Server 2019 est disponible

    Je vous en parlais en janvier, l’équipe Exchange vient de publier le 14ème Cumulative Update (CU14) pour Exchange Server 2019. C’est l’avant dernier CU pour Exchange Server 2019. Ce CU14 active notamment la protection étendue par défaut .

    Il apporte les changements suivants :

    • Support de .NET Framework 4.8.1 sur Windows Server 2022
    • Correction du CVE-2024-21410
    • 5035439 BlockModernAuth ne répond pas dans AuthenticationPolicy 
    • 5035442Le service d'atténuation Exchange n'enregistre pas les mises à jour incrémentielles
    • 5035443Les confirmations de lecture sont retournées si ActiveSyncSuppressReadReceipt a la valeur « True » dans Exchange Server 2019
    • 5035444argumentnullexception lorsque vous essayez d'exécuter une recherche eDiscovery
    • 5035446La distribution des ombres du carnet d'adresses en mode hors connexion échoue si l'autorisation héritée est bloquée
    • 5035448MCDB échoue et entraîne un décalage de l'activation de copie
    • 5035450Le programme d'installation d'Exchange 2019 installe une bibliothèque JQuery obsolète
    • 5035452Les noms d'utilisateur ne sont pas affichés dans les ID d'événement 23 et 258 
    • 5035453 Problèmes dans Exchange ou Teams lorsque vous essayez de déléguer des informations
    • 5035455MSExchangeIS cesse de répondre et renvoie « System.NullReferenceExceptions » plusieurs fois par jour
    • 5035456Erreur « Désérialisation bloquée à l'emplacement HaRpcError » et la réplication Exchange cesse de répondre
    • 5035493 Les personnalisations du proxy FIP-FS sont désactivées après une mise à jour cumulative ou une mise à jour de sécurité
    • 5035494 La pièce jointe moderne ne fonctionne pas lorsque le proxy web est utilisé dans Exchange Server 2019
    • 5035495OWA affiche les opérations du courrier indésirable même si les rapports de courrier indésirable sont désactivés
    • 5035497Impossible de modifier l'option Modifier les autorisations dans ECP
    • 5035542 L'équipement distant et les boîtes aux lettres de salle peuvent désormais être gérés par le biais du CAE 
    • 5035616 Échec des événements d'ouverture de session après la mise à jour de Windows Server
    • 5035617Les règles de transport ne sont pas appliquées aux messages en plusieurs parties ni aux autres messages
    • 5035689« High %Time in GC » et EWS ne répond pas

     

    Microsoft a décidé de déplacement le support de TLS 1.3 au Cumulative Update 15 prévu pour la fin d’année.

    Plus d’informations sur :

    Télécharger Cumulative Update 14 for Exchange Server 2019 (KB5035606)

  • [MDE] Migrer vos périphériques vers la connectivité unifiée

    Microsoft travaille actuellement à la simplification des points de terminaison (URLs) utilisés par les machines pour communiquer avec le service Microsoft Defender for Endpoint. Pour celles et ceux qui sont habitués, il existe un fichier Excel qui référence toutes les URLs selon les services et les types de plateformes. Microsoft est en train de réaliser les changements de service et d’agent permettant d’utiliser le domaine simplifié reconnu par Defender for Endpoint : *.endpoint.security.microsoft.com et ainsi remplacer les URLs existantes pour les services de base suivants de Defender for Endpoint :

    • Cloud Protection/MAPS
    • Stockage des échantillons de logiciels malveillants
    • Stockage d'échantillons Auto-IR
    • Defender for Endpoint Command & Control
    • Cyberdonnées EDR

    C’est une bonne nouvelle car la liste des URLs à ouvrir pouvait constituer une petite bataille avec les équipes réseaux/sécurité étant donné la longue liste fournie.

    Pour bénéficier de cette nouvelle capacité, vous devez remplir les prérequis suivants :

    • Système d’exploitations :
      • Windows 10 1809+
      • Windows 11
      • Windows Server 2019
      • Windows Server 2022
      • Windows Server 2012 R2 et 2016 R2
      • macOS
      • Linux
    • KB minimale pour la version SENSE: 10.8040.*/ March 8, 2022 ou plus
    • Sur Windows, Microsoft Defender Antivirus :
      • Antimalware Client: 4.18.2211.5
      • Engine: 1.1.19900.2
      • Antivirus (Security Intelligence): 1.391.345.0
    • Sur macOS/Linux : Microsoft Defender Antivirus
      • Version MDE 101.23102.*+

    Microsoft a décrit la procédure pour migrer pour chacune des plateformes :

    • Windows 10 et 11 : Possible avec le script local, par stratégie de groupes, avec Microsoft Intune, ou Microsoft Configuration Manager
    • Windows Server : Possible avec Microsoft Configuration Manager, les stratégies de groupe. Defender for Cloud n’est pas encore supporté.
    • macOS : Possible avec le script Local, Microsoft Intune, ou Jamf Pro
    • Linux : Possible par le script local ou un outils de déploiement tiers (Puppet, Ansible, Chef)

    Plus d’informations sur : Onboarding devices using streamlined connectivity for Microsoft Defender for Endpoint | Microsoft Learn

  • [Intune] Fin de support d’Android 9

    Android 15 est attendu pour le octobre2024. A partir de cette publication, Android 10 ou ultérieur sera un prérequis pour l’utilisation de Microsoft Intune dans les scénarios suivants :

    • Android Enterprise personally owned with a work profile.
    • Android Enterprise corporate owned work profile.
    • Android Enterprise fully managed.
    • Android Open Source Project (AOSP) basé sur l'utilisateur.
    • Android Device administrator. Notez que Microsoft Intune met fin à la prise en charge de Device Admin sur les appareils avec GMS en août 2024.
    • Stratégies de protection des applications (APP/MAM).
    • Stratégies de configuration des applications pour les applications gérées.

    Pour les scénarios qui ne seront plus supportés ci-dessus, les appareils Android fonctionnant sous Android 9 ou une version antérieure ne seront plus pris en charge. Pour les appareils fonctionnant avec des versions Android OS non prises en charge :

    • L'assistance technique d'Intune ne sera plus assurée.
    • Intune n'apportera plus de modifications pour résoudre les bugs ou les problèmes.
    • Le fonctionnement des fonctionnalités nouvelles et existantes n'est pas garanti.

     

    Seuls les scénarios suivants ne sont pas impactés :

    • Android Enterprise dedicated devices : La prise en charge se poursuivra sur Android 8 ou une version ultérieure.
    • AOSP sans utilisateur: Continuera à être pris en charge sur Android 8 ou une version ultérieure.
    • Appareils Android certifiés Microsoft Teams : Sera pris en charge sur les versions répertoriées dans la documentation des appareils Android certifiés par Microsoft Teams.

     

    Vérifiez vos rapports Intune pour voir quels périphériques ou utilisateurs peuvent être affectés. Pour les périphériques gérés en MDM, allez dans Devices > All devices et filtrez par OS. Pour les périphériques avec des stratégies de protection des applications, allez dans Apps > Monitor > App protection status > App Protection report: iOS, Android.

    Vous pouvez configurer des conditions de lancement sur les stratégies de protection applicatives pour afficher un avertissement à l’utilisateur s’il utilise une version ancienne du système d’exploitation.

    Plus d’informations sur : Intune moving to support Android 10 and later for user-based management methods in October 2024 - Microsoft Community Hub

  • [Entra] Microsoft et SAP annonce un partenariat

    Microsoft et SAP ont annoncé un partenariat notamment en vue de la fin de support de SAP Identity Management (SAP IDM) prévue pour 2027 et fin de support étendue pour 2030. Ainsi SAP et Microsoft propose de migrer vers Microsoft Entra ID. Les solutions Microsoft Entra ID et SAP sont déjà bien intégrées, ce qui en fait un choix logique pour les clients SAP.  Cette collaboration permet d'utiliser des services basés sur le cloud qui aident les organisations à intégrer efficacement des systèmes avec une gouvernance cohérente des identités et des accès, tout en éliminant la dépendance à l'égard des composants de gestion des identités et des accès sur site pour la gestion des identités. Microsoft supporte déjà l’intégration avec SAP SuccessFactors comme source de confiance.

    Plus d’informations sur : Preparing for SAP Identity Management’s End-of-Mai... - SAP Community

    Source : Microsoft and SAP collaborate to modernize identity for SAP customers - Microsoft Community Hub

  • [MDE] Tester les différentes fonctionnalités (SmartScreen, ExploitGuard, Network Protection, etc.)

    Kijo Girardi (Microsoft) a publié un script PowerShell à destination de Microsoft Defender for Endpoint permettant de tester les différentes fonctionnalités que vous auriez pu configurer. L’outil appelé MDE Tester permet de tester notamment :

    • Microsoft Defender SmartScreen
    • Microsoft Defender Exploit Guard, Network Protection
    • Les indicateurs d’URL de Microsoft Defender for Endpoint
    • Le filtrage de contenu Web de Microsoft Defender for Endpoint

    Accéder à l’outil sur GitHub - LearningKijo/MDEtester: MDE Tester is designed to help testing various features in Microsoft Defender for Endpoint.

  • [Windows] Dépréciation de l’outil en ligne de commande WMI (WMIC)

    Le 29 Janvier 2024, Microsoft annonçait la dépréciation de l’outil en ligne de commande WMI (WMIC). Cela signifie que Windows Management Instrumentation Command line (WMIC) sera désactivée par défaut dans les prochaines versions de Windows 11.

    Depuis 2022, WMIC était présent comme fonctionnalité à la demande et activé par défaut.

    Si votre application ou vos scripts dépendent de WMIC, vous devez procéder aux changements nécessaires. De nombreux administrateurs utilisaient parfois cette commande dans des scripts de déploiement (Applications, OS, etc.). L'outil WMIC est remplacé par Windows PowerShell pour WMI.

    Vous pouvez obtenir plus d’informations sur cet article : WMI command line (WMIC) utility deprecation: Next steps | Windows IT Pro blog (microsoft.com)

  • [Intune] Obtenir un état des lieux des prérequis pour expédier des mises à jour

    Microsoft Intune propose une fonctionnalité permettant d’expédier et forcer l’installation de certaines mises à jour via le mécanisme des profils Quality updates for Windows 10 and later. Cette fonctionnalité requiert certaines prérequis. Jusqu'à présent, vous receviez des résumés de rapports post-déploiement pour les périphériques qui ne pouvaient pas être expédiés. Ceci était donc peu pratique surtout quand on souhaitait déployer une mise à jour de toute urgence pour des raisons de sécurité.

    Il est maintenant possible d’obtenir les informations en pré-déploiement via le rapport Windows Update for Business. Vous devez pour cela :

    • Créer un déploiement d’évaluation via la GraphAPI
    • Assigner les périphériques à l’audience
    • Utiliser le rapport Windows Update for Business pour consulter l’état

     

    Plus d’informations sur : Device readiness checks for expedited Windows quality updates | Windows IT Pro blog (microsoft.com)

  • [Teams] Un guide de déploiement et un kit d’adoption pour Microsoft Teams Premium

    Microsoft a publié plusieurs ressources pour permettre d’accompagner la mise en service de Microsoft Teams Premium. Pour rappel, Teams Premium est un service additionnel en ajoutant des fonctionnalités supplémentaires pour rendre les réunions Teams encore plus personnalisées, intelligentes et sécurisées. Le service offre un mécanisme de récapitulatif intelligent de la réunion, de protection des réunions (étiquettes et marquage), etc.

    Parmi les ressources fournies par Microsoft, on retrouve :

    • Un guide de déploiement offrant des éléments pour couvrir :
      • Introduction et avantages
      • Visibilité des fonctionnalités
      • Cas d'utilisation
      • Des rôles supplémentaires sont nécessaires (par exemple, des personnes que vous devez faire venir pour confirmer ou activer).
      • Conditions préalables
      • Dépendances et limitations (par exemple, plateformes prises en charge, taille des images, etc.)
      • Conseils pour l'activation et l'adoption par l'utilisateur final - instructions étape par étape pour une mise en place réussie de la fonctionnalité.

    Plus d’informations sur : Embarking on the Microsoft Teams Premium adoption journey - Microsoft Community Hub

  • [Windows] Microsoft annonce Sudo

    Les utilisateurs du monde Open Source connaissent bien ce composant essentiel. Microsoft vient d’annoncer l’arrivée de Sudo pour Windows, un nouveau moyen pour les utilisateurs d'exécuter des commandes élevées directement à partir d'une session de console non élevée. Il s'agit d'une solution ergonomique et familière pour les utilisateurs qui souhaitent élever une commande sans avoir à ouvrir une nouvelle console élevée.

    Il est disponible avec Windows 11 Insider Preview Build 26052

    Cet outil est dirigé à destination des utilisateurs avertis comme des développeurs. Il peut être activé dans : Settings > For Developers puis en validant l’option “Enable Sudo”. Vous pouvez aussi l’activer en ligne de commande : sudo config --enable <configuration_option>.

    Il vous suffit ensuite de lancer la commande :

    sudo <commande à elever>
    Par exemple : sudo netstat -ab.

    Lors de l'élévation d'un processus à partir de la ligne de commande avec sudo, une boîte de dialogue UAC apparaît pour demander à l'utilisateur de confirmer l'élévation.

    Dans les faits, le système marche comme suit :

     

    Vous pouvez consulter la documentation de Sudo

    Plus d’informations sur : Introducing Sudo for Windows! - Windows Command Line (microsoft.com)

  • [Intune] Mettre en œuvre un mappage fort dans les certificats déployés avec Microsoft Intune

    Avec la mise à jour Windows du 10 mai 2022 (KB5014754), des changements ont été apportés au comportement du Kerberos Key Distribution (KDC) d'Active Directory dans Windows Server 2008 et les versions ultérieures afin d'atténuer les vulnérabilités d'élévation de privilèges associées à l'usurpation de certificat. Pour répondre aux problèmes de sécurité liés à l'usurpation de certificat, Windows a introduit des modifications au KDC qui exigent que les certificats pour un utilisateur ou un objet informatique soient fortement mappés à Active Directory. Ces modifications garantissent un processus de validation plus robuste lors de l'authentification basée sur un certificat.

    L’équipe Intune a publié un article pour expliquer l'impact de ces modifications sur les certificats délivrés par Intune. Ce mois-ci, Microsoft a commencé à déployer une solution permettant de délivrer de manière transparente des certificats SCEP et PKCS dans Intune avec un mappage solide.

    Concernant les profils SCEP, et les certificats manuels et hors ligne, qu'Intune utilise pour délivrer des certificats aux appareils, un nouveau mappage a été introduit. Il s'agit d'un URI basé sur une balise Subject Alternative Name (SAN) avec le format suivant.

    URL=tag:microsoft.com,2022-09-14:sid:<value>

    Lorsqu'un utilisateur ou un appareil présente un certificat pour l'authentification dans Active Directory, le KDC vérifie si les mappings requis sont présents pour vérifier si le certificat est fortement mappé et délivré à l'utilisateur ou à l'appareil spécifique.

    La mappage fort est actuellement prise en charge pour :

    • Windows 10
    • Windows 11
    • iOS
    • macOS

    Microsoft travaille pour rendre ceci supporté pour Android.

    Concernant les profils PKCS, Microsoft travaille sur une implémentation et devrait communiquer prochainement à ce sujet.

    Plus d’informations sur : Support tip: Implementing strong mapping in Microsoft Intune certificates - Microsoft Community Hub

  • [Entra] Action Requise : Le déploiement automatique de règles d’accès conditionnel bientôt effectif

    En novembre dernier, Microsoft annonçait le déploiement automatique de règles d’accès conditonnel sur Microsoft Entra ID.  Cette annonce concerne tous les tenants pour des clients avec des licences Microsoft Entra ID P1/P2 (M365 E3/M365 E5/M365 Business Premium). Depuis plusieurs semaines, vous avez dû voir apparaître une à deux stratégies d’accès conditionnel qui sont configurés en mode Report-Only pour vous permettre d’évaluer l’impact et d’ajuster.  La période 90 jours en mode Report-Only touche à sa fin et les règles vont peu à peu passer en mode Activé entre février et mars selon la date de création des stratégies.

    Il est donc primordial de s’y pencher ! Plusieurs options s’offrent à vous :

    1. Vous avez déjà des règles d’accès conditionnel qui couvrent le même périmètre. Dans ce cas, vous pouvez les désactiver.
    2. Vous souhaitez les utiliser. Dans ce cas, consultez les informations et adaptez les stratégies en ajoutant des exclusions pour par exemple le compte de synchronisation (Azure AD/Entra Connect) ou les comptes BreakTheGlass, etc.

    Pour rappel, on retrouve trois stratégies possibles :

    Stratégie

    Qui est concerné

    Qu’est-ce qu’elle fait

    Require multifactor authentication for admin portals 

    Tous les clients

    Cette politique couvre les rôles d'administrateurs privilégiés et exige une authentification multifactorielle lorsqu'un administrateur se connecte à un portail d'administration Microsoft.

    Require multifactor authentication for per-user multifactor authentication users    

    Clients existants de l'authentification multifactorielle par utilisateur

    Cette politique s'applique aux utilisateurs disposant d'une authentification multifactorielle par utilisateur et exige une authentification multifactorielle pour toutes les applications Cloud. Elle aide les entreprises à passer à l'accès conditionnel.

    Require multifactor authentication for high-risk sign-ins

    Tous les clients avec des licences Entra ID P2

    Cette politique s'applique à tous les utilisateurs et exige une authentification multifactorielle et une réauthentification lors des connexions à haut risque.

     

    Plus d’informations sur : Auto Rollout of Conditional Access Policies in Microsoft Entra ID - Microsoft Community Hub & Deep Dive of Microsoft-managed Conditional Access Policies in Microsoft Entra ID - Microsoft Community Hub

  • [Entra] Microsoft communique sur la façon d’optimiser les règles de groupes dynamiques

    Il y a un mois, je vous communiquais quelques bonnes pratiques pour la création des règles pour les groupes dynamiques. Aujourd’hui, Microsoft vient de publier un article sur les groupes dynamiques de Microsoft Entra ID (AAD) et notamment les propriétés qui ne sont pour l’instant pas indexées et optimisées pour le calcul. Les propriétés deviceOwnership et enrollmentProfileName ont été récemment indexées et des actions sont en cours pour indexer les propriétés suivantes afin d'améliorer l'efficacité du traitement des groupes dynamiques :

    • deviceCategory
    • deviceManagementAppId
    • deviceManufacturer
    • deviceModel
    • deviceOSType
    • deviceOSVersion
    • devicePhysicalIds
    • deviceTrustType
    • isRooted
    • managementType
    • objectId
    • profileType
    • systemLabels

    Plus d’informations : Support tip: Improving the efficiency of dynamic group processing with Microsoft Entra ID and Intune - Microsoft Community Hub

  • [Azure] Migration de l’agent Microsoft Monitoring Agent (MMA) vers Azure Monitoring Agent (AMA)

    Les clients doivent migrer de l’agent Microsoft Monitoring Agent (MMA) vers Azure Monitoring Agent (AMA) avant août 2024. Cette annonce a eu lieu en 2021 pour plusieurs services et s’est généralisés au fil des mois. Aujourd’hui et parce que la date approche, je vous propose un article de Microsoft qui revient sur la procédure avec notamment :

    • Transition vers l'agent Azure Monitor (AMA) lorsque vous utilisez l'agent Log Analytics (MMA/OMS).
    • Qu'est-ce que l'agent MMA (également connu sous le nom d'OMS ou d'agent Log Analytics) ?
    • Qu'est-ce que l'agent AMA ?
    • Coexistence avec d'autres agents
    • Quand devrais-je envisager d'utiliser l'agent MMA ou de migrer vers l'agent AMA ?
    • Installation de l'agent
      • Création d'un DCR pour les machines Windows
      • Utilisation d'Azure Policy pour installer l'agent de surveillance Windows Azure (AMA)
      • Vérifier que la politique d'installation de l'agent AMA a été attribuée et créer une tâche de remédiation pour tous les serveurs Windows existants
      • Vérifier que la remédiation de l'installation de l'agent AMA de Windows a fonctionné
      • Utilisation d'Azure Policy pour installer la règle de collecte des données Windows
      • Vérifier que la politique DCR a été téléchargée et créer une tâche de remédiation pour tous les serveurs Windows existants
      • Création d'une DCR pour les machines Linux
      • Utilisation d'Azure Policy pour installer l'Azure Monitoring Agent Linux
      • Utilisation d'Azure Policy pour installer les règles de collecte de données Linux
      • Vérifier que les assignations de politiques ont été effectuées
    • Installation de l'agent AMA et ajout de la définition DCR sur les hôtes Azure ARC
      • Utilisation de Azure Policy pour installer l'agent de surveillance Windows Azure pour Azure ARC
      • Utilisation de Azure Policy pour installer la règle de collecte de données Windows pour Azure ARC
      • Utilisation de la stratégie Azure pour installer l'agent de surveillance Linux pour Azure ARC
      • Utilisation de la stratégie Azure pour installer la règle de collecte de données Linux pour Azure ARC
    • Vérifier que les agents communiquent avec Azure
      • Interroger la table Heartbeat
    • Découvrir quels agents sont chargés et où
    • Sources et emplacements des données AMA
    • Passerelle OMS
    • Suppression de l'agent MMA
    • Références

    Lire l’article : Migrating from the Azure MMA to AMA Agent - Microsoft Community Hub