Guide de préparation à la certification MS-101 : Microsoft 365 Mobility and Security

Dans cet article, je souhaite partager avec vous mon retour d’expérience sur la certification MS-101 : Microsoft 365 Mobility and Security

L’idée est de vous : donner des conseils sur le passage de cette certification, de vous aider à vous y préparer en vous partageant des questions types et pièges, mais aussi des outils qui m’ont aidé dans la révision et l’acquisition des connaissances nécessaires.

Quel est le périmètre concerné par cette certification?

Avant de se lancer la certification il convient de bien comprendre le périmètre qui est concerné : si on regarde la documentation officielle de Microsoft

https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE3VEHZ

Nous retrouvons le périmètre suivant:

Modern Device Services (30-35%)

• La stratégie d’implémentation du MDIM, son intégration avec Azure AD, les méthodes d’enrôlement et surtout les limites.
• La gestion de la conformité, tout ce qui touche à l’accès conditionnel, MFA et aux politiques de conformité
• La gestion du business store
• Le déploiement des applications co-management, profiles, sécurité
• Le déploiement des Windows 10 et des fonctions associées

Microsoft 365 Security and Threat Management (30-35%)

• L’installation et la gestion d’un CAS
• La configuration du service ATP et des règles de remédiation
• La gestion des tableaux de bords, l’identité avec Azure AD Information Protection, et le suivi des alertes

Microsoft 365 Governance and Compliance (35-40%)

• La gestion de toute la partie DLP
• Tout ce qui se rapport à AIP, WIP et les labels
• Les sujets relatifs à la rétention de données (y compris après suppression) et les notions de politiques de retention
• La stratégie de sauvegarde/restauration Office 365
• Les audits sur les données et les droits associés (pensez au rôle de Super User)
• Toute la partie e-Discovery notamment dans une approche légale ou dans la recherche de données d’entreprise.

Quelles sont les compétences visées?

• La gestion et le déploiement d’Intune
• Le déploiement et la gestion de la partie sécurité orienté identité et device (ATP, accès conditionnel, Azure AD Information protection)

Il s’agit donc d’une certification relativement difficile qui nécessite de l’expérience et de l’entraînement.

Comment se lancer, dans la préparation de la certification?

Le prérequis numéro un pour se lancer sur cette certification est d’avoir un niveau technique suffisant autour de l’ensemble de concepts liés au modern management et aux différentes briques.

Dans un deuxième temps, on commencera par se frotter à l’implémentation d’Intune, le déploiement d’applications, le business store et autopilot.

Puis, on travaillera sur le MFA, les accès conditionnels et la gestion des politiques de conformités. De là, nous pouvons poursuivre sur la partie ATP / CAS.

Avant de terminer par la partie sécurité des données, les sauvegardes, restauration et la gestion des droits.

Les outils sont très nombreux :

• Active Directory
• SCCM
• Windows 10
• Intune
• Business Store
• Azure
• Microsoft Defender ATP
• Azure ATP, ATA
• Microsoft Information Protection/ WIP
• Exchange Online

Il faut donc des licences M365 E5, quelques machines, des devices iOS, Android et beaucoup de temps pour implémenter tous les scénarios dans un LAB.

Les questions que vous allez rencontrer

J’ai listé ici quelques questions par rubrique qui vous seront utiles à mémoriser :

Modern Device Services

• Comment configurer l’accès conditionnel ?
• Comment on active l’app control d’Office 365 ?

• Les différences entre une « device compliance policy » et une « conditional access policy ». Plus spécifiquement comprendre quelles actions peut-on déclencher à partir d’une règle de conformité vs une règle d’accès conditionnel ?
• Les différentes modalités d’enrôlement et les filtrages par les groupes.

TIPS: Dans Azure, seule la politique appliquée au groupe le plus prioritaire est appliquée si un device appartient à plusieurs groupes.

• Les différents biais d’enrôlement (DEM, User, Device) et les restrictions possibles
• Le co-management et ses limites (seuls les postes W10 peuvent être co-managés)
• Le déploiement Windows 10 et en particulier les limites autopilot versus déploiement traditionnel
• Les droits relatifs au business Store

TIPS: Seul le gobal admin à les droits pour créer le business store

https://docs.microsoft.com/en-us/azure/active-directory/roles/permissions-reference

https://docs.microsoft.com/en-us/microsoft-store/sign-up-microsoft-store-for-business

• Les politiques de MFA liés une risk policy
• La configuration du Windows Update For Business
• Le déploiement des applications via Intune en particulier l’assignation d’une application
• Configuration de desktop analytics
• Stratégie Password less avec Hello For business.  
• Exemple : Une entreprise massivement dotée de SSO veut mettre en place une stratégie Password less que proposez-vous ?

Microsoft 365 Security and Threat Management

• Des questions sur ATA (même si le produit est en fin de vie). Notamment des questions sur la lightweight gateway vs event forwarding et standalone sensor
• La gestion via powershell des rôles et notamment du rôle SuperUser
• La gestion des labels dans AIP en fonction des types de clients : client classique et le unified labelling client

Tips: Le client classique ne supporte que Windows 10. Les politiques de l’unified labelling client sont récupérées dans le Security and compliance center vs le client classique qui peut télécharger ses politiques depuis le portail Azure

• Les différentes politiques CAS possible.  Par exemple, quelle politique CAS choisir pour faire de la supervision temps réel et contrôler les connexions sur des applications cloud pour des devices non joints au domaine et non managés par Intune ? Réponse: Access Policy
• La configuration d’Azure ATP notamment les prérequis en terme d’event forwarding des différents DC de l’infra, les durées nécessaires à la mise à jour des ATP sensors.

Tips : Depuis la version 2.62 d’azure ATP il faut 72h contre 24h avant.

• Comment intègre t-on Defender ATP avec un CAS ?

TIPS: L’intégration d’un CAS avec Defender ATP se fait depuis le portail ATP.

• Comment appliquer l’obligation de PIN pour un device Android après 10 minutes d’inactivité ? Réponse: App Protection policy- Access requierement

Microsoft 365 Governance and Compliance

• Comment récupérer tous les e-mails d’un utilisateur qui contient un mot clef spécifique dans le cadre d’une migration vers Exchange Online par exemple en cas de besoin légal ?

Tips : Dans ce cas, on fera une politique de rétention spécifique basée sur un eDiscovery Case.

• Comment mettre en œuvre une politique de rétention sur les mails et sur Sharepoint dans le cadre d’un problème légal ?
• Quelle est la durée maximale de rétention des données dans OneDrive après la suppression de l’utilisateur ? Réponse: 10 ans
• Quelle est la durée de rétention après la suppression d’un site SahrePoint? Réponse: 93 jours

Tips: 14 jours pour la durée de rétention dans une BAL Exchange Online extensible à 30 jours. 30 jours pour la rétention des données dans One Drive pour un compte personnel et 93 pour OneDrive for Business (logique car c’est du SharePoint derrière)

• Comment mettre en place une restriction d’accès DLP pour des fichiers taggués FCI ? Réponse: Utiliser la cmdlet New-DlpComplianceRule
• Comment activer l’audit sur une BAL Exchange Online ? Réponse: Utiliser la cmdlet Set-Mailbox
• Déterminer l’application d’une politique de rétention vs politique de suppression en fonction de l’appartenance à un groupe et surtout l’appartenance à des groupes multiples.

Tips: Les politiques de rétention sont prioritaires par rapport aux règles de suppression.

• Quel est le délai de rétention pour les journaux audits ? Réponse: 90 jours

Tips : Un projet d’extension de la durée à 365j est prévu chez Microsoft cette durée n’est pas configurable.

• Quel est le nombre maximal d’enregistrements renvoyés par la commande Search-UnifiedAuditLog et sont-ils triés ?

Tips : Par défaut la commande renvoie 100 résultats maximum mais en utilisant le commutateur  
«SessionCommand ReturnNextPreviewPage» les résultats sont triés et le seuil passe à 5000. En revanche l’option « -ResultSize 5000 » augmente le seuil sans tri.

Boite à outils

Pour terminer, je vous propose une liste d’outils, pour vous accompagner dans la préparation de la certification.

• http://demo.microsoft.com: Il s’agit ici de démos des supports sur l’implémentation des outils et la possibilité de créer des environnements de tests valable jusqu’à 1 an.
• https://cdx.transform.microsoft.com/my-tenants/create-tenant: Celui-ci est particulièrement indiqué, Microsoft 365 Enterprise Demo Content with Microsoft Defender for Endpoint.
• https://docs.microsoft.com/fr-fr/learn/certifications/exams/ms-101: Il s’agit de la plateforme PearsonVue pour passer l’examen.
• http://Amazon.fr – Exam Ref MS-101 Microsoft 365 Mobility and Security – Svidergol, Brian, Clements, Robert – Livres Et pour terminer, un peu de littérature.

La certification MS-101, n’est pas une certification simple à obtenir, une expérience avancée de la gestion des postes de travail moderne est un impératif.

De plus, il est nécessaire d’anticiper le passage de cette dernière, elle demande en effet un travail préparatoire important.

Et vous comment préparez-vous votre certification MS-101? Quel est votre retour d’expérience suite au passage de cette certification?