Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office.

• Dossier Promotions pour le courrier en masse (préversion) : vous pouvez configurer les stratégies anti-courrier indésirable pour distribuer le courrier en masse situé sous le seuil BCL vers le dossier Promotions dans les versions prises en charge d’Outlook.
• Résumé d’e-mail par Security Copilot sur la page d’entité E-mail : si vous disposez d’un abonnement Microsoft Security Copilot, vous pouvez générer un résumé par IA des données d’entité d’un e-mail directement depuis la page d’entité E-mail en sélectionnant l’action Copilot.
• Suppression d’utilisateurs des conversations Teams en disponibilité générale : la possibilité de supprimer des utilisateurs internes des conversations Teams depuis le panneau d’entité de message Teams est désormais en disponibilité générale.
• Nouvelle autorisation RBAC pour le contenu des e-mails associés aux alertes : une nouvelle autorisation granulaire du RBAC unifié « Contenu Email et collaboration : E-mails associés aux alertes (lecture) » permet aux analystes de prévisualiser ou de télécharger les messages électroniques associés à des alertes de sécurité spécifiques.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Le capteur Defender for Identity v3.x prend désormais en charge les contrôleurs de domaine exécutant tous les rôles d’identité, y compris Microsoft Entra Connect, AD FS et AD CS. Pour les détails de déploiement, consultez les prérequis du capteur Defender for Identity v3.x.
• Defender for Identity prend désormais en charge jusqu’à 1 000 capteurs par espace de travail, contre 350 auparavant. Pour ajouter plus de 1 000 capteurs, contactez le support Defender for Identity.
• Ces nouvelles alertes ont été ajoutées aux alertes de sécurité de Defender for Identity :
  • Nouvelles alertes liées à Entra ID :
    • Guest user account promoted to member
    • User was created and assigned to Global Administrator role
    • Failed credential abuse attempt in Entra ID authentication
    • Malicious sign in from a randomized user agent
    • Possible use of a stolen session cookie
    • Stolen session cookie replay detected
    • Suspected Conditional Access bypass via non-compliant device
    • Suspicious addition of default third-party MFA method to user account
  • Limitation connue : la migration des contrôleurs de domaine exécutant Windows Server 2025 du capteur v2.x vers le capteur v3.x n’est pas prise en charge. Continuez à utiliser le capteur v2.x sur les contrôleurs de domaine Windows Server 2025 jusqu’à ce que la prise en charge de la migration vers la v3.x soit disponible. Pour plus d’informations, consultez les problèmes connus liés à la migration des capteurs.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• La prise en charge des identités externes dans Windows 365 Government est désormais disponible. Vous pouvez désormais provisionner un Cloud PC pour une identité externe dans Windows 365 Government. Les utilisateurs disposant d'une identité externe peuvent se connecter au service à l'aide de la dernière version de l'application Windows sur Windows.

Provisionnement de périphériques

• Le provisionnement initié par l'utilisateur pour Windows 365 Reserve est disponible en Public Preview. Windows 365 Reserve prend désormais en charge le provisionnement initié par l'utilisateur, offrant aux utilisateurs éligibles la possibilité de configurer leur Cloud PC Reserve directement depuis l'application Windows lorsqu'ils ont besoin d'un accès sécurisé rapidement — par exemple en cas de panne d'appareil ou en déplacement. Cette fonctionnalité est désactivée par défaut et entièrement contrôlée par le service informatique. Les administrateurs peuvent activer le provisionnement par l'utilisateur via les paramètres de l'application Windows pour Windows 365 dans Microsoft Intune et le limiter à des groupes d'utilisateurs Microsoft Entra ID spécifiques. Une fois activé, les utilisateurs peuvent lancer le provisionnement à la demande tandis que le service informatique continue de gérer les stratégies, les licences et la gouvernance globale, ce qui contribue à réduire les temps d'arrêt sans modifier les contrôles administratifs existants.

Gestion des périphériques

• Les mises à jour de la navigation Windows 365 dans le centre d'administration Microsoft Intune sont désormais en disponibilité générale. L'expérience Windows 365 dans le centre d'administration Microsoft Intune a été mise à jour avec une nouvelle zone de navigation dédiée sous Appareils, appelée « Gérer les Cloud PC Windows 365 ». Le point d'entrée Windows 365 est déplacé de la section Appareils > Intégration des appareils vers ce nouvel emplacement, où les options de gestion existantes — telles que Vue d'ensemble, Tous les Cloud PC, Toutes les applications cloud et Paramètres — sont désormais organisées dans un menu de navigation vertical. La section « Provisionner des Cloud PC » contient les stratégies de provisionnement, les images personnalisées et les connexions réseau Azure. En outre, une nouvelle section « Administration Windows 365 » est disponible sous Administration du locataire, regroupant des pages connexes telles que le type de chiffrement des Cloud PC, les alertes Cloud PC, les fenêtres de maintenance des Cloud PC et les connecteurs partenaires. Cette mise à jour n'affecte aucune fonctionnalité, workflow, attribution ou comportement existant des Cloud PC.
• Les vérifications d'intégrité des connexions réseau Azure (ANC) imposent désormais les points de terminaison Windows 365 requis. À compter d'avril 2026, les vérifications d'intégrité ANC renvoient une erreur au lieu d'un avertissement si les points de terminaison requis suivants ne sont pas accessibles, bloquant le provisionnement de nouveaux Cloud PC jusqu'à résolution : *.service.windows.cloud.microsoft ; *.windows.cloud.microsoft ; *.windows.static.microsoft. Aucun nouveau point de terminaison n'est ajouté. Les Cloud PC existants et les déploiements réseau hébergés par Microsoft ne sont pas affectés.
• Le connecteur Windows 365 pour Power Platform est disponible en Public Preview. Avec des actions et des déclencheurs prédéfinis pour Windows 365 reposant sur Microsoft Graph, les équipes informatiques et opérationnelles peuvent utiliser Power Automate et Azure Logic Apps pour créer des workflows Cloud PC, comme l'envoi d'e-mails aux utilisateurs lorsqu'un Cloud PC est provisionné.
• La réinitialisation basée sur un instantané est disponible en Public Preview pour les Cloud PC partagés Windows 365 Frontline. Lorsqu'un utilisateur se déconnecte, le Cloud PC revient à un instantané sain connu avant la connexion de l'utilisateur suivant. Aucun fichier, paramètre ou modification d'application de la session précédente n'est conservé. Utilisez la réinitialisation basée sur un instantané pour : offrir à chaque utilisateur un Cloud PC propre à la connexion ; isoler les données des utilisateurs entre les sessions sur un Cloud PC partagé ; éviter la dérive de configuration sur les Cloud PC partagés au fil du temps.

Supervision et Dépannage

• La supervision des Cloud PC (Cloud PC Monitoring) est désormais disponible en Public Preview pour Windows 365. Cette fonctionnalité offre aux administrateurs informatiques une visibilité accrue sur l'intégrité, les performances et la configuration des Cloud PC grâce à des tableaux de bord intégrés dans le centre d'administration Microsoft Intune. Les administrateurs peuvent consulter les tendances d'intégrité des connexions, les données de fiabilité des Cloud PC ainsi que des informations au niveau des utilisateurs et des appareils pour faciliter le dépannage et les scénarios de support. La supervision des Cloud PC aide les organisations à surveiller la configuration de bout en bout et à identifier et investiguer plus rapidement les problèmes de performances et de connexion.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Windows 365 Frontline est renommé Windows 365 Flex. Le produit, les licences et les fonctionnalités restent inchangés : seul le nom change. Pour plus d'informations sur ce changement de nom, consultez l'article « Expanding access to Windows 365 » sur le blog Windows IT Pro.

Provisionnement de périphériques

• La prise en charge d'Autopilot device preparation pour le provisionnement des Cloud PC est désormais disponible. Windows 365 prend désormais en charge la préparation des appareils Autopilot lors du provisionnement des Cloud PC, permettant aux administrateurs de définir des critères de disponibilité et de s'assurer que les applications et les scripts sont installés avant qu'un Cloud PC ne soit marqué comme provisionné.
• La préparation des appareils Autopilot pour Windows 365 Reserve est disponible en préversion publique. Lorsque la préparation des appareils (DPP) est activée, le provisionnement ne se termine qu'une fois les applications et configurations requises installées et validées, ce qui améliore la fiabilité et la sécurité tout en réduisant le besoin d'images personnalisées. Les administrateurs peuvent éventuellement associer la préparation des appareils Autopilot aux stratégies de provisionnement Reserve dans Microsoft Intune. Les Cloud PC provisionnés avec DPP affichent l'état « Préparation » pendant la configuration de l'appareil. Aucune modification n'est apportée aux licences, aux limites d'utilisation ou à l'expérience utilisateur de Reserve.
• La fonctionnalité permettant aux administrateurs d'importer des images personnalisées depuis une galerie Azure Compute est désormais disponible pour tous les utilisateurs.

Gestion des périphériques

• L'amélioration de la logique d'attribution de licences pour les opérations de redimensionnement des Cloud PC est désormais disponible. Windows 365 intègre désormais une logique d'attribution de licences améliorée pour les opérations de redimensionnement basées sur des licences de groupe (GBL). Le système valide à la fois la suppression de la licence source et l'attribution de la licence cible — quel que soit l'ordre — avant de déclencher un redimensionnement. Cette mise à jour empêche le provisionnement accidentel de Cloud PC, réduit les erreurs de reprovisionnement liées aux stratégies et garantit des redimensionnements prévisibles sans création de Cloud PC en double. Si la stratégie d'un utilisateur change pendant une transition de licence, le redimensionnement échoue proprement avec un message d'erreur clair, ce qui permet aux administrateurs de corriger la configuration avant de réessayer. Aucune nouvelle action administrative n'est requise ; les workflows existants restent inchangés.

Expérience Utilisateur

• Le RDP Multipath avec chemins de transport TCP redondants entame son déploiement en disponibilité générale (GA). Cette amélioration renforce la résilience des connexions aux Cloud PC Windows 365 en activant plusieurs chemins de transport TCP et en basculant automatiquement de l'un à l'autre lorsqu'une dégradation du réseau est détectée. Les chemins de transport TCP redondants complètent le RDP Multipath existant basé sur UDP et contribuent à maintenir une connectivité fiable dans les environnements où la connectivité UDP est peu fiable ou indisponible. La fonctionnalité est activée via un déploiement progressif piloté par la qualité. Jusqu'à la fin du déploiement, le TCP redondant peut ne pas être activé de manière homogène sur l'ensemble des Cloud PC.
• L'optimisation de Teams basée sur SlimCore est désormais prise en charge pour les applications RemoteApps et CloudApps dans l'application Windows. Cette mise à jour permet d'utiliser les fonctionnalités de Teams au-delà des sessions de bureau, avec une optimisation basée sur SlimCore pour des performances améliorées. La prise en charge est limitée à l'application Windows ; les clients non Windows ne sont pas concernés. 

Supervision et Dépannage

• Admin Insights pour Windows 365 est désormais disponible en préversion publique. Cette fonctionnalité est conçue pour aider les administrateurs informatiques à comprendre rapidement ce qui se passe dans leur environnement et où concentrer leurs efforts. Les administrateurs qui gèrent des Cloud PC Windows 365 s'appuient sur un ensemble de signaux dans le centre d'administration Microsoft Intune — rapports, alertes et vues des appareils — pour évaluer l'état de santé de leur environnement. Admin Insights s'appuie sur les fonctions existantes de reporting, de supervision et d'alerte en regroupant les signaux importants directement dans l'expérience Windows 365.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft vient de mettre à disposition une nouvelle version (1.2.7099) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.
• Corrections pour CVE-2026-32157.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

L’équipe BornToLearn de Microsoft vient d’appeler les professionnels de l’information intéressés à venir passer les deux certifications dédiées à l’Intelligence Artificielle. Le but est de donner un avis sur les questions pour que l’équipe puisse ajuster les examens. Vous devrez répondre à l’ensemble du pool de questions et si vous validez l’examen celui-ci sera automatiquement converti en certification finale. 300 sièges sont disponibles pour chaque examen. Ces derniers doivent passés avant le 7 mai 2026.

Vous devez vous enregistrer avec les codes suivants pour obtenir une réduction de 80% :

• Exam AI-103: Developing AI Apps and Agents on Azure avec le code AI103Claxton
  • Planifier et gérer une solution IA Azure (25 à 30%)
  • Implémenter des solutions d’IA et d’agent génératives (30 à 35%)
  • Implémenter des solutions de vision par ordinateur (10 à 15%)
  • Implémenter des solutions d’analyse de texte (10 à 15%)
  • Implémenter des solutions d’extraction d’informations (10 à 15%)
• Exam AI-901: Azure AI Fundamentals avec le code AI901Medford
  • Identifier les concepts et responsabilités de l’IA (40 à 45%)
  • Implémenter des solutions IA à l’aide de Microsoft Foundry (55 à 60%)

Microsoft a travaillé un outil OpenSource pour permettre la migration des configurations de sécurité réseau d’une organisation vers Microsoft Entra Global Secure Access (Internet Access/Private Access). L’outil supporte les chemins de conversion suivants :

• Netskope SWG → Entra Internet Access permet de convertir les stratégies Netskope Secure Web Gateway, y compris les catégories personnalisées et les listes d'URL
• Netskope Private Access → Entra Private Access migre les politiques d'accès NPA avec détection des conflits et agrégation des politiques
• Forcepoint Web Security → Entra Internet Access convertit des politiques et des catégories (traduction des noms d'applications Web à venir)
• Cisco Umbrella → Entra Internet Access permet l’exportation. La conversion est prévue prochainement.
• Citrix NetScaler → Entra Private Access convertit des groupes AAA, des politiques d'autorisation, des applications intranet et des liaisons de groupe vers Entra Private Access.
• Microsoft Defender for Endpoint → Entra Internet Access permet l’exportation. La conversion est prévue prochainement.

L’outil offre aussi des fonctions d’export/sauvegarde des configurations avec :

• L’export des applications Entra Private Access et les politiques Entra Internet Access existantes directement vers notre outil de provisionnement au format CSV, ce qui permet aux clients de copier la configuration entre les environnements et d'effectuer des sauvegardes/restaurations.
• L’export des données de découverte des applications Private Access, y compris les segments d'applications d'entreprise découverts, directement vers notre outil de provisionnement au format CSV afin de pouvoir examiner et segmenter davantage vos applications. Vous pouvez également utiliser ces données pour nettoyer les segments inutilisés de vos applications Private Access.

Accéder à Migrate2GSA

Microsoft a annoncé l’intégration entre Microsoft Purview Network Data Security s'inttègre à Palo Alto Prisma Access, étendant ainsi la détection et la protection au trafic réseau. La public Preview est prévue mi mai 2026 et la disponibilité générale d’ici fin novembre 2026. L’intégration avec Palo Alto Prisma Access apparaîtra dans le Security Store. Grâce à cette intégration, les clients de Palo Alto Prisma Access peuvent configurer les stratégies de collecte et de prévention des pertes de données (DLP) de Microsoft Purview afin de détecter et de protéger les données sensibles partagées avec des applications cloud non gérées via HTTP/HTTPS, en utilisant les mêmes classificateurs, types d'informations sensibles et étiquettes de sensibilité que ceux utilisés dans les autres stratégies Purview. Cette intégration enrichit également Purview Data Security Posture Management (DSPM) et Insider Risk Management (IRM), permet d'assurer la sécurité des données et la conformité pour les interactions avec l'IA, et bien plus encore.

Il est à noter qu’après l’intégration, les stratégies DLP et collectons s’appliqueront automatiquement après l’activation de l’intégration. L’administrateur devra activer Purview Pay-as-you-go puisque cette intégration requiert l’utilisation d’un abonnement et de crédits Azure supplémentaires.

Source

Microsoft a annoncé un changement pour les serveurs Windows Server 2016 et antérieurs. La fonctionnalité File Integrity Monitoring (FIM) requiert la version 10.8799 ou ultérieure de l’agent Microsoft Defender for Endpoint pour fonctionner correctement. Ceci est dû à un changement de pipeline.

Vous devez donc planifier la mise à jour manuelle de l’agent MDE sur ces serveurs si vous utilisez la fonctionnalité de supervision de l’intégrité de fichiers de Microsoft Defender for Cloud.

Source

Depuis le 30 janvier 2026, Microsoft requiert que tous les tenants du client soient liés à une souscription Azure pour continuer d’utiliser les fonctionnalités de gouvernance d’identités de Microsoft Entra ID Governance pour les invités (userType = Guest). L’ensemble des fonctionnalités seront concernées (incluant les revues des accès) d'ici le 31 mars 2026.

Si le tenant ne dispose pas d'un abonnement Azure associé, la création ou la mise à jour de stratégies s'appliquant aux utilisateurs invités à l'aide des fonctionnalités avancées de gouvernance d'Entra ID sera bloquée. Les actions suivantes ne seront pas disponibles :

• Création de revue d'accès s'appliquant aux utilisateurs invités (vérifications des utilisateurs inactifs, assistant d'affiliation utilisateur-groupe)
• Création ou mise à jour de stratégies de gestion des droits impliquant des invités, des approbateurs parrains, des extensions personnalisées, l'identité vérifiée ou des règles d'attribution automatique
• Marquer un invité comme régi dans la gestion des droits
• Attribuer directement un utilisateur invité à un package d'accès dans la gestion des droits
• Créer ou mettre à jour des workflows de cycle de vie destinés aux utilisateurs invités.

Les stratégies existantes continueront de s'appliquer, mais aucune nouvelle action de gouvernance des invités ne pourra être créée tant que la facturation n'est pas activée.  Une fois l'abonnement lié, l'utilisation normale de la gouvernance des invités et la facturation commenceront selon le modèle des utilisateurs actifs mensuels (MAU).;

Pour ce faire, naviguez à Entra ID →  ID Governance → Dashboard.  Dans le panneau « Guest Access Governance », sélectionnez « Get Started ». Choisissez un abonnement et un groupe de ressources, puis sélectionnez « Turn on ». Vous devez avoir un rôle Contributor sur la souscription associée.

Plus d’informations sur : Microsoft Entra ID Governance licensing for guest users

D’ici fin mars 2026, Microsoft ne supportera plus la gestion et la protection du profil personnel sur Android Enterprise pour des appareils gérés. L’objectif de Microsoft est d’assurer la protection des données au travers les mécanismes du profil professionnel, tout en assurant la confidentialité de l’utilisateur sur son usage personnel.

Auparavant, Defender pouvait être intégré au profil personnel et géré via des stratégies de configuration MDM, parallèlement au contrôle de la configuration du profil professionnel (stratégies de configuration des applications destinées aux appareils gérés).

A partir de maintenant, Microsoft met fin à la surveillance et au développement de fonctionnalités destinées à la protection des profils personnels sur les appareils enregistrés (profils personnels gérés via une politique de configuration MDM). Les recherches actuelles indiquent que le risque d'attaques inter-profils compromettant les données d'entreprise reste minime à l'heure actuelle. Aucune action n'est requise de la part des administrateurs ou des utilisateurs. Ces modifications seront appliquées automatiquement dans le backend du service et n'auront aucun impact sur votre profil professionnel.

Microsoft a prévu la fin de support principal de Windows Server 2016 pour le 12 janvier 2027. Il est donc nécessaire de migrer les applications et charges de travail vers une version de Windows Server supportée avant cette date. Pour les applications qui ne pourraient être migrées, Microsoft prévoit la mise à disposition de mise à jour de sécurité étendues (ESU) qui pourront notamment être délivrées via Azure Arc.

Plus d’informations sur : Planning ahead for Windows Server 2016 end of support

Microsoft a annoncé le support des stratégies de protection applicatives (MAM) de Microsoft Intune dans des scénarios cross-tenant pour Microsoft Edge for Business. Cette mise à jour permet aux organisations d'appliquer les stratégies de protection des applications Intune aux profils professionnels Edge, même lorsque l'appareil est géré par un autre tenant. Cette fonctionnalité contribue à protéger les données d'entreprise dans des scénarios impliquant plusieurs tenants, tels que les sous-traitants, les partenaires ou les fusions, sans nécessiter d'inscription supplémentaire de l'appareil ni perturber l'expérience de l'utilisateur final. La disponibilité générale est attendue pour mi avril 2026.

Il est à noter que cette fonctionnalité est désactivée par défaut et ne peut être activée que sur demande Les stratégies MAM d'Intune s'appliquent au sein du profil professionnel Edge. Une fois activée, les téléchargements protégés sont redirigés vers OneDrive Entreprise plutôt que vers le stockage local, et les contrôles anti-fuites pour les captures d'écran et les outils de développement s'activent lorsque les paramètres de protection des données sont appliqués. Il n’y a aucun impact sur la navigation personnelle ou les profils non gérés.

Tant que la fonctionnalité n’est pas en disponibilité générale, il n’existe pas de stratégie Intune ou avec Edge Cloud Service pour activer ce comportement, vous devez le faire manuellement via edge://flags en activant :

• #edge-dlp-protected-downloads
• #edge-allow-mam-on-mdm

Pour rappel, l’utilisation de cette fonctionnalité requiert des licences Microsoft Intune et Microsoft Entra ID P1 ou P2 pour l’accès conditionnel. Elle s’applique à Microsoft Edge version 144 ou ultérieure.

Plus d’informations sur : Cross-tenant support using Intune MAM

A l’occasion de l’Ignite 2025, Microsoft a annoncé le mode de sécurité de base (Baseline Security Mode). Ce mode offre flexibilité et contrôle, ce qui vous permet de gérer chaque paramètre indépendamment. Vous pouvez également tester la désactivation d'un paramètre pendant une période définie (par exemple quelques jours) afin d'évaluer les dépendances.  Le mode de sécurité de base vous aide à :

• Protéger les données de l'entreprise.
• Prévenir les interruptions d'activité.
• Empêcher les pratiques dangereuses des utilisateurs finaux.
• Sécuriser les comptes internes.
• Garantir une collaboration sécurisée.

Le mode de sécurité de base couvre les principaux services Microsoft 365, notamment :

• Les applications Microsoft 365.
• SharePoint et OneDrive.
• Microsoft Teams.
• Exchange Online.
• La plateforme d'identité Microsoft Entra.

 Vous pouvez procéder comme suit pour configurer les paramètres du mode de sécurité de référence :

• Générez des rapports d'impact pour chacun des paramètres du mode de sécurité de référence.
• Si le paramètre n'affiche aucun impact, activez-le.
• S'il existe des dépendances critiques, n'activez pas le paramètre. Prévoyez de résoudre ces dépendances avant de rendre les modifications permanentes. Cette approche intuitive et progressive garantit une transition en douceur vers des configurations sécurisées par défaut.

Pour accéder à Baseline Security Mode, ouvrez le portail d’administration M365 et naviguez dans Settings – Org Settings puis Security & Privacy. Sélectionnez ensuite Baseline Security Mode

Dans le volet de droite, plusieurs options s’offrent à vous :

• Automatically apply default policy permet d’activer automatiquement et appliquer les stratégies recommandées qui n’ont pas d’impact sur votre organisation.
• Generate reports and consent to view sensitive data for remaining policies permet d’obtenir un aperçu de l’impact des stratégies sur l’organisation. Des options permettent de confirmer la visibilité de données identifiables des utilisateurs finaux et de générer des journaux d’audit dans les applications

En cliquant sur Open Baseline Security mode, vous obtenez la liste exhaustive des recommandations dont les 20 recommandations à date sont présentes :

 Authentification

1. Protéger l’accès administrateur avec une authentification multifacteur résistante au phishing
2. Bloquer les flux d’authentification hérités (legacy authentication)
3. Bloquer l’ajout de nouveaux mots de passe aux applications
4. Restreindre le consentement utilisateur aux applications certifiées Microsoft 365 ou internes
5. Bloquer l’authentification basique (Basic Auth)
6. Bloquer les protocoles non sécurisés (HTTP/FTP) pour l’ouverture de fichiers
7. Bloquer le protocole FPRPC (FrontPage RPC) pour l’ouverture de fichiers
8. Bloquer les connexions d’authentification héritées vers SharePoint/OneDrive via RPS
9. Bloquer les connexions d’authentification héritées via IDCRL vers SharePoint/OneDrive
10. Interdire les nouveaux scripts personnalisés dans SharePoint

 Fichiers & Applications Office

1. Ouvrir les formats très anciens en mode Protégé et interdire l’édition
2. Ouvrir les anciens formats en mode Protégé mais autoriser l’édition
3. Bloquer les contrôles ActiveX
4. Bloquer les objets OLE Graph et OrgChart
5. Bloquer les lancements DDE (Dynamic Data Exchange) dans Excel
6. Bloquer l’application Microsoft Publisher

 Exchange & Services associés

1. Désactiver l’accès organisationnel à Exchange Web Services (EWS)

 SharePoint & OneDrive

1. Désactiver l’accès au Microsoft Store pour SharePoint

️ Teams Rooms & Ressources

1. Interdire aux comptes ressources des Teams Rooms d’accéder aux fichiers Microsoft 365
2. N’autoriser que les appareils conformes et gérés à se connecter (Teams Rooms)
3. Bloquer les connexions des appareils non gérés et des comptes ressources aux apps Microsoft 365

Une barre de progression permet d’obtenir le score de l’organisation et le standard associé.

Vous obtenez notamment la liste des recommandations et l’état :

• At Risk : La recommandation n’a pas été adressée dans le tenant
• In Review : La recommandation est en cours de revue par l’organisation
• Meet Standard : La recommandation est déjà appliquée

Pour chacune des recommandations, vous pouvez voir l’analyse d’impact et le paramétrage à appliquer :

L’option Customize Policy permet de basculer vers l’outil qui créé/configure le paramétrage associé.

Microsoft a publié un playbook donnant les outils et les options à disposition des organisations pour mettre à jour les certificats Secure Boot sur Windows Server. Ces certificats expirent en juin 2026 et doivent être mis à jour avant la date pour garder une posture de sécurité. Beaucoup de plateformes incluent les certificats édités en 2023 dans les firmwares. Néanmoins, pour les autres, il faudra mettre à jour manuellement les certificats.

Voici les étapes :

1. Faites l'inventaire et préparez votre environnement.
2. Surveillez et vérifiez l'état du Secure Boot sur vos appareils.
3. Appliquez les mises à jour du micrologiciel OEM nécessaires avant de mettre à jour les certificats.
4. Planifiez et testez le déploiement des certificats Secure Boot.
5. Résolvez les problèmes.

Voir et lire le playbook

Lire : Prepare your servers for Secure Boot certificate updates

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Windows] Public Preview d’un nouveau paramétrage qui affecte l’expérience d’enregistrement des comptes Microsoft Entra sur Windows. Le paramètre « Disable MDM enrollment when adding work or school account on Windows » détermine si les appareils doivent s’inscrire au MDM lors de la procédure d'enregistrement du compte. Le paramètre par défaut est défini sur « Non », ce qui autorise l'inscription MDM. Aucune action n'est requise, sauf si vous souhaitez modifier le comportement d'inscription par défaut.

Gestion du périphérique

• [Windows] Autopatch update readiness offre une expérience unifiée pour le suivi et la résolution des problèmes liés aux mises à jour Windows sur les appareils inscrits à Intune et les appareils inscrits au groupe Windows Autopatch. À partir d'un tableau de bord unique, les administrateurs peuvent afficher tous les appareils gérés, y compris leur état d'inscription et les attributions de stratégies, afin de mieux comprendre l'état de préparation aux mises à jour dans leur environnement.
  • Device update journey: affichez l'état détaillé des mises à jour pour chaque appareil afin d'identifier rapidement où les mises à jour sont bloquées et pourquoi.
  • Centralized alerting: consultez en un seul endroit les alertes exploitables concernant les échecs de mise à jour, les conflits de politiques et les lacunes en matière de préparation, avec des conseils de correction intégrés.
  • Update readiness checker: évaluez de manière proactive les risques liés au déploiement des appareils et signalez ceux qui sont à risque en fonction de signaux tels que l'espace disque, les données d'évaluation et les conditions de configuration.
  • Repair devices with OS reinstall: remédiez aux problèmes qui bloquent la mise à niveau des appareils en déclenchant une réinstallation du système d'exploitation pour les problèmes courants tels que l'espace disque insuffisant ou les problèmes de compatibilité des applications, avec des alertes et des rapports à l'appui.

• [iOS/iPadOS/Apple] Avec la sortie d'iOS 26, d'iPadOS 26 et de macOS 26, Apple a abandonné les commandes et les charges utiles de mise à jour logicielle de gestion des appareils mobiles (MDM) héritées. En conséquence, Microsoft Intune mettra bientôt fin à la prise en charge de la création de stratégies de mise à jour logicielle iOS/iPadOS et macOS héritées. Pour continuer à gérer les mises à jour logicielles Apple dans Intune, configurez les stratégies de mise à jour à l'aide du modèle de gestion déclarative des appareils (DDM) d'Apple. Le DDM offre une approche plus moderne et plus fiable de la gestion des mises à jour logicielles, avec une autonomie et des rapports améliorés pour les appareils.
• [iOS/iPadOS/Apple] Vous pouvez maintenant utiliser des filtres pour assigner les configurations Apple Declarative Device Management (DDM) comme les mises à jour logicielles.

Configuration du périphérique

• [iOS/iPadOS/macOS] De nouveaux paramétrages sont disponibles dans le catalogue de paramétrages :
  • AirPlay : Device Name
  • Microsoft Defender avec de nouveaux paramétrages
• [Windows] De nouveaux paramétrages sont disponibles dans le catalogue de paramétrages :
  • Microsoft Edge avec :
    • Control whether an informational webpage for Edge for Business is shown in the new tab after major browser updates
    • Enable Silent Printing
    • Content Settings : Allow precise geolocation on these sites et Block geolocation on these sites
  • Windows Backup and Restore: Enable Windows Restore permettant d’activer l’expérience de restauration pendant la phase OOBE de l’enregistrement de l’appareil ou à la première connexion de l’utilisateur.

Gestion des applications

• [Général] De nouvelles applications protégées sont disponibles :
  • Jump par Accio Inc.
  • Mijn InPlanning par Intus Workforce Solutions (Android)

Supervision et Dépannage

• [Général] Device query pour plusieurs appareils inclut désormais une prise en charge étendue des opérateurs, une validation plus claire des requêtes et des résultats améliorés afin de faciliter la création et l'interprétation des requêtes. On retrouve :
  • Nouveaux types de jointure pris en charge (leftsemi, rightsemi, leftanti, rightanti)
  • Comportement de jointure mis à jour. Les jointures qui utilisent Device.DeviceId ne sont plus prises en charge. Utilisez on Device, ou omettez complètement la clause on lorsque vous joignez l'entité device.
  • L'utilisation de Device seul n'est plus prise en charge par des opérateurs tels que distinct, summarize, ou order by.
  • Les requêtes qui impliquent un appareil, soit en interrogeant directement un appareil, soit en associant un appareil à une autre entité, renvoient désormais l'appareil sous forme de lien cliquable dans les résultats, ce qui vous permet d'accéder rapidement aux détails de l'appareil.
  • Certains messages d'erreur liés aux requêtes ont été mis à jour afin de fournir des indications plus claires et plus descriptives lorsque les requêtes ne sont pas valides.

Administration & RBAC

• [Général] Multi-administrator approval prend désormais en charge les stratégies de configuration des appareils créées via le catalogue de paramètres et les stratégies de conformité des appareils. Lorsque vous activez cette fonctionnalité, toutes les modifications que vous apportez, y compris la création, la modification ou la suppression d'une stratégie, doivent être validées par un deuxième administrateur avant de prendre effet. Ce processus de double validation permet de protéger votre organisation contre les modifications non autorisées ou accidentelles du contrôle d'accès basé sur les rôles.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft Purview (MIP, DLP, etc.).

On retrouve notamment :

Général

• Microsoft Purview permet aux éditeurs de logiciels d'intégrer des fonctionnalités de gouvernance, de protection et de conformité dans leurs applications à l'aide de kits de développement logiciel (SDK) et d'interfaces de programmation d'applications (API). Une nouvelle liste des intégrations partenaires est désormais disponible, avec des liens vers la documentation des partenaires.

Etiquettes de confidentialité (Sensitivity Labels)

• Les améliorations côté client pour les étiquettes de sensibilité qui étendent les autorisations SharePoint aux documents téléchargés, dont le déploiement a commencé en janvier pour la version 2601+ de Windows pour Current Channel, sont terminées et sont désormais également disponibles avec le Monthly Enterprise Channel.

Gestion des risques internes (Insider Risk Management)

• (Preview) Les indicateurs Microsoft Fabric incluent désormais les indicateurs Lakehouse.
• (Preview) un nouveau modèle de stratégie rapide permettant de détecter le vol de données à partir d'applications non Microsoft 365 par des utilisateurs quittant l’organisation est désormais disponible.

Data Governance

• (Preview) Microsoft Purview Data Quality prend en charge les analyses incrémentielles de la qualité des données à l'aide d'un filtrage basé sur le temps. Grâce aux analyses incrémentielles, vous pouvez choisir entre des analyses complètes, des analyses incrémentielles ou les deux lorsque vous appliquez des règles de qualité des données à des ressources de données.
• (Preview) les analyses de qualité des données pour les ressources de données autonomes permettent aux organisations de mesurer et d'améliorer immédiatement la qualité des données sans associer une ressource de données à un produit de données, ce qui accélère considérablement l'adoption de la gouvernance. En exécutant des analyses sur les ressources, les organisations peuvent décider d'associer ou non une ressource de données à un produit de données si la ressource de données est de mauvaise qualité.
• (Disponibilité générale) : la prise en charge d'Azure SQL Managed Instance (SQL MI) est désormais disponible. Vous pouvez désormais mesurer, comprendre et améliorer la qualité de vos données dans votre SQL MI. Les configurations de réseau public et de point de terminaison privé sont prises en charge. Pour commencer, créez une connexion similaire à la base de données Azure SQL avec un numéro de port pris en charge, puis évaluez la qualité de vos données à l'aide du scanner Microsoft Purview Data Quality.

 Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft a annoncé qu’à partir d’Avril 2026, il procédera au retrait de l’option d’installation pour le canal Semi-Annual Enterprise de Microsoft 365 Apps pour :

• les appareils non gérés (BYOD) dans le portail d’administration Microsoft 365. Cette suppression ne concerne que l'option d'installation pour les appareils non gérés. Elle ne modifie pas le canal de mise à jour des appareils non gérés existants déjà affectés au canal Semi-Annual Enterprise. Si votre tenant a actuellement sélectionné ce canal :
  • Votre sélection actuelle sera conservée, mais apparaîtra en gris.
  • Si vous passez à un autre canal de mise à jour, vous ne pourrez plus sélectionner le canal « Semi-Annual Enterprise » pour les installations non gérées.

  Les appareils non gérés existants configurés pour ce canal continueront à l'utiliser jusqu'à ce que vous modifiiez manuellement le canal de mise à jour.

• Les organisations utilisant Office Deployment Services ou Office Customization Services (OCS/OCT) pour créer des configurations de déploiement. Dans ce cas, le canal sera supprimé de la liste des options de canaux disponibles lors de la création d'une nouvelle configuration. Les configurations déjà créées utilisant ce canal, continueront à garder la valeur. Seules les options Current Channel et Monthly Enterprise Channel seront disponible pour les nouvelles créations.

Les appareils gérés via Intune, Configuration Manager, Cloud Update ou d'autres outils de gestion ne sont pas concernés par cette suppression.

Source : Centre de messages

Microsoft a publié une mise à jour hors cycle (Out-of-band) pour les appareils Windows Enterprise exécutant les mises à jour à chaud (Hotpatch). Cette mise à jour permet d’adresser un problème de sécurité dans les outils d’administration Windows Routing and Remote Access Service (RRAS) qui peut entrer une exécution de code à distance lors de la connexion à un serveur malicieux. Ce problème ne concerne qu'un nombre limité de cas impliquant des appareils clients d'entreprise exécutant des mises à jour Hotpatch et utilisés pour la gestion à distance de serveurs.

Une mise à jour hotpatch hors bande (OOB) (KB5084597) a été publiée le 13 mars 2026, pour résoudre ce problème. Cette mise à jour cumulative inclut toutes les protections et améliorations de la mise à jour de sécurité Windows de mars 2026 publiée le 10 mars 2026. Aucune action n'est requise si :

• Vos appareils reçoivent les mises à jour Windows standard.
• Vous n'utilisez pas l'outil de gestion RRAS sur des appareils Windows exécutant les versions 25H2 ou 24H2.

Cette mise à jour hotpatch hors bande est disponible pour les appareils Windows 11, versions 25H2 et 24H2, inscrits aux mises à jour hotpatch et gérés par Windows Autopatch. Cette mise à jour s'installera automatiquement via Windows Update et prendra effet sans que vous ayez à redémarrer votre appareil.

Plus d’informations sur : March 13, 2026—Hotpatch KB5084597 (OS Builds 26200.7979 and 26100.7979) Out-of-band.

En février dernier, Microsoft a annoncé un délai supplémentaire pour que les clients qui utilisent Microsoft Sentinel dans le portail Azure migrent vers le portail Defender. Initialement prévu au 1^er juillet 2026, la limite a été repoussée au 31 mars 2027. Ceci permet de prendre le temps de migrer vers le portail Defender en prenant en compte les éventuelles contraintes en place.

Parmi les bénéfices de migrer vers le portail Defender, on retrouve :

• Security Copilot, la solution de sécurité générative alimentée par l'IA qui offre une expérience d'assistance en langage naturel pour aider les professionnels de la sécurité dans la réponse aux incidents, la recherche de menaces, la collecte de renseignements et la gestion de la posture. Les agents contribuent à accélérer davantage le travail du SOC.
• Le Data Lake de Sentinel permettant une conservation à long terme et des analyses avancées, offrant ainsi des investigations plus approfondies, un contexte historique plus riche et des informations basées sur l'IA à grande échelle.
• Le graph Sentinel proposant une couche de renseignements de sécurité connectée qui relie les utilisateurs, les appareils, les alertes, les comportements et les incidents afin de mettre en évidence les chemins d'attaque et d'exposer des relations qui, autrement, resteraient cachées.
• Les mécanismes de perturbation automatique des attaques (Attack Disruption) sur des sources telles que AWS et Proofpoint – Perturbation des attaques qui stoppe les menaces actives en temps réel en interrompant automatiquement la progression des attaquants.
• Les recommandations optimisées pour l'optimisation du SOC en mappant la couverture à MITRE ATT&CK, en mettant en évidence les lacunes et les redondances, et en guidant les équipes vers des stratégies de détection plus solides et plus efficaces.
• La gestion moderne des données avec le portail Microsoft Defender permettant aux clients de gérer la période de conservation et les coûts de stockage associés à leurs données.
• Des améliorations futures du SOAR et de la gestion des cas : capacités d'automatisation et de gestion des cas de nouvelle génération conçues pour rationaliser les enquêtes, coordonner les réponses et autonomiser les équipes SOC.

Plus d’informations sur : Microsoft Sentinel in the Microsoft Defender portal | Microsoft Learn

Microsoft supprime la possibilité de créer des stratégies d'alerte et de générer des alertes DLP pour les activités liées aux données sensibles sur les points de terminaison dans le portail Microsoft Defender. Cette modification unifie la détection et les alertes de prévention des pertes de données (DLP) sur les terminaux dans Microsoft Purview DLP, offrant ainsi aux organisations une expérience plus cohérente et un accès à des fonctionnalités avancées d'application et d'investigation dans Microsoft Defender XDR.

Depuis le 16 février 2026, les options d'activité relatives aux données sensibles seront supprimées de la création de nouvelles stratégies d'alerte dans le portail Microsoft Defender. Dès le 23 mars 2026, les stratégies d'alerte existantes utilisant ces activités cesseront de générer des alertes.

Vous devez ainsi recréer les alertes requises en utilisant des stratégies Microsoft Purview DLP.

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Entra ID, Permissions Management, etc.) en février 2026.

Microsoft apporte les nouveautés suivantes :

Microsoft Entra ID (Azure Active Directory)

• Public Preview de la nouvelle page d’accueil My Account pour offrir une expérience davantage axée sur les tâches. Les utilisateurs verront les actions en attente, telles que le renouvellement des groupes arrivant à expiration, l'approbation des demandes d'accès et la configuration de l'authentification multifactorielle, directement sur la page d'accueil. Les liens rapides vers les applications, les groupes, les packages d'accès et les informations de connexion seront plus faciles à trouver et à utiliser. Cette modification vise à rationaliser la gestion des comptes et à aider les utilisateurs à rester informés des tâches liées à l'accès et à la sécurité.
• Disponibilité Générale du support officiel de Microsoft Entra Connect Sync sur Windows Server 2025. Grâce à cette mise à jour, les entreprises peuvent mettre à niveau leurs serveurs de synchronisation d'identité vers Windows Server 2025 sans hésitation. Windows Server 2025 offre des fonctionnalités avancées qui améliorent la sécurité, les performances et la flexibilité. Notre équipe d'ingénieurs a minutieusement validé Microsoft Entra Connect Sync sur cette plateforme. De nombreux clients étaient impatients d'adopter Windows Server 2025 afin de bénéficier de sa sécurité renforcée, de ses meilleures performances et de ses capacités de gestion améliorées. Désormais, grâce à la prise en charge officielle, vous pouvez profiter de ces améliorations tout en conservant une solution d'identité hybride fiable et entièrement prise en charge.
• À partir de février 2026, Microsoft Authenticator introduira la détection des jailbreaks/rootages pour les identifiants Microsoft Entra dans l'application Android. Le déploiement se fera selon les étapes suivantes : mode d'avertissement → mode de blocage → mode d'effacement. Les utilisateurs devront passer à des appareils conformes pour continuer à utiliser leurs comptes Microsoft Entra dans Authenticator.
• Disponibilité Générale des méthodes d’authentification externes (EAM) permettant aux entreprises d'intégrer de manière transparente leurs solutions MFA tierces préférées à Microsoft Entra ID pour une sécurité et une flexibilité accrue. Cette version inclut une prise en charge complète de l'inscription et une documentation mise à jour pour vous aider à démarrer.

Microsoft Entra Identity Governance

• Disponibilité Générale de la révocation d’un package précédemment approuvé depuis My Access pour les approbateurs. À la fin du mois de mars, les approbateurs Microsoft Entra ID Governance pourront désormais révoquer l'accès à un ensemble d'accès après qu'une autorisation ait déjà été accordée. Cela leur donnera davantage de contrôle pour réagir aux changements, aux erreurs ou à l'évolution des besoins de l'entreprise. Grâce à cette mise à jour, un approbateur pourra annuler une décision d'autorisation antérieure, supprimant immédiatement l'accès du demandeur à l'ensemble d'accès. Seul l'approbateur qui a initialement approuvé la demande peut la révoquer, même si plusieurs approbateurs appartiennent au même groupe d'approbateurs.
• Le service de provisionnement Microsoft Entra peut être utilisé dans le cloud 21Vianet / Chine dans les scénarios suivants : provisionnement basé sur API, Cloud Sync, synchronisation inter-locataires entre locataires chinois, provisionnement SCIM pour les applications non répertoriées dans la galerie / personnalisées et provisionnement d'applications sur site (ECMA). Les connecteurs spécifiques à la galerie tels que Workday, SuccessFactors et AWS ne sont pas intégrés à l'environnement.
• Les Lifecycle Workflows peuvent désormais être gérés à l'aide d'unités administratives (AU), ce qui permet aux organisations de segmenter les workflows et de déléguer leur administration à des administrateurs spécifiques. Cette amélioration garantit que seuls les administrateurs autorisés peuvent afficher, configurer et exécuter les workflows relevant de leur domaine de compétence. Les clients peuvent associer des workflows à des AU, attribuer des autorisations limitées à des administrateurs délégués et s'assurer que les workflows n'ont d'impact que sur les utilisateurs relevant de leur domaine de compétence défini.
• Disponibilité générale du support étendue des attributs dans les déclencheurs de modification d'attributs des Lifecycle Workflows. Avec cette mise à jour, vous pouvez configurer des workflows pour réagir lorsque l'un des attributs suivants change : Attributs de sécurité personnalisés, Attributs d'extension d'annuaire, Attributs EmployeeOrgData, Attributs sur site 1 à 15.

Microsoft Entra External ID

• Disponibilité générale de la prise en charge des listes de mots de passe interdits personnalisées dans Microsoft Entra External ID.
• Dans Microsoft Entra External ID (EEID), les utilisateurs qui s'authentifient à l'aide d'une adresse e-mail et d'un mot de passe locaux peuvent désormais également se connecter à l'aide d'un nom d'utilisateur (alias) comme identifiant de connexion alternatif. Cet alias peut représenter un identifiant client ou membre, un numéro d'assurance, un numéro de voyageur fréquent ou un nom d'utilisateur choisi par l'utilisateur. L'alias peut être collecté auprès de l'utilisateur ou attribué lors de l'inscription en libre-service, ou encore attribué lors de la création ou de la mise à jour d'un utilisateur via l'API Microsoft Graph ou le centre d'administration Microsoft Entra.
• À l'instar de Microsoft Entra ID (tenants professionnels), Microsoft Entra External ID (tenants externes) prend désormais en charge le flux d'autorisation des appareils, qui permet aux utilisateurs de se connecter à des appareils à saisie limitée, tels que les téléviseurs intelligents, les appareils IoT ou les imprimantes.

Microsoft Entra Global Secure Access (Internet Access/Private Access)

• Public Preview de la prise en charge BYOD pour les clients Windows sur Microsoft Entra Private Access. Les utilisateurs et les partenaires peuvent accéder aux ressources de l'entreprise depuis leurs propres appareils. Les administrateurs peuvent attribuer le profil de trafic Application privée aux comptes internes, y compris aux utilisateurs invités internes.
• Global Secure Access propose désormais des pages de blocage personnalisées pour Internet Access. Dans l'API Microsoft Graph, les administrateurs peuvent désormais :
  • Configurer le texte du corps de la page de blocage GSA à l'échelle du locataire.
  • Ajouter des hyperliens via un markdown limité pour faire référence aux conditions d'utilisation, aux services de tickets ServiceNow/IT, ou même à MyAccess pour l'intégration du workflow ID Governance.

Modifications de service

• Changement à venir – Mise à jour de sécurité Microsoft Entra Connect visant à bloquer la correspondance exacte pour les rôles privilégiés. Lorsque Microsoft Entra Connect ou Cloud Sync ajoute de nouveaux objets à partir d'Active Directory, le service Microsoft Entra ID tente de faire correspondre l'objet entrant à un objet Microsoft Entra en recherchant la valeur sourceAnchor de l'objet entrant par rapport à l'attribut OnPremisesImmutableId des objets gérés dans le cloud existants dans Microsoft Entra ID. En cas de correspondance, Microsoft Entra Connect ou Cloud Sync prend le contrôle de la source ou de l'autorité (SoA) de cet objet et le met à jour avec les propriétés de l'objet Active Directory entrant dans le cadre d'une opération appelée « correspondance stricte ».  À compter du 1er juin 2026, Microsoft Entra ID bloquera toute tentative de Microsoft Entra Connect Sync ou Cloud Sync visant à associer de manière stricte un nouvel objet utilisateur provenant d'Active Directory à un objet utilisateur Microsoft Entra ID existant géré dans le cloud et détenant des rôles privilégiés. Si un utilisateur géré dans le cloud dispose déjà d'un identifiant immuable sur site (sourceAnchor) et se voit attribuer un rôle privilégié, Microsoft Entra Connect Sync ou Cloud Sync ne pourra plus prendre le contrôle de la source d'autorité de cet utilisateur en effectuant une correspondance exacte avec un objet utilisateur entrant provenant d'Active Directory.  Cette mesure de sécurité empêche les attaquants de prendre le contrôle d'utilisateurs gérés dans le cloud privilégiés dans Microsoft Entra en manipulant les attributs des objets utilisateur dans Active Directory. 

Plus d’informations sur : What's new? Release notes - Microsoft Entra | Microsoft Learn et What's new for Microsoft Entra Verified ID 

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft Defender for Cloud introduit en Preview la détection et le blocage antimalware en runtime pour les conteneurs. Cette fonctionnalité assure une protection en temps réel contre les malwares dans les environnements AKS, EKS et GKE. Elle permet de définir des règles antimalware pour générer des alertes ou bloquer automatiquement les menaces, réduisant les faux positifs tout en renforçant la sécurité des clusters.
• La fonctionnalité Binary drift prend désormais en charge le blocage en plus de la détection. Les politiques peuvent empêcher l’exécution de binaires modifiés ou non autorisés dans les images conteneurs en runtime, limitant les risques liés aux altérations malveillantes ou inattendues. Cette amélioration ajoute une couche de protection supplémentaire pour les workloads conteneurisés.
• Microsoft Defender for SQL introduit une nouvelle expérience de recommandations au niveau base de données pour SQL Vulnerability Assessment (SQL VA). Cette évolution s’applique à tous les types de bases supportées (PaaS et IaaS, classic et express) et est disponible dans :
  • le portail Azure
  • le portail Defender

Chaque règle SQL VA génère désormais une évaluation distincte par base de données, affichée comme recommandation dans Defender for Cloud.

• Les alertes SQL simulées sont désormais disponibles en disponibilité générale. Elles permettent de valider en toute sécurité la protection SQL, les détections et les workflows automatisés, sans risque pour les environnements de production. Les alertes générées incluent le contexte SQL et machine complet, et sont produites localement via une extension sécurisée, sans charge externe.
• Les recommandations Cloud Infrastructure Entitlement Management (CIEM) deviennent une capacité native de Defender for Cloud pour Azure, AWS et GCP. Cette mise à jour modifie l’évaluation des identités inactives et des rôles sur‑permissionnés, améliorant la précision des recommandations. Voici les changements :
  • L’inactivité est désormais évaluée via les attributions de rôles non utilisées, et non plus via l’activité de connexion.
  • La fenêtre d’analyse passe à 90 jours (au lieu de 45).
  • Les identités créées depuis moins de 90 jours ne sont pas évaluées.
  • Le Permissions Creep Index (PCI) est supprimé.
  • L’onboarding CIEM ne nécessite plus de permissions à haut risque.
• Microsoft Defender for Cloud propose désormais une protection contre les menaces pour les agents IA développés avec Foundry, disponible en préversion dans le plan Defender for AI Services. Cette capacité couvre l’ensemble du cycle de vie, du développement au runtime, et détecte les menaces alignées avec les recommandations OWASP pour les systèmes LLM et agents IA. Elle étend la couverture de sécurité aux plateformes IA avancées et renforce la protection des environnements utilisant des agents autonomes.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft a annoncé une série d’ateliers techniques permettant d’appréhender Security Copilot, l’IA orienté sécurité, conformité et identité de Microsoft. Cette série d'ateliers combine des instructions basées sur des scénarios, des démonstrations en direct, des exercices pratiques et des questions-réponses avec des experts. Microsoft fournira les SCUs nécessaires à l’exécution des ateliers. Il vous suffit de disposer d’un tenant avec les services correspondants au Workshop.

Security Copilot Virtual Workshop: Copilot in Entra

• 25 mars 2026, de 16:00 – 17:30 (heure de Paris – CET)
• 22 avril 2026, de 17:00 – 18:30 (heure de Paris – CEST)
• 20 mai 2026, de 17:00 – 18:30 (heure de Paris – CEST)

Security Copilot Virtual Workshop: Copilot in Intune 

• 11 mars 2026, de 16 h 00 – 17 h 30 (heure de Paris – CET)
• 8 avril 2026, de 17 h 00 – 18 h 30 (heure de Paris – CEST)
• 6 mai 2026, de 17 h 00 – 18 h 30 (heure de Paris – CEST)

Security Copilot Virtual Workshop: Copilot in Purview 

• 11 mars 2026, de 16 h 00 à 17 h 30 (heure de Paris – CET)
• 8 avril 2026, de 17 h 00 à 18 h 30 (heure de Paris – CEST)
• 6 mai 2026, de 17 h 00 à 18 h 30 (heure de Paris – CEST)

Les Workshops autour de Microsoft Defender sont en cours de planification.

Source : Accelerate Your Security Copilot Readiness with Our Global Technical Workshop Series | Microsoft Community Hub

Le service Microsoft Defender XDR est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• Les clients Microsoft Defender Experts for Hunting peuvent désormais configurer des contacts de notification. Ces contacts sont les personnes ou les groupes que Microsoft doit avertir en cas d'incidents critiques ou de mises à jour du service.
• (GA) Les tables de schéma de l’Advanced Hunting suivantes sont désormais disponibles :
  • La table IdentityAccountInfo contient des informations sur les comptes provenant de diverses sources, notamment Microsoft Entra ID. Elle inclut également des informations et un lien vers l’identité propriétaire du compte.
  • La table EntraIdSignInEvents contient des informations sur les connexions interactives et non interactives à Microsoft Entra.
  • La table EntraIdSpnSignInEvents contient des informations sur les connexions au principal de service et à l’identité gérée de Microsoft Entra.
  • La table GraphApiAuditEvents fournit des informations sur les requêtes API effectuées par Microsoft Entra ID auprès de l’API Microsoft Graph pour les ressources du tenant.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn