Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Général

• [Général] La Cloud PKI de Microsoft est enfin disponible dans tous les tenants. Elle permet de simplifier le déploiement de certificats sur les périphériques avec une architecture à deux niveaux et différents scénarios dont la capacité de provisionner une PKI complètement Cloud ou d’utiliser une autorité de certification racine pour créer l’autorité intermédiaire dans Microsoft Intune (BYOCA). Il n’est ainsi plus nécessaire de déployer de serveurs, la Cloud PKI est une solution SaaS qui gère pour vous le service de génération et de distribution de clés via le service NDES. Elle peut être utilisable pour Windows, Android, iOS/iPadOS, et macOS. Vous pouvez obtenir plus d’informations sur ce service via la vidéo suivant : Tour d'horizon - Cloud PKI - Découvrez la Cloud PKI intégrée à Microsoft Intune (youtube.com)
• [Général] Dans les Cloud gouvernementaux, il y a une nouvelle expérience de gestion des appareils dans le centre d'administration Intune. L'interface utilisateur de la zone Device est désormais plus cohérente, avec des contrôles plus performants et une structure de navigation améliorée qui vous permet de trouver plus rapidement ce dont vous avez besoin.
• [Général] Le volet de personnalisation permet désormais de sélectionner les groupes à exclure lors de l'attribution des stratégies.

Enregistrement des périphériques

• [Windows] Le mode de déploiement pré provisionné (White Glove) est enfin en disponibilité générale.
• [Windows] Le mode de déploiement Self-Deploying est enfin en disponibilité générale.
• [Windows] Le paramètre Only fail selected blocking apps in technician phase est disponible pour être configuré dans les profils ESP (Enrollment Status Page). Ce paramètre n'apparaît que dans les profils ESP pour lesquels des applications de blocage ont été sélectionnées.

• [macOS] Vous pouvez maintenant configurer les paramètres du compte principal local pour les Mac qui s'inscrivent à Intune via Apple Automated Device Enrollment (ADE). Ces paramètres, pris en charge sur les appareils fonctionnant sous macOS 10.11 ou une version ultérieure, sont disponibles dans les profils d'inscription nouveaux et existants sous le nouvel onglet Account Settings.

• [macOS] Le paramètre await final configuration est en disponibilité générale pour permettre de verrouiller l'expérience à la fin de l'assistant d'installation afin de s'assurer que les stratégies de configuration des appareils critiques sont installées sur les appareils.

Gestion du périphérique

• [Windows] L’administrateur peut réaliser des actions en masse sur les stratégies de mise à jour des pilotes Windows afin de les approuver, suspendre ou refuser en même temps, ce qui efforts.

• [Windows] Mise à jour de l’Intune Management Extension pour prendre en charge les fonctionnalités étendues et les corrections de bugs du .NET Framework 4.7.2 ou une version plus récente. Si un client Windows continue d'utiliser une version antérieure de .NET Framework, l’Intune Management Extension continuera de fonctionner.
• [Android AOSP] Sur les appareils Android (AOSP), Intune tente de vérifier les nouvelles tâches et notifications toutes les 15 minutes environ dès lors que le périphérique utilise l'application Intune version 24.02.4 ou plus récente.

Configuration du périphérique

• [Windows] Vous pouvez utiliser des filtres sur les stratégies Endpoint Privilege Management (EPM) pour affecter une stratégie en fonction des règles que vous avez créées. Un filtre vous permet de réduire la portée de l'affectation d'une politique, par exemple en ciblant les appareils ayant une version spécifique du système d'exploitation ou un fabricant spécifique.
• [Windows] Vous pouvez importer jusqu’à 20 fichiers de modèles administratifs ADMX et ADML personnalisés dans Microsoft Intune contre 10 auparavant.
• [Windows] Un nouveau paramètre de restrictions est disponible dans le catalogue de paramétrages (Settings Catalog) pour permettre de désactiver Copilot dans Windows au niveau de l’utilisateur : Windows AI > Turn Off Copilot in Windows (User)

• [Windows] Le paramètre Enable delivery of organizational messages (User) n’est plus applicable à des versions Windows Insider mais à Windows 11 22H2 avec les dernières mises à jour. Les messages organisationnels permettent aux administrateurs d'envoyer des messages aux utilisateurs sur des expériences Windows 11 sélectionnées. Par défaut, cette stratégie est désactivée. Si vous activez cette stratégie, ces expériences afficheront le contenu réservé par les administrateurs.
• [iOS/iPadOS] De nouveaux paramètres de restrictions sont disponibles dans le catalogue de paramétrages (Settings Catalog) avec notamment :
  • Allow Live Voicemail
  • Force Classroom Unprompted Screen Observation
  • Force Preserve ESIM On Erase

• [macOS] De nouveaux paramètres de restrictions et de chiffrement sont disponibles dans le catalogue de paramétrages (Settings Catalog) avec notamment :
  • Full Disk Encryption > FileVault > Force Enable In Setup Assistant
  • Restrictions > Force Classroom Unprompted Screen Observation

• [Android] Nouveau paramétrage pour gérer la présentation d’adresses MAC aléatoires pour la connexion à une réseau WiFi. À partir d'Android 10, lors de la connexion à un réseau, les appareils présentent une adresse MAC aléatoire au lieu de l'adresse MAC physique. L'utilisation d'adresses MAC aléatoires est recommandée pour la protection de la vie privée, car il est plus difficile de suivre un appareil par son adresse MAC. En revanche, les adresses MAC aléatoires mettent à mal les fonctionnalités qui reposent sur une adresse MAC statique, notamment le contrôle d'accès au réseau (NAC).

Gestion des applications

• [Général] Les applications protégées suivantes sont désormais disponibles pour Microsoft Intune :
  • Cinebody par Super 6 LLC
  • Bob HR by Hi Bob Ltd
  • ePRINTit SaaS by ePRINTit USA LLC
  • Microsoft Copilot by Microsoft Corporation

• [Android] Il y a 6 nouvelles permissions qui peuvent être configurées sur une application Android via les stratégies de configuration d’applications :
  • Allow background body sensor data
  • Media Video (read)
  • Media Images (read)
  • Media Audio (read)
  • Nearby Wifi Devices
  • Nearby Devices

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• J’en parlais le mois dernier de la disponibilité Générale des tâches d’incidents, qui vous aident à normaliser vos pratiques d'investigation et de réponse aux incidents afin de gérer plus efficacement le flux de travail lié aux incidents.

• Preview de la solution Microsoft Sentinel pour Microsoft Power Platform vous permettant de surveiller et de détecter les activités suspectes ou malveillantes dans votre environnement Power Platform. La solution recueille les journaux d'activité des différents composants de Power Platform et les données d'inventaire. Elle analyse ces journaux d'activité pour détecter les menaces et les activités suspectes telles que les activités suivantes :
  • Exécution de Power Apps à partir de zones géographiques non autorisées
  • Destruction suspecte de données par les Power Apps
  • Suppression massive de Power Apps
  • Attaques par hameçonnage rendues possibles par les Power Apps
  • Activité des flux Power Automate par les employés qui quittent l'entreprise
  • Ajout de connecteurs Microsoft Power Platform dans l'environnement
  • Mise à jour ou suppression des politiques de prévention des pertes de données de Microsoft Power Platform

• Vous pouvez désormais ingérer (en Preview) des journaux à partir du Google Security Command Center, en utilisant le nouveau connecteur basé sur Google Cloud Platform (GCP) Pub/Sub.
• CrowdStrike Falcon Data Replicator V2 Data Connector est maintenant disponible. Le connecteur s'appuie sur un backend Azure Function pour interroger et ingérer les logs CrowdStrike FDR à grande échelle. Voici quelques-uns des avantages offerts par ce nouveau connecteur de données V2 :
  • Amélioration de la mise à l'échelle en fonction du volume de données - maintien de la performance de l'ingestion à un niveau élevé.
  • Plus d'ingestion de données avec le plan de consommation, ce qui permet d'optimiser les coûts.
  • Normalisation du temps d'ingestion au modèle de données ASIM, permettant aux clients d'utiliser diverses solutions normalisées et le contenu associé (analyse, chasse, classeurs).
  • L'analyse des requêtes est plus rapide car les données sont réparties dans plusieurs tables en fonction de la catégorie d'événement (réseau, authentification, fichier, DNS, etc.).
  • Les données secondaires de CrowdStrike (comme appinfo, assetinfo, userinfo, etc.) peuvent également être ingérées.
  • Il supporte l'ingestion de logs bruts en plus des logs normalisés (à des fins de conformité si nécessaire).
• Les nouveaux connecteurs de données prenant en charge l'AMA seront disponibles dans le Content Hub de Sentinel en juin 2024.
  • Pour les sources de données qui utilisent actuellement l'agent MMA, de nouveaux connecteurs prenant en charge AMA seront disponibles dans le Microsoft Sentinel Content Hub.
  • Ces connecteurs s'appuieront sur les DCR pour l'ingestion des journaux.
  • Une nouvelle étiquette "Recommandé" sera visible pour mettre en évidence les nouveaux connecteurs dans le Content Hub.
  • Les anciens connecteurs seront étiquetés "Deprecated".
  • Compatibilité ascendante totale pour les solutions mises à jour : Parsers, Analytic Rules, Workbooks, etc.
  • Tous les changements dans les modèles de contenu seront disponibles avec les mises à jour des solutions, de sorte que tous les clients devront mettre à jour les solutions concernées pour obtenir ces nouveaux modèles déployés dans le Content Hub lorsqu'ils seront disponibles.
• Les événements DNS Windows via le connecteur AMA sont désormais disponibles (GA)
• Les connecteurs de données AWS et GCP prennent désormais en charge les clouds gouvernementaux Azure.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Azure Active Directory, Permissions Management, etc.) en janvier 2024.

Microsoft apporte les nouveautés suivantes :

Microsoft Entra ID (Azure Active Directory)

• 39 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Presswise, Stonebranch Universal Automation Center (SaaS Cloud), ProductPlan, Bigtincan for Outlook, Blinktime, Stargo, Garage Hive BC v2, Avochato, Luscii, LEVR, XM Discover, Sailsdock, Mercado Eletronico SAML, Moveworks, Silbo, Alation Data Catalog, Papirfly SSO, Secure Cloud User Integration, AlbertStudio, Automatic Email Manager, Streamboxy, NewHotel PMS, Ving Room, Trevanna Tracks, Alteryx Server, RICOH Smart Integration, Genius, Othership Workplace Scheduler, GitHub Enterprise Managed User - ghe.com,Thumb Technologies, Freightender SSO for TRP (Tender Response Platform), BeWhere Portal (UPS Access), Flexiroute, SEEDL, Isolocity, SpotDraft, Blinq, Cisco Phone OBTJ, Applitools Eyes.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Alohi
  • Insightly SAML
  • Starmind
• Les stratégies d'accès conditionnel peuvent désormais être filtrées en fonction de l'acteur, des ressources cibles, des conditions, du contrôle de l'octroi et du contrôle de la session. L'expérience de filtrage granulaire peut aider les administrateurs à découvrir rapidement les stratégies contenant des configurations spécifiques.

• Microsoft a mis en place une nouvelle détection de risque pour les utilisateurs premium dans Identity Protection, appelée Suspicious API Traffic. Cette détection est signalée lorsque Identity Protection détecte un trafic Graph anormal de la part d'un utilisateur. Un trafic API suspect peut suggérer qu'un utilisateur est compromis et qu'il effectue une reconnaissance dans son environnement.
• Public Preview - La stratégie de réauthentification vous permet d'exiger des utilisateurs qu'ils fournissent à nouveau leurs informations d'identification de manière interactive, généralement avant d'accéder à des applications critiques et d'effectuer des actions sensibles. Combinée au contrôle de la fréquence d'ouverture de session de l'accès conditionnel, vous pouvez exiger la réauthentification pour les utilisateurs et les ouvertures de session à risque, ou pour l'inscription à Intune. Cette option est disponible dans les contrôles de session comme suit :

• Public Preview d'un nouveau rapport permettant de suivre l'utilisation des licences Microsoft Entra. Microsoft Entra License Utilization Insights permet de voir combien de licences Entra ID P1 et P2 vous avez et l'utilisation des caractéristiques clés correspondant au type de licence. La Public Preview se focalise sur l'accès conditionnel et l'utilisation de l'accès conditionnel basé sur le risque, mais les autres fonctionnalités seront ajoutés dans la disponibilité générale. Ce dernier se trouve dans Monitoring & Health - Usage & Insights - License Utilisation :

• Disponibilité générale d’Identity Protection et des mécanismes de remédiation aux risques sur l'application mobile Azure. Les administrateurs peuvent ainsi répondre aux menaces potentielles avec facilité et efficacité. Cette fonction inclut des rapports complets, offrant un aperçu des comportements à risque tels que les comptes d'utilisateurs compromis et les ouvertures de session suspectes.

• Nouveau Workbook permettant d'évaluer l'impact des stratégies d'accès basées sur le risque de Microsoft Entra Identity Protection.

Microsoft Entra Verified ID

• Nouvel article présentant le concept d’un service d'assistance vérifié sur la façon d'identifier les appelants qui cherchent de l'aide en utilisant Entra Verified ID.
• L'annulation de la date d'expiration lors de l'émission pour le flux d'attestation idTokenHint nécessite que le contrat ait le flag allowOverrideValidityOnIssuance fixé à true..

Modifications de service

• À partir du 31 mars 2024, toutes les détections et tous les utilisateurs de Microsoft Entra ID Identity Protection présentant un risque "faible" et datant de plus de six mois seront automatiquement supprimés. Cette mesure permettra aux clients de se concentrer sur les risques plus pertinents et de disposer d'un environnement d'investigation plus propre.
• Le connecteur Windows Azure Active Directory pour Forefront Identity Manager (FIM WAAD Connector) de 2014 a été supprimé en 2021. La prise en charge standard de ce connecteur prendra fin en avril 2024. Les clients doivent supprimer ce connecteur de leur déploiement MIM sync, et utiliser à la place un mécanisme de provisionnement alternatif.

Plus d’informations sur : What’s new Azure AD et What's new for Microsoft Entra Verified ID 

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for IoT. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Public preview des règles de suppression des alertes à partir du portail Azure vous permettant de
  • Configurer les alertes à supprimer en spécifiant un titre d'alerte, une adresse IP/MAC, un nom d'hôte, un sous-réseau, un capteur ou un site.
  • Définir chaque règle de suppression pour qu'elle soit active en permanence ou uniquement pendant une période prédéfinie, par exemple pendant une fenêtre de maintenance spécifique.

Si vous utilisez actuellement des règles d'exclusion sur la console de gestion sur site, Microsoft vous recommande de les migrer vers des règles de suppression sur le portail Azure.

• Lorsque la licence d'un ou de plusieurs de vos sites OT est sur le point d'expirer, une note est visible en haut de Defender for IoT dans le portail Azure, vous rappelant de renouveler vos licences. Pour continuer à bénéficier de la valeur de sécurité de Defender for IoT, sélectionnez le lien dans la note pour renouveler les licences concernées dans le centre d'administration Microsoft 365.

Réseaux OT

• Microsoft a mis à jour la stratégie de détection de Defender for IoT afin de déclencher automatiquement des alertes en fonction de l'impact commercial et du contexte du réseau, et de réduire les alertes de faible valeur liées à l'informatique (IT). Les organisations où des capteurs sont déployés entre les réseaux OT et IT sont confrontées à de nombreuses alertes, liées au trafic OT et IT. La quantité d'alertes, dont certaines ne sont pas pertinentes, peut provoquer une lassitude et affecter les performances globales.
• L'ID de l'alerte dans la colonne Id de la page Alertes du portail Azure affiche désormais le même ID d'alerte que la console du capteur.
• Le profil matériel L60 n'est plus pris en charge et est supprimé de la documentation. Les profils matériels requièrent désormais un minimum de 100 Go (le profil matériel minimum est désormais L100).
• Des champs génériques standard supplémentaires ont été ajoutés aux OID SNMP MiB.

Intégrations

• Microsoft prend désormais en charge ces protocoles :
  • HART-IP
  • FANUC FOCAS
  • Dicom
  • ABB NetConfig
  • Rockwell AADvance Discover
  • Rockwell AADvance SNCP/IXL
  • Schneider NetManage
  .

 Plus d’informations sur : What's new in Microsoft Defender for IoT - Microsoft Defender for IoT | Microsoft Learn

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Les pages de détails des périphériques incluent maintenant des descriptions de périphériques provenant de l’attribut Description d’Active Directory.

• On retrouve les nouvelles alertes suivantes :
  • Account Enumeration reconnaissance (LDAP) (external ID 2437)(Preview)
  • Directory Services Restore Mode Password Change (external ID 2438)(Preview)

• La page Advanced Settings de Defender for Identity est désormais renommée Adjust alert thresholds et offre une expérience rafraîchie avec une flexibilité accrue pour ajuster les seuils d'alerte. Microsoft a par exemple supprimé l’option Remove learning period et rajouté une option Recommended test mode pour permettre de baisser le niveau du seuil et augmenter le nombre d’alertes. La colonne Sensitivity Level est renommée Threshold level avec de nouvelles valeurs par défaut.

• Les versions 2.228, 2.229, et 2.230 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• Disponibilité Générale de l'expérience de gestion multi-tenant dans Microsoft Defender XDR. Ce scénario permet de couvrir les besoins des Managed Security Service Providers (MSSP) ou des entreprises avec plusieurs tenants pour chacune des filiales. La fonctionnalité permet d'obtenir une vue des alertes et incidents unique à travers tous les tenants.
• Microsoft Defender Threat Intelligence (MDTI) a obtenu les certifications ISO 27001, ISO 27017 et ISO 27018.
• (GA) Le mode sombre (Dark Mode) est désormais disponible dans le portail Microsoft Defender. Dans le portail Defender, en haut à droite de la page d'accueil, sélectionnez Dark mode. Sélectionnez Light mode pour revenir au mode de couleur par défaut.
• (GA) L'attribution de la gravité aux incidents, l'attribution d'un incident à un groupe et l'option Go hunt à partir du graphique de l'histoire de l'attaque sont maintenant en disponibilité générale.
• (Preview) Les règles de détection personnalisées dans l'API de sécurité Microsoft Graph sont désormais disponibles. Vous pouvez créer des règles de détection personnalisées d’Advanced Hunting spécifiques à votre entreprise pour surveiller de manière proactive les menaces et prendre des mesures.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Mise à jour de Configuration Analyzer avec :
  • De nouvelles recommandations :
    • Safe links Policy: Create Custom safe links policy.
    • Outlook: Configure External tag in Outlook.
    • Anti Phishing Policy: Enable First contact safety tips.
    • DKIM: Configure DKIM and SPF for your domains.
    • Built-in Protection Policy: Remove Built-in protection exclusions.
  • En cliquant sur une recommandation, vous ouvrirez désormais une fenêtre contextuelle contenant de brefs détails sur les raisons de la recommandation ainsi que des liens ciblés vers des documents à consulter pour en savoir plus.       
  • Un nouveau bouton Export devrait apparaître lorsque vous sélectionnez une ou plusieurs recommandations. En cliquant sur le bouton Export, vous téléchargez les recommandations sélectionnées sous la forme d'un fichier CSV qui peut être partagé avec vos partenaires externes qui n'ont pas accès à votre environnement.

Pour rappel, cet outil vous aide à trouver et à corriger les stratégies de sécurité qui sont moins sûres que les paramètres recommandés. Il vous permet de comparer vos stratégies actuelles avec les stratégies prédéfinies standard ou strictes, d'appliquer des recommandations pour améliorer votre posture de sécurité et de consulter l'historique des modifications apportées à vos stratégies.

• Les administrateurs peuvent identifier s'ils soumettent un élément à Microsoft pour un deuxième avis ou s'ils soumettent le message parce qu'il est malveillant et qu'il a été manqué par Microsoft. Avec ce changement, l'analyse par Microsoft des messages soumis par les administrateurs (courriel et Microsoft Teams), des URL et des pièces jointes aux courriels est davantage rationalisée et aboutit à une analyse plus précise.
• Réponse aux attaques basées sur les codes QR : Les équipes de sécurité pourront désormais voir les URLs extraites des codes QR avec "QR code" comme source d'URL dans l'onglet Email Entity URL, et "QRCode" dans la colonne "UrlLocation" du tableau EmailUrlInfo dans Advanced Hunting. Les utilisateurs peuvent également filtrer les courriels contenant des URL intégrées dans des codes QR à l'aide du filtre "Source URL" dans l'Explorateur de menaces, qui prend désormais en charge l'option "Code QR".
• Microsoft lance deux modules d’entrainement au phishing par QR Code dans Attack Simulation Training via un partenariat avec Fortra Terranova Security :
  • Mailicious Printed QR Codes
  • Malicious Digital QR Codes
• Microsoft ajoute plusieurs langues pour arriver à 37 langues supportées pour les modules suivants : Teams Phishing, Understanding App Consent Request, Double Barrel Phishing Attack, et Stegosploit

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

• Afin de renforcer les mesures de sécurité au sein des entreprises, Microsoft a modifié le délai d'expiration du script d'offboarding obtenu via le portail Microsoft Defender XDR de 30 à 3 jours.
• Deux nouvelles règles ASR sont désormais en Preview :
  • Block rebooting machine in Safe Mode (preview): Cette règle empêche l'exécution de commandes visant à redémarrer des machines en mode sans échec.
  • Block use of copied or impersonated system tools (preview) : Cette règle bloque l'utilisation de fichiers exécutables identifiés comme des copies d'outils système Windows. Ces fichiers sont soit des doublons, soit des imposteurs des outils système d'origine.
• Dans la version de janvier du client Defender for Endpoint pour macOS (Build: 101.23122.0005 | Release version: 20.123122.5.0), on retrouve des corrections de la prise en charge des périphériques Bluetooth pour le contrôle des périphériques et des corrections de bugs et de performances.
• Dans la version de janvier du client Defender for Endpoint pour Linux (Build: 101.23122.0002 | Release version: 30.123122.0002.0),
  • Microsoft Defender pour Endpoint sur Linux supporte maintenant officiellement les distros Mariner 2, Rocky 8.7 et plus, Alma 9.2 et plus. Si vous avez déjà Defender for Endpoint fonctionnant sur l'une de ces distros et que vous rencontrez des problèmes avec les anciennes versions, veuillez mettre à jour vers la dernière version de Defender for Endpoint.
  • Mise à jour de la version du moteur par défaut à 1.1.23100.2010, et de la version des signatures par défaut à 1.399.1389.0.
  • Améliorations générales de la stabilité et des performances.
  • Corrections de bugs

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Universal Print.

Les fonctionnalités suivantes sont ajoutées :

• Ajout du support de l'impression à partir de macOS en Public Preview, ce qui constitue un pas de plus vers la réalisation de l'objectif consistant à rendre l'impression possible à partir de toutes les applications et de tous les appareils.

Plus d’informations sur : What's new in Universal Print | Microsoft Learn

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Disponibilité Générale des modes Windows 365 Boot Shared et Dedicated.

Expérience Utilisateur

• Disponibilité Générale de la gestion par l'utilisateur des paramètres de l'ordinateur local via son ordinateur Windows 365 Boot.
• Disponibilité Générale de la détection et la notification des problèmes de configuration du réseau ou de l'application par Windows 365 Boot.
• Disponibilité Générale de la prise en charge par Windows 365 Boot de la personnalisation de la page d'ouverture de session.
• Disponibilité Générale des informations d'affichage permettant la différentiation des tâches Windows pour le PC Cloud ou le PC local dans Windows 365 Switch
• Disponibilité Générale de la possibilité pour les utilisateurs de se déconnecter en toute transparence de leur Cloud PC sans quitter leur bureau local avec Windows 365 Switch.
• Disponibilité Générale des informations sur l'état de la connexion et le délai d'attente sur l'écran de connexion pour Windows 365 Switch avec les PC Windows 365 Frontline Cloud.

Sécurité du périphérique

• Preview d’une nouvelle option de fréquence d'ouverture de session de 15 minutes. Ceci fait appel aux règles d’accès conditionnel et notamment l’option : Conditional access > Session > Sign-in frequency > Every time.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

• Sysmon v15.14 : Cette mise à jour de Sysmon résout un crash de service lors d'un changement de configuration et un rare crash du système

• Autoruns for Windows v14.11

Microsoft vient de publier un guide des principes directeurs de NIS2. La Network and Information Security Directive 2 (NIS2) est la continuation et l'expansion de la précédente directive de l'Union européenne (UE) sur la cybersécurité introduite en 2016. Avec la NIS2, l'UE élargit le socle initial de mesures de gestion des risques de cybersécurité et d'obligations de déclaration pour inclure davantage de secteurs et d'organisations critiques. L'établissement d'un socle de mesures de sécurité pour les fournisseurs de services numériques et les opérateurs de services essentiels a pour but d'atténuer le risque de cybermenaces et d'améliorer le niveau général de cybersécurité dans l'UE. Il introduit également une plus grande responsabilité, par le biais d'obligations de déclaration renforcées et de sanctions ou pénalités accrues. Les organisations ont jusqu'au 17 octobre 2024 pour améliorer leur niveau de sécurité avant d'être légalement obligées de se conformer aux exigences de la NIS2.

Télécharger NIS2 guiding principles guide 

Microsoft vient de publier une mise à jour (2.3.6.0) à Microsoft Entra Connect. Microsoft Entra Connect est anciennement Azure Active Directory Connect - AADC, DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière mise à jour (2.3.6.0) apporte les éléments suivants :

• Amélioration de la détection de la mise à niveau automatique. La mise à niveau automatique ne réessayera plus si elle détecte que la machine ne répond pas aux exigences du système d'exploitation ou de l'environnement d'exécution .NET.

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Azure Active Directory Connect

Microsoft semble préparer deux nouvelles règles de réduction de surface d’attaque (Attack Surface Reduction) proposées dans Windows :

Block rebooting machine in Safe Mode permet d’auditer, d’avertir, ou de bloquer le redémarrage en mode sans échec.

Block use of copied or impersonated system tools permet d’auditer, d’avertir, ou de bloquer les exécutables qui usurpent l'identité ou sont des copies d'outils système et de binaires trouvés sur la machine.

Ces éléments sont déjà visibles dans les stratégies de règles de réduction de surface d’attaque (ASR) de Microsoft Intune. Néanmoins, nous ne connaissons pas les prérequis des versions ou mises à jour nécessaires pour Windows.

Vous le savez surement cela fait plusieurs années que l’Europe impose des modifications aux entreprises qui jouirait d’une position dominante. On se souvient des versions N de Windows sans Media Player, etc. Le 15 décembre 2020, L’Europe annonçait le Digital Markets Act (DMA) pour réguler le modèle économique des GAFAMs. Après de longs mois de négociations, l’Europe vient d’imposer à Microsoft un nouveau changement qui permettra aux utilisateurs finaux de la zone économique européenne d'avoir la possibilité de désinstaller le navigateur Microsoft Edge. De plus, Microsoft Edge ne s'appuiera plus sur les politiques de groupe de diagnostic Windows dans les domaines concernés par le Digital Markets Act. Il utilisera à la place la stratégie de groupe Microsoft Edge, DiagnosticData, pour la collecte de données de diagnostic.

La version Edge 122 introduira également une nouvelle stratégie, UrlDiagnosticDataEnabled, pour permettre plus de contrôle sur la collecte de données facultative. Cette politique permet à l’entreprise d'envoyer des données de diagnostic facultatives pour contribuer aux améliorations et à la stabilité critiques du produit, mais en évitant de partager les URL des pages visitées et l'utilisation par page.

Les versions Windows 10 22H2 et Windows 11 23H2 seront conformes à cette directive.

Microsoft vient de mettre à disposition une nouvelle version (1.2.5126) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction de la régression qui provoquait un problème d'affichage lorsqu'un utilisateur sélectionnait des moniteurs pour sa session.
• Microsoft a apporté les améliorations d'accessibilité suivantes :
  • Expérience de lecteur d'écran améliorée.
  • Contraste plus élevé pour la couleur d'arrière-plan du menu déroulant des commandes à distance de la barre de connexion.
• Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et de flux.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Suite à l’accompagnement d’un client sur son projet de configuration et d’implémentation de Delivery Optimization sur Windows 10 et Windows 11. Pour rappel, Delivery Optimization est un téléchargeur HTTP fiable avec une solution gérée par le cloud qui permet aux appareils Windows de télécharger des packages à partir de sources alternatives si souhaité comme d’autres appareils sur le réseau et/ou un serveur de cache dédié en plus des serveurs traditionnels basés sur Internet appelés ‘sources HTTP’. Delivery Optimization peut être utilisé pour réduire la consommation de bande passante en partageant le travail de téléchargement de ces packages entre plusieurs appareils.

L’objectif de ce client était de configurer les Group IDs utilisés pour l’échange entre clients ainsi que le serveur de cache connecté (MCC). Pour cela, nous souhaitions suivre avec le rapport Windows Updates for Business et notamment la partie Delivery Optimization.

Nous avons constaté que seule une toute petite partie des clients remontait dans cette partie du rapport (environ 100 contre 8000 machines) alors que le statut des mises à jour logicielles remontait correctement.
Après vérification des prérequis, tout est opérationnel.

Une première piste correspondait au fait que le client avait désactivé les mécanismes d’optimisation (P2P, MCC) proposés par Delivery Optimization via l’option DOMode définie à 100. En creusant avec l’équipe qui supporte le rapport, les machines remontent dans les conditions :

• Les données sont générées/agrégées pour les 28 derniers jours pour les appareils actifs.
• Pour que les données relatives à Delivery Optimization soient enregistrées dans le rapport, l'appareil doit avoir effectué une action Delivery Optimization au cours de la fenêtre mobile de 28 jours. Cela inclut les informations relatives à la configuration de l'appareil.

Ceci signifie que les machines ne remonteront que si le client est configuré dans le mode Delivery Optimization :

• HTTP Only (0)
• LAN (1 – par défaut)
• Group (2)
• Internet (3)

Les modes Simple (99) et Bypass (100) ne génèrent pas de données.

La documentation a été mis à jour en ce sens.

Voici une bonne nouvelle pour tous les utilisateurs qui ont des comptes Microsoft 365 avec des licences ne permettant pas l’accès au client lourd (E1, Business Basic, etc.). Auparavant, le nouveau client Outlook faisait une vérification des licences pour l’ensemble des comptes Microsoft 365. Ce comportement n’est pas celui de l’ancien client Outlook qui ne faisait qu’une vérification du compte principal. Ceci pouvait poser problème pour certaines typologies de profils (Consultants, etc.) qui ajoutait parfois des comptes emails pour les clients pour qui ils travaillaient.

Microsoft a réalisé le changement depuis le 10 février. Cette amélioration garantit que Outlook classique pour Windows et le nouveau Outlook pour Windows prennent en charge les mêmes scénarios.

Plus d'informations sur : How licensing works for work and school accounts in the new Outlook for Windows (microsoft.com)

Microsoft a fait une revue de sécurité pour Microsoft Edge v121 et a déterminé qu'il n'y a pas de paramètres de sécurité supplémentaires à appliquer. La configuration recommandée reste la version 117 de Microsoft Edge.

Il existe 11 nouveaux paramètres machines et 11 nouveaux paramètres utilisateurs dont vous pouvez voir les différences avec la version 120.

Plus d’informations sur : Security review for Microsoft Edge version 121 - Microsoft Community Hub

Télécharger Security Compliance Toolkit

Je vous en parlais en janvier, l’équipe Exchange vient de publier le 14^ème Cumulative Update (CU14) pour Exchange Server 2019. C’est l’avant dernier CU pour Exchange Server 2019. Ce CU14 active notamment la protection étendue par défaut .

Il apporte les changements suivants :

• Support de .NET Framework 4.8.1 sur Windows Server 2022
• Correction du CVE-2024-21410
• 5035439 BlockModernAuth ne répond pas dans AuthenticationPolicy 
• 5035442Le service d'atténuation Exchange n'enregistre pas les mises à jour incrémentielles
• 5035443Les confirmations de lecture sont retournées si ActiveSyncSuppressReadReceipt a la valeur « True » dans Exchange Server 2019
• 5035444argumentnullexception lorsque vous essayez d'exécuter une recherche eDiscovery
• 5035446La distribution des ombres du carnet d'adresses en mode hors connexion échoue si l'autorisation héritée est bloquée
• 5035448MCDB échoue et entraîne un décalage de l'activation de copie
• 5035450Le programme d'installation d'Exchange 2019 installe une bibliothèque JQuery obsolète
• 5035452Les noms d'utilisateur ne sont pas affichés dans les ID d'événement 23 et 258 
• 5035453 Problèmes dans Exchange ou Teams lorsque vous essayez de déléguer des informations
• 5035455MSExchangeIS cesse de répondre et renvoie « System.NullReferenceExceptions » plusieurs fois par jour
• 5035456Erreur « Désérialisation bloquée à l'emplacement HaRpcError » et la réplication Exchange cesse de répondre
• 5035493 Les personnalisations du proxy FIP-FS sont désactivées après une mise à jour cumulative ou une mise à jour de sécurité
• 5035494 La pièce jointe moderne ne fonctionne pas lorsque le proxy web est utilisé dans Exchange Server 2019
• 5035495OWA affiche les opérations du courrier indésirable même si les rapports de courrier indésirable sont désactivés
• 5035497Impossible de modifier l'option Modifier les autorisations dans ECP
• 5035542 L'équipement distant et les boîtes aux lettres de salle peuvent désormais être gérés par le biais du CAE 
• 5035616 Échec des événements d'ouverture de session après la mise à jour de Windows Server
• 5035617Les règles de transport ne sont pas appliquées aux messages en plusieurs parties ni aux autres messages
• 5035689« High %Time in GC » et EWS ne répond pas

Microsoft a décidé de déplacement le support de TLS 1.3 au Cumulative Update 15 prévu pour la fin d’année.

Plus d’informations sur :

• Mise à jour cumulative 14 pour Exchange Server 2019 (KB5035606) - Support Microsoft
• Released: 2024 H1 Cumulative Update for Exchange Server - Microsoft Community Hub

Télécharger Cumulative Update 14 for Exchange Server 2019 (KB5035606)

Microsoft travaille actuellement à la simplification des points de terminaison (URLs) utilisés par les machines pour communiquer avec le service Microsoft Defender for Endpoint. Pour celles et ceux qui sont habitués, il existe un fichier Excel qui référence toutes les URLs selon les services et les types de plateformes. Microsoft est en train de réaliser les changements de service et d’agent permettant d’utiliser le domaine simplifié reconnu par Defender for Endpoint : *.endpoint.security.microsoft.com et ainsi remplacer les URLs existantes pour les services de base suivants de Defender for Endpoint :

• Cloud Protection/MAPS
• Stockage des échantillons de logiciels malveillants
• Stockage d'échantillons Auto-IR
• Defender for Endpoint Command & Control
• Cyberdonnées EDR

C’est une bonne nouvelle car la liste des URLs à ouvrir pouvait constituer une petite bataille avec les équipes réseaux/sécurité étant donné la longue liste fournie.

Pour bénéficier de cette nouvelle capacité, vous devez remplir les prérequis suivants :

• Système d’exploitations :
  • Windows 10 1809+
  • Windows 11
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2012 R2 et 2016 R2
  • macOS
  • Linux
• KB minimale pour la version SENSE: 10.8040.*/ March 8, 2022 ou plus
• Sur Windows, Microsoft Defender Antivirus :
  • Antimalware Client: 4.18.2211.5
  • Engine: 1.1.19900.2
  • Antivirus (Security Intelligence): 1.391.345.0
• Sur macOS/Linux : Microsoft Defender Antivirus
  • Version MDE 101.23102.*+

Microsoft a décrit la procédure pour migrer pour chacune des plateformes :

• Windows 10 et 11 : Possible avec le script local, par stratégie de groupes, avec Microsoft Intune, ou Microsoft Configuration Manager
• Windows Server : Possible avec Microsoft Configuration Manager, les stratégies de groupe. Defender for Cloud n’est pas encore supporté.
• macOS : Possible avec le script Local, Microsoft Intune, ou Jamf Pro
• Linux : Possible par le script local ou un outils de déploiement tiers (Puppet, Ansible, Chef)

Plus d’informations sur : Onboarding devices using streamlined connectivity for Microsoft Defender for Endpoint | Microsoft Learn

Android 15 est attendu pour le octobre2024. A partir de cette publication, Android 10 ou ultérieur sera un prérequis pour l’utilisation de Microsoft Intune dans les scénarios suivants :

• Android Enterprise personally owned with a work profile.
• Android Enterprise corporate owned work profile.
• Android Enterprise fully managed.
• Android Open Source Project (AOSP) basé sur l'utilisateur.
• Android Device administrator. Notez que Microsoft Intune met fin à la prise en charge de Device Admin sur les appareils avec GMS en août 2024.
• Stratégies de protection des applications (APP/MAM).
• Stratégies de configuration des applications pour les applications gérées.

Pour les scénarios qui ne seront plus supportés ci-dessus, les appareils Android fonctionnant sous Android 9 ou une version antérieure ne seront plus pris en charge. Pour les appareils fonctionnant avec des versions Android OS non prises en charge :

• L'assistance technique d'Intune ne sera plus assurée.
• Intune n'apportera plus de modifications pour résoudre les bugs ou les problèmes.
• Le fonctionnement des fonctionnalités nouvelles et existantes n'est pas garanti.

Seuls les scénarios suivants ne sont pas impactés :

• Android Enterprise dedicated devices : La prise en charge se poursuivra sur Android 8 ou une version ultérieure.
• AOSP sans utilisateur: Continuera à être pris en charge sur Android 8 ou une version ultérieure.
• Appareils Android certifiés Microsoft Teams : Sera pris en charge sur les versions répertoriées dans la documentation des appareils Android certifiés par Microsoft Teams.

Vérifiez vos rapports Intune pour voir quels périphériques ou utilisateurs peuvent être affectés. Pour les périphériques gérés en MDM, allez dans Devices > All devices et filtrez par OS. Pour les périphériques avec des stratégies de protection des applications, allez dans Apps > Monitor > App protection status > App Protection report: iOS, Android.

Vous pouvez configurer des conditions de lancement sur les stratégies de protection applicatives pour afficher un avertissement à l’utilisateur s’il utilise une version ancienne du système d’exploitation.

Plus d’informations sur : Intune moving to support Android 10 and later for user-based management methods in October 2024 - Microsoft Community Hub

Microsoft et SAP ont annoncé un partenariat notamment en vue de la fin de support de SAP Identity Management (SAP IDM) prévue pour 2027 et fin de support étendue pour 2030. Ainsi SAP et Microsoft propose de migrer vers Microsoft Entra ID. Les solutions Microsoft Entra ID et SAP sont déjà bien intégrées, ce qui en fait un choix logique pour les clients SAP.  Cette collaboration permet d'utiliser des services basés sur le cloud qui aident les organisations à intégrer efficacement des systèmes avec une gouvernance cohérente des identités et des accès, tout en éliminant la dépendance à l'égard des composants de gestion des identités et des accès sur site pour la gestion des identités. Microsoft supporte déjà l’intégration avec SAP SuccessFactors comme source de confiance.

Plus d’informations sur : Preparing for SAP Identity Management’s End-of-Mai... - SAP Community

Source : Microsoft and SAP collaborate to modernize identity for SAP customers - Microsoft Community Hub

Kijo Girardi (Microsoft) a publié un script PowerShell à destination de Microsoft Defender for Endpoint permettant de tester les différentes fonctionnalités que vous auriez pu configurer. L’outil appelé MDE Tester permet de tester notamment :

• Microsoft Defender SmartScreen
• Microsoft Defender Exploit Guard, Network Protection
• Les indicateurs d’URL de Microsoft Defender for Endpoint
• Le filtrage de contenu Web de Microsoft Defender for Endpoint

Accéder à l’outil sur GitHub - LearningKijo/MDEtester: MDE Tester is designed to help testing various features in Microsoft Defender for Endpoint.

Le 29 Janvier 2024, Microsoft annonçait la dépréciation de l’outil en ligne de commande WMI (WMIC). Cela signifie que Windows Management Instrumentation Command line (WMIC) sera désactivée par défaut dans les prochaines versions de Windows 11.

Depuis 2022, WMIC était présent comme fonctionnalité à la demande et activé par défaut.

Si votre application ou vos scripts dépendent de WMIC, vous devez procéder aux changements nécessaires. De nombreux administrateurs utilisaient parfois cette commande dans des scripts de déploiement (Applications, OS, etc.). L'outil WMIC est remplacé par Windows PowerShell pour WMI.

Vous pouvez obtenir plus d’informations sur cet article : WMI command line (WMIC) utility deprecation: Next steps | Windows IT Pro blog (microsoft.com)