• Microsoft publie de nouveaux Applied Skills pour valider vos compétences

    Microsoft vient de publier une nouvelle série d’Applied Skills permettant de valider vos compétences dans les outils en déroulant un scénario dans les solutions Microsoft.

    Les deux nouveaux examens sont sur la Data :

     

    Ils viennent s’ajouter :

    Source : Empowering teams, strengthening organizations with Microsoft Applied Skills - Microsoft Community Hub

  • Enregistrez-vous pour le Windows Server Summit 2024

    Microsoft vient d’annoncer Windows Server 2025 et va proposer un événement en ligne à destination des professionnels de l’informatique : le Windows Server Summit. Cette conférence aura lieu afin de présenter les nouveautés de Windows Server. Celui-ci aura lieu du mardi 26 au jeudi 28 mars de 16h à 00h00 (heure française).

    Microsoft prévoit beaucoup de contenu, de démos et des sessions de questions/réponses. On retrouve 5 sujets qui peuvent être suivies :

    • Nouvelles technologies de Windows Server 2025
    • Meilleures pratiques en matière d'infrastructure Windows Server
    • Windows Server Hybride et Cloud avec notamment les mécanismes permettant d’automatiser comme Azure Automation, PowerShell, etc.
    • Durcissement de Windows Server avec notamment les éléments relatifs à NTLM et Kerberos
    • Migration du serveur Windows pour aborder les chemins de migration entre Windows Server 2019 et Windows Server 2025.

    Enregistrez-vous !

  • [Copilot] Découvrez Copilot for Security avec Learn Live

    Microsoft va animer des sessions de découverte appelées Learn Live autour de Microsoft Copilot for Security. On retrouve plusieurs dates et webinars animés par Edward Walton, Andrea Fisher, et Rod Trent.

    Plus d’informations sur : Learn about AI and Microsoft Copilot for Security with Learn Live

  • [Sécurité] Publication de la 6ème édition du rapport Cyber Signals

    Microsoft publie la 6ème édition du rapport Cyber Signals qui comprend notamment des éléments (en collaboration avec OpenAI) sur comment protéger les plateformes IA des attaques émergentes. On apprend notamment que les cybercriminels se tournent vers l'IA, y compris les LLM, pour améliorer leur productivité et tirer parti de plates-formes susceptibles de favoriser leurs objectifs et leurs techniques d'attaque. Il s'agit notamment de reconnaissance, par exemple en recherchant les secteurs d'activité, les lieux et les relations des victimes potentielles ; de développement de code, notamment en améliorant les scripts logiciels et en développant des logiciels malveillants ; et d'aide à l'apprentissage et à l'utilisation des langages humains et des langages de la machine.

    Vous pouvez par exemple obtenir une vision des usages de l'IA et du LLM selon les acteurs à la mode (Salmon Typhoon, Charcoal Typhoon, Crimson Sandstorm, Emerald Sleet, Forest Blizzard, etc.) : Staying ahead of threat actors in the age of AI | Microsoft Security Blog

    Microsoft travaille notamment avec la communauté et MITRE pour intégrer ces tactiques, techniques et procédures (TTP) sur le thème du LLM dans le cadre MITRE ATT&CK® ou dans la base de connaissances MITRE ATLASTm (Adversarial Threat Landscape for Artificial-Intelligence Systems).

    Lire le rapport

  • [Intune] Contrôler/Bloquer l’envoi de fichiers sur certaines sites externes sur Edge Mobile pour iOS et Android

    Avec la version 122 de Microsoft Edge sur les plateformes mobile iOS/iPadOS et Android, Microsoft a introduit un nouveau paramétrage permettant de définir les sites internet sur lesquels les utilisateurs peuvent envoyer des fichiers depuis leur périphérique.

    Avant cette stratégie, les clients devaient limiter la navigation des utilisateurs à leurs propres sites internet en définissant AllowListUrls = leurs sites internet. Cela permettait de bloquer l'accès à des sites web externes tels que Dropbox, mais aussi de limiter les activités de navigation des utilisateurs. Par exemple, ils peuvent laisser leurs utilisateurs visiter des sites web comme Dropbox ou leur Gmail personnel. Mais s'ils définissent la politique de blocage du téléchargement de fichiers = *, leurs utilisateurs ne pourront pas télécharger de fichiers vers des sites web tels que Dropbox, Gmail, etc. Pour Edge sur iOS, l'action de coller sera bloquée en plus des téléchargements. Les utilisateurs ne verront pas l'option coller dans le menu d'action.

    A date, le paramètre n’est pas visible dans les stratégies de configuration d’applications de Microsoft Intune mais vous pouvez le configurer manuellement via les clés :

    • microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls
    • microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls

    Les valeurs renseignées doivent avoir la forme : URL1|URL2|URL3

     

    Plus d’informations sur : Manage Microsoft Edge on iOS and Android with Intune | Microsoft Learn

  • [Intune] Problème Connu lors de la mise à niveau de Microsoft Tunnel

    Microsoft vient de communiquer un problème qui vient d’être découvert avec Microsoft Tunnel où le répertoire /tmp peut être nettoyé par le système. Ceci signifie que le dossier /tmp/mstunnel peut être manquant sur la machine et empêcher la mise à niveau de Microsoft Tunnel.

    Le problème a été corrigé par Microsoft dans une prochaine version de Tunnel. Néanmoins, pour la mise à jour courante, vous pouvez avoir à le recréer par la commande :

    mkdir -m 0770 /tmp/mstunnel

    Source : Known issue: /tmp/mstunnel Directory not found when upgrading Microsoft Tunnel - Microsoft Community Hub

  • [MDA] Les nouveautés de Microsoft Defender for Cloud Apps en février 2024

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    Ce mois, on retrouve les changements suivants :

    • Defender for Cloud Apps a maintenant amélioré son support SSPM dans la disponibilité générale en incluant les applications suivantes :
    • Nouvelles alertes de gouvernance des applications pour l'accès aux identifiants et les mouvements latéraux :
    • Microsoft Defender for Cloud Apps apporte quelques modifications au catalogue d'applications Cloud afin d'améliorer l'évaluation des risques liés aux applications. Microsoft supprimera du catalogue les indicateurs non pertinents et redondants suivants :
      • Consumer Popularity Index
      • Safe Harbor
      • Jericho Forum Commandments
      • Heartbleed patched
      • Protected against DROWN
      • ISO 27002
      • The following PCI-DSS values: 1, 2, 3, 3.1, and 3.2
    • Microsoft va également supprimer les indicateurs suivants du calcul du score par défaut. Ces indicateurs continueront à être présentés dans le catalogue et peuvent être inclus dans les calculs de score en configurant les métriques de score :
      • Founded
      • Holding
      • Domain Registration
      • FedRAMP level
      • FISMA

    Si vous avez créé des politiques de découverte basées sur un score total de l'application ou sur l'un des indicateurs supprimés, le score de risque de certaines applications peut changer et de nouvelles alertes peuvent être déclenchées. Toutes les politiques existantes qui ont été créées sur la base des indicateurs supprimés seront désactivées. Microsoft prévoit ce changement à la mi-mars 2024 pour une fin mi-avril 2024.

    Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

  • [Intune] Suivez l’événement Tech Community Live du 20 Mars 2024

    Avec les récentes nouveautés autour de Microsoft Intune, il est primordial de se tenir informer des avancées. Microsoft organise pour cela un événement Tech Community Live le 20 mars prochain qui abordera notamment :

     

    Source : Tech Community Live: Microsoft Intune – RSVP now | Microsoft Intune Blog

  • Microsoft revoit l’interface des examens de certifications

    Ceci est une bonne nouvelle pour toutes les personnes qui passent des certifications Microsoft puisqu’à partir de ce jour, l’interface a été revue afin d’offrir un aspect et une sensation plus rationalisés, de l'introduction au rapport de score.

    Les points forts de cette nouvelle interface utilisateur sont les suivants :

    • La possibilité d'activer et de désactiver l'horloge de l'examen.
    • Une barre d'outils de menu d'examen extensible sur le côté de l'écran, offrant plus d'espace pour la question et minimisant le défilement.
    • Un nouveau menu déroulant d'outils, comprenant
      • Les détails de la question d'examen, offrant un décompte rapide des questions répondues, non répondues, marquées pour révision et marquées pour commentaire.
      • La progression de l'examen, qui offre un indicateur visuel de la partie de l'examen que vous avez terminée et de celle qu'il vous reste à faire.
    • Une conception qui minimise le défilement vertical et horizontal.
    • Un placement plus logique des cases "Réviser plus tard" et "Laisser un commentaire".
    • Une « carte du métro » qui montre où vous en êtes dans l'examen.
    • Une barre de progression de l'examen pour chaque question afin que vous sachiez exactement combien de sections et de questions il vous reste.
    • Un écran de révision amélioré, avec une vue filtrée qui affiche les questions auxquelles vous avez répondu, celles auxquelles vous n'avez pas répondu, celles qui sont marquées pour révision ou celles qui sont marquées pour commentaire. Le mode révision comporte des étiquettes qui vous rappellent les éléments que vous êtes en train de réviser.
    • Une modernisation des options de couleurs, y compris le mode sombre.
    • L’ajout de l'historique des calculs à la calculatrice.

    Vous pouvez obtenir un aperçu de ces changements.

    Source : Reimagining the Microsoft Certification exam UI experience - Microsoft Community Hub

  • [Windows Autopatch] Les nouveautés de février 2024

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Windows Autopatch.

    Il y a de nouvelles fonctionnalités ce mois :

    • Preview du résultat de réussite défini par l'entreprise. Auparavant, les mesures de réussite du déploiement étaient basées sur un calendrier statique de 21 jours. Cela signifie que Windows Autopatch vise à maintenir au moins 95 % des appareils éligibles sur la dernière mise à jour de qualité de Windows 21 jours après sa publication. Avec cette amélioration, le succès des déploiements de Windows Autopatch sera basé sur les anneaux que vous aurez définis. Microsoft introduit également de nouvelles colonnes dans la partie publication, ainsi que dans les rapports de mise à jour de la qualité et des fonctionnalités de Windows, afin d'indiquer le pourcentage d'achèvement des mises à jour de la qualité et des fonctionnalités. Les appareils qui sont à jour resteront dans l'état "En cours" dans les rapports jusqu'à ce que vous receviez la mise à jour cumulative mensuelle actuelle ou une alerte. Si une alerte est reçue, l'état passera à "Pas à jour".
    • Cette version modifie le cycle de rafraîchissement des rapports Windows Autopatch. Le cycle d'actualisation fait référence au temps qui s'écoule entre le moment où une modification est apportée et celui où elle est reflétée dans les rapports et les autres composants UX. Ce délai passera de toutes les 24 heures à toutes les 30 minutes. Cette amélioration prend en charge les nombreux flux de données que Windows Autopatch utilise pour fournir l'état actuel des mises à jour pour tous les appareils inscrits dans Windows Autopatch.

    Microsoft a réalisé des maintenances sur le service afin d'améliorer les performances globales de Windows Autopatch.

    Plus d’informations sur : What's new 2024 - Windows Deployment | Microsoft Learn

  • [Autopilot] Les changements de février 2024

    En février 2024, Microsoft a introduit différents changements à Windows Autopilot permettant d’améliorer le comportement.

    On retrouve notamment :

    • Après de nombreux mois (années !), voici la disponibilité Générale du mode Self-Deploying. Le mode Self-Deploying de Windows Autopilot vous permet de déployer des appareils Windows avec peu ou pas d'interaction avec l'utilisateur. Dès que l'appareil se connecte au réseau, le processus de provisionnement de l'appareil démarre automatiquement : l'appareil rejoint Microsoft Entra ID, s'inscrit dans Intune et synchronise toutes les configurations basées sur l'appareil qui lui sont destinées. Ce mode est très pratique pour les usages en mode Kiosk.
    • Là aussi après de nombreuses années, voici la disponibilité générale du mode de déploiement par pré-provisionnement appelé aussi White Glove. Ce mode est utilisé par les entreprises qui veulent s'assurer que les appareils sont prêts pour l'entreprise avant que l'utilisateur n'y accède. Avec le préapprovisionnement, les administrateurs, les partenaires ou les OEM peuvent accéder à un flux de techniciens à partir de l'expérience Out-of-box (OOBE) et lancer la configuration de l'appareil. Ensuite, l'appareil est envoyé à l'utilisateur qui termine le provisionnement dans la phase utilisateur. Le préapprovisionnement fournit la majeure partie de la configuration à l'avance afin que l'utilisateur final puisse accéder plus rapidement à son poste de travail.

    Source : What's new in Autopilot | Microsoft Learn

  • [SCM] Les baselines de sécurité pour Microsoft Edge v122

    Microsoft a fait une revue de sécurité pour Microsoft Edge v122 et a déterminé qu'il n'y a pas de paramètres de sécurité supplémentaires à appliquer. La configuration recommandée reste la version 117 de Microsoft Edge.

    Il existe 4 nouveaux paramètres machines et 4 nouveaux paramètres utilisateurs dont vous pouvez voir les différences avec la version 121.

    Plus d’informations sur : Security review for Microsoft Edge version 122 - Microsoft Community Hub

    Télécharger Security Compliance Toolkit

  • [MDC] Les nouveautés de février 2024 de Microsoft Defender for Cloud

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Microsoft Defender for Cloud commencera à appliquer la vérification du plan Defender Cloud Security Posture Management (DCSPM) pour DevOps à partir du 7 mars 2024. Si vous avez le plan Defender CSPM activé sur un environnement cloud (Azure, AWS, GCP) dans le même tenant que celui dans lequel vos connecteurs DevOps sont créés, vous continuerez à recevoir un code premium pour les capacités DevOps cloud sans frais supplémentaires. Si vous n'êtes pas un client Defender CSPM, vous avez jusqu'au 7 mars 2024 pour activer Defender CSPM avant de perdre l'accès à ces fonctionnalités de sécurité.
    • Une nouvelle version de l'agent Defender pour Defender for Containers est disponible. Elle inclut des améliorations de performance et de sécurité, la prise en charge des nœuds d'architecture AMD64 et ARM64 (Linux uniquement), et utilise Inspektor Gadget comme agent de collecte de processus au lieu de Sysdig. La nouvelle version n'est prise en charge que par les versions 5.4 et supérieures du kernel Linux ; si vous disposez de versions plus anciennes du kernel Linux, vous devez donc procéder à une mise à jour. La prise en charge d'ARM 64 n'est disponible qu'à partir d'AKS V1.29.

    Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

  • Les nouveautés de février 2024 autour de la gouvernance, conformité et protection de données (MIP, PurView, etc.)

    Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, etc.).

    On retrouve notamment :

    Général

    Etiquettes de confidentialité (Sensitivity Labels)

    Gestion des enregistrements et de la rétention

    • Lors du déploiement, vous pouvez désormais modifier la période de conservation d'une étiquette de rétention existante lorsque la période de conservation est basée sur le moment où les éléments ont été étiquetés.

    Gestion des risques internes

    • Insider Risk Management étend sa détection aux environnements multicloud en proposant des indicateurs de risque prêts à l'emploi dans Azure, AWS et les applications SaaS, notamment Box, Dropbox et Google Drive. Les organisations peuvent utiliser ces nouveaux indicateurs dans leurs politiques de vol et de fuite de données. Microsoft Purview Insider Risk Management met en corrélation différents signaux afin d'identifier les risques potentiels liés aux initiés, qu'ils soient malveillants ou involontaires, tels que le vol de propriété intellectuelle, les fuites de données et les violations de la sécurité. Insider Risk Management permet aux clients de créer des politiques basées sur leurs propres politiques internes, leur gouvernance et leurs exigences organisationnelles. Les utilisateurs sont pseudonymisés par défaut, des contrôles d'accès basés sur les rôles et des journaux d'audit sont en place pour garantir la confidentialité au niveau de l'utilisateur. La Preview est prévue pour Mars 2024.
    • Mise à jour pour préciser que la gestion des risques internes crée une seule alerte agrégée par utilisateur.
    • Mise à jour : Créer et gérer des stratégies de gestion du risque internes pour préciser que vous devez avoir le rôle Insider Risk Management ou the Insider Risk Management Admins pour accéder à la l’état de santé de la stratégie.

    Communication Compliance

    Gestion de la conformité

    • Mise à jour de la liste des régulations de Compliance Manager avec les ajouts récents suivants :
      • India Digital Personal Data Protection Act
      • ISO/IEC 27001:2022
      • Microsoft Cloud Security Benchmark v1
      • Directive de l'OTAN AC/322-D(2021)0032
      • Directive NIS2 (EU) 2022/2555 du Parlement européen et du Conseil.

    Data Map & Data Catalog

     

    Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

  • [Intune] Les nouveautés de février 2024

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Général

    • [Général] La Cloud PKI de Microsoft est enfin disponible dans tous les tenants. Elle permet de simplifier le déploiement de certificats sur les périphériques avec une architecture à deux niveaux et différents scénarios dont la capacité de provisionner une PKI complètement Cloud ou d’utiliser une autorité de certification racine pour créer l’autorité intermédiaire dans Microsoft Intune (BYOCA). Il n’est ainsi plus nécessaire de déployer de serveurs, la Cloud PKI est une solution SaaS qui gère pour vous le service de génération et de distribution de clés via le service NDES. Elle peut être utilisable pour Windows, Android, iOS/iPadOS, et macOS. Vous pouvez obtenir plus d’informations sur ce service via la vidéo suivant : Tour d'horizon - Cloud PKI - Découvrez la Cloud PKI intégrée à Microsoft Intune (youtube.com)
    • [Général] Dans les Cloud gouvernementaux, il y a une nouvelle expérience de gestion des appareils dans le centre d'administration Intune. L'interface utilisateur de la zone Device est désormais plus cohérente, avec des contrôles plus performants et une structure de navigation améliorée qui vous permet de trouver plus rapidement ce dont vous avez besoin.
    • [Général] Le volet de personnalisation permet désormais de sélectionner les groupes à exclure lors de l'attribution des stratégies.

    Enregistrement des périphériques

    • [Windows] Le mode de déploiement pré provisionné (White Glove) est enfin en disponibilité générale.
    • [Windows] Le mode de déploiement Self-Deploying est enfin en disponibilité générale.
    • [Windows] Le paramètre Only fail selected blocking apps in technician phase est disponible pour être configuré dans les profils ESP (Enrollment Status Page). Ce paramètre n'apparaît que dans les profils ESP pour lesquels des applications de blocage ont été sélectionnées.

    • [macOS] Vous pouvez maintenant configurer les paramètres du compte principal local pour les Mac qui s'inscrivent à Intune via Apple Automated Device Enrollment (ADE). Ces paramètres, pris en charge sur les appareils fonctionnant sous macOS 10.11 ou une version ultérieure, sont disponibles dans les profils d'inscription nouveaux et existants sous le nouvel onglet Account Settings.

    • [macOS] Le paramètre await final configuration est en disponibilité générale pour permettre de verrouiller l'expérience à la fin de l'assistant d'installation afin de s'assurer que les stratégies de configuration des appareils critiques sont installées sur les appareils.

    Gestion du périphérique

    • [Windows] L’administrateur peut réaliser des actions en masse sur les stratégies de mise à jour des pilotes Windows afin de les approuver, suspendre ou refuser en même temps, ce qui efforts.

    • [Windows] Mise à jour de l’Intune Management Extension pour prendre en charge les fonctionnalités étendues et les corrections de bugs du .NET Framework 4.7.2 ou une version plus récente. Si un client Windows continue d'utiliser une version antérieure de .NET Framework, l’Intune Management Extension continuera de fonctionner.
    • [Android AOSP] Sur les appareils Android (AOSP), Intune tente de vérifier les nouvelles tâches et notifications toutes les 15 minutes environ dès lors que le périphérique utilise l'application Intune version 24.02.4 ou plus récente.

    Configuration du périphérique

    • [Windows] Vous pouvez utiliser des filtres sur les stratégies Endpoint Privilege Management (EPM) pour affecter une stratégie en fonction des règles que vous avez créées. Un filtre vous permet de réduire la portée de l'affectation d'une politique, par exemple en ciblant les appareils ayant une version spécifique du système d'exploitation ou un fabricant spécifique.
    • [Windows] Vous pouvez importer jusqu’à 20 fichiers de modèles administratifs ADMX et ADML personnalisés dans Microsoft Intune contre 10 auparavant.
    • [Windows] Un nouveau paramètre de restrictions est disponible dans le catalogue de paramétrages (Settings Catalog) pour permettre de désactiver Copilot dans Windows au niveau de l’utilisateur : Windows AI > Turn Off Copilot in Windows (User)

    • [Windows] Le paramètre Enable delivery of organizational messages (User) n’est plus applicable à des versions Windows Insider mais à Windows 11 22H2 avec les dernières mises à jour. Les messages organisationnels permettent aux administrateurs d'envoyer des messages aux utilisateurs sur des expériences Windows 11 sélectionnées. Par défaut, cette stratégie est désactivée. Si vous activez cette stratégie, ces expériences afficheront le contenu réservé par les administrateurs.
    • [iOS/iPadOS] De nouveaux paramètres de restrictions sont disponibles dans le catalogue de paramétrages (Settings Catalog) avec notamment :
      • Allow Live Voicemail
      • Force Classroom Unprompted Screen Observation
      • Force Preserve ESIM On Erase
    • [macOS] De nouveaux paramètres de restrictions et de chiffrement sont disponibles dans le catalogue de paramétrages (Settings Catalog) avec notamment :
      • Full Disk Encryption > FileVault > Force Enable In Setup Assistant
      • Restrictions > Force Classroom Unprompted Screen Observation

    • [Android] Nouveau paramétrage pour gérer la présentation d’adresses MAC aléatoires pour la connexion à une réseau WiFi. À partir d'Android 10, lors de la connexion à un réseau, les appareils présentent une adresse MAC aléatoire au lieu de l'adresse MAC physique. L'utilisation d'adresses MAC aléatoires est recommandée pour la protection de la vie privée, car il est plus difficile de suivre un appareil par son adresse MAC. En revanche, les adresses MAC aléatoires mettent à mal les fonctionnalités qui reposent sur une adresse MAC statique, notamment le contrôle d'accès au réseau (NAC).

    Gestion des applications

    • [Général] Les applications protégées suivantes sont désormais disponibles pour Microsoft Intune :
      • Cinebody par Super 6 LLC
      • Bob HR by Hi Bob Ltd
      • ePRINTit SaaS by ePRINTit USA LLC
      • Microsoft Copilot by Microsoft Corporation

    • [Android] Il y a 6 nouvelles permissions qui peuvent être configurées sur une application Android via les stratégies de configuration d’applications :
      • Allow background body sensor data
      • Media Video (read)
      • Media Images (read)
      • Media Audio (read)
      • Nearby Wifi Devices
      • Nearby Devices

     

    Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

  • [Sentinel] Les nouveautés de Microsoft Sentinel de février 2024

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Preview de la solution Microsoft Sentinel pour Microsoft Power Platform vous permettant de surveiller et de détecter les activités suspectes ou malveillantes dans votre environnement Power Platform. La solution recueille les journaux d'activité des différents composants de Power Platform et les données d'inventaire. Elle analyse ces journaux d'activité pour détecter les menaces et les activités suspectes telles que les activités suivantes :
      • Exécution de Power Apps à partir de zones géographiques non autorisées
      • Destruction suspecte de données par les Power Apps
      • Suppression massive de Power Apps
      • Attaques par hameçonnage rendues possibles par les Power Apps
      • Activité des flux Power Automate par les employés qui quittent l'entreprise
      • Ajout de connecteurs Microsoft Power Platform dans l'environnement
      • Mise à jour ou suppression des politiques de prévention des pertes de données de Microsoft Power Platform

    • Vous pouvez désormais ingérer (en Preview) des journaux à partir du Google Security Command Center, en utilisant le nouveau connecteur basé sur Google Cloud Platform (GCP) Pub/Sub.
    • CrowdStrike Falcon Data Replicator V2 Data Connector est maintenant disponible. Le connecteur s'appuie sur un backend Azure Function pour interroger et ingérer les logs CrowdStrike FDR à grande échelle. Voici quelques-uns des avantages offerts par ce nouveau connecteur de données V2 :
      • Amélioration de la mise à l'échelle en fonction du volume de données - maintien de la performance de l'ingestion à un niveau élevé.
      • Plus d'ingestion de données avec le plan de consommation, ce qui permet d'optimiser les coûts.
      • Normalisation du temps d'ingestion au modèle de données ASIM, permettant aux clients d'utiliser diverses solutions normalisées et le contenu associé (analyse, chasse, classeurs).
      • L'analyse des requêtes est plus rapide car les données sont réparties dans plusieurs tables en fonction de la catégorie d'événement (réseau, authentification, fichier, DNS, etc.).
      • Les données secondaires de CrowdStrike (comme appinfo, assetinfo, userinfo, etc.) peuvent également être ingérées.
      • Il supporte l'ingestion de logs bruts en plus des logs normalisés (à des fins de conformité si nécessaire).
    • Les nouveaux connecteurs de données prenant en charge l'AMA seront disponibles dans le Content Hub de Sentinel en juin 2024.
      • Pour les sources de données qui utilisent actuellement l'agent MMA, de nouveaux connecteurs prenant en charge AMA seront disponibles dans le Microsoft Sentinel Content Hub.
      • Ces connecteurs s'appuieront sur les DCR pour l'ingestion des journaux.
      • Une nouvelle étiquette "Recommandé" sera visible pour mettre en évidence les nouveaux connecteurs dans le Content Hub.
      • Les anciens connecteurs seront étiquetés "Deprecated".
      • Compatibilité ascendante totale pour les solutions mises à jour : Parsers, Analytic Rules, Workbooks, etc.
      • Tous les changements dans les modèles de contenu seront disponibles avec les mises à jour des solutions, de sorte que tous les clients devront mettre à jour les solutions concernées pour obtenir ces nouveaux modèles déployés dans le Content Hub lorsqu'ils seront disponibles.
    • Les événements DNS Windows via le connecteur AMA sont désormais disponibles (GA)
    • Les connecteurs de données AWS et GCP prennent désormais en charge les clouds gouvernementaux Azure.

    Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

  • [Entra] Les nouveautés de Microsoft Entra (Azure Active Directory, etc.) en février 2024

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Azure Active Directory, Permissions Management, etc.) en janvier 2024.

    Microsoft apporte les nouveautés suivantes :

    Microsoft Entra ID (Azure Active Directory)

    • Microsoft a mis en place une nouvelle détection de risque pour les utilisateurs premium dans Identity Protection, appelée Suspicious API Traffic. Cette détection est signalée lorsque Identity Protection détecte un trafic Graph anormal de la part d'un utilisateur. Un trafic API suspect peut suggérer qu'un utilisateur est compromis et qu'il effectue une reconnaissance dans son environnement.
    • Public Preview - La stratégie de réauthentification vous permet d'exiger des utilisateurs qu'ils fournissent à nouveau leurs informations d'identification de manière interactive, généralement avant d'accéder à des applications critiques et d'effectuer des actions sensibles. Combinée au contrôle de la fréquence d'ouverture de session de l'accès conditionnel, vous pouvez exiger la réauthentification pour les utilisateurs et les ouvertures de session à risque, ou pour l'inscription à Intune. Cette option est disponible dans les contrôles de session comme suit :

    • Public Preview d'un nouveau rapport permettant de suivre l'utilisation des licences Microsoft Entra. Microsoft Entra License Utilization Insights permet de voir combien de licences Entra ID P1 et P2 vous avez et l'utilisation des caractéristiques clés correspondant au type de licence. La Public Preview se focalise sur l'accès conditionnel et l'utilisation de l'accès conditionnel basé sur le risque, mais les autres fonctionnalités seront ajoutés dans la disponibilité générale. Ce dernier se trouve dans Monitoring & Health - Usage & Insights - License Utilisation :

    • Disponibilité générale d’Identity Protection et des mécanismes de remédiation aux risques sur l'application mobile Azure. Les administrateurs peuvent ainsi répondre aux menaces potentielles avec facilité et efficacité. Cette fonction inclut des rapports complets, offrant un aperçu des comportements à risque tels que les comptes d'utilisateurs compromis et les ouvertures de session suspectes.

    • Nouveau Workbook permettant d'évaluer l'impact des stratégies d'accès basées sur le risque de Microsoft Entra Identity Protection.

    Microsoft Entra Verified ID

    Modifications de service

    • À partir du 31 mars 2024, toutes les détections et tous les utilisateurs de Microsoft Entra ID Identity Protection présentant un risque "faible" et datant de plus de six mois seront automatiquement supprimés. Cette mesure permettra aux clients de se concentrer sur les risques plus pertinents et de disposer d'un environnement d'investigation plus propre.
    • Le connecteur Windows Azure Active Directory pour Forefront Identity Manager (FIM WAAD Connector) de 2014 a été supprimé en 2021. La prise en charge standard de ce connecteur prendra fin en avril 2024. Les clients doivent supprimer ce connecteur de leur déploiement MIM sync, et utiliser à la place un mécanisme de provisionnement alternatif.

    Plus d’informations sur : What’s new Azure AD et What's new for Microsoft Entra Verified ID 

  • [Microsoft Defender for IoT] Les nouveautés de février 2024

    Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for IoT. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    Général

    • Public preview des règles de suppression des alertes à partir du portail Azure vous permettant de
      • Configurer les alertes à supprimer en spécifiant un titre d'alerte, une adresse IP/MAC, un nom d'hôte, un sous-réseau, un capteur ou un site.
      • Définir chaque règle de suppression pour qu'elle soit active en permanence ou uniquement pendant une période prédéfinie, par exemple pendant une fenêtre de maintenance spécifique.

    Si vous utilisez actuellement des règles d'exclusion sur la console de gestion sur site, Microsoft vous recommande de les migrer vers des règles de suppression sur le portail Azure.

    • Lorsque la licence d'un ou de plusieurs de vos sites OT est sur le point d'expirer, une note est visible en haut de Defender for IoT dans le portail Azure, vous rappelant de renouveler vos licences. Pour continuer à bénéficier de la valeur de sécurité de Defender for IoT, sélectionnez le lien dans la note pour renouveler les licences concernées dans le centre d'administration Microsoft 365.

    Réseaux OT

    • Microsoft a mis à jour la stratégie de détection de Defender for IoT afin de déclencher automatiquement des alertes en fonction de l'impact commercial et du contexte du réseau, et de réduire les alertes de faible valeur liées à l'informatique (IT). Les organisations où des capteurs sont déployés entre les réseaux OT et IT sont confrontées à de nombreuses alertes, liées au trafic OT et IT. La quantité d'alertes, dont certaines ne sont pas pertinentes, peut provoquer une lassitude et affecter les performances globales.
    • L'ID de l'alerte dans la colonne Id de la page Alertes du portail Azure affiche désormais le même ID d'alerte que la console du capteur.
    • Le profil matériel L60 n'est plus pris en charge et est supprimé de la documentation. Les profils matériels requièrent désormais un minimum de 100 Go (le profil matériel minimum est désormais L100).
    • Des champs génériques standard supplémentaires ont été ajoutés aux OID SNMP MiB.

    Intégrations

    • Microsoft prend désormais en charge ces protocoles :
      • HART-IP
      • FANUC FOCAS
      • Dicom
      • ABB NetConfig
      • Rockwell AADvance Discover
      • Rockwell AADvance SNCP/IXL
      • Schneider NetManage
      .

     Plus d’informations sur : What's new in Microsoft Defender for IoT - Microsoft Defender for IoT | Microsoft Learn

  • [MDI] Les nouveautés de février 2024 pour Microsoft Defender for Identity

    Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Les pages de détails des périphériques incluent maintenant des descriptions de périphériques provenant de l’attribut Description d’Active Directory.

    • La page Advanced Settings de Defender for Identity est désormais renommée Adjust alert thresholds et offre une expérience rafraîchie avec une flexibilité accrue pour ajuster les seuils d'alerte. Microsoft a par exemple supprimé l’option Remove learning period et rajouté une option Recommended test mode pour permettre de baisser le niveau du seuil et augmenter le nombre d’alertes. La colonne Sensitivity Level est renommée Threshold level avec de nouvelles valeurs par défaut.

    • Les versions 2.228, 2.229, et 2.230 apportent des améliorations et des corrections de bugs sur les capteurs.

    Plus d’informations sur: What's new in Microsoft Defender for Identity

  • Les nouveautés Microsoft Defender XDR de février 2024

    Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

    • Disponibilité Générale de l'expérience de gestion multi-tenant dans Microsoft Defender XDR. Ce scénario permet de couvrir les besoins des Managed Security Service Providers (MSSP) ou des entreprises avec plusieurs tenants pour chacune des filiales. La fonctionnalité permet d'obtenir une vue des alertes et incidents unique à travers tous les tenants.
    • Microsoft Defender Threat Intelligence (MDTI) a obtenu les certifications ISO 27001, ISO 27017 et ISO 27018.
    • (GA) Le mode sombre (Dark Mode) est désormais disponible dans le portail Microsoft Defender. Dans le portail Defender, en haut à droite de la page d'accueil, sélectionnez Dark mode. Sélectionnez Light mode pour revenir au mode de couleur par défaut.
    • (GA) L'attribution de la gravité aux incidents, l'attribution d'un incident à un groupe et l'option Go hunt à partir du graphique de l'histoire de l'attaque sont maintenant en disponibilité générale.
    • (Preview) Les règles de détection personnalisées dans l'API de sécurité Microsoft Graph sont désormais disponibles. Vous pouvez créer des règles de détection personnalisées d’Advanced Hunting spécifiques à votre entreprise pour surveiller de manière proactive les menaces et prendre des mesures.

    Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

  • [Microsoft Defender for Office 365] Les nouveautés de février 2024

    Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

    • Mise à jour de Configuration Analyzer avec :
      • De nouvelles recommandations :
        • Safe links Policy: Create Custom safe links policy.
        • Outlook: Configure External tag in Outlook.
        • Anti Phishing Policy: Enable First contact safety tips.
        • DKIM: Configure DKIM and SPF for your domains.
        • Built-in Protection Policy: Remove Built-in protection exclusions.
      • En cliquant sur une recommandation, vous ouvrirez désormais une fenêtre contextuelle contenant de brefs détails sur les raisons de la recommandation ainsi que des liens ciblés vers des documents à consulter pour en savoir plus.       
      • Un nouveau bouton Export devrait apparaître lorsque vous sélectionnez une ou plusieurs recommandations. En cliquant sur le bouton Export, vous téléchargez les recommandations sélectionnées sous la forme d'un fichier CSV qui peut être partagé avec vos partenaires externes qui n'ont pas accès à votre environnement.

    Pour rappel, cet outil vous aide à trouver et à corriger les stratégies de sécurité qui sont moins sûres que les paramètres recommandés. Il vous permet de comparer vos stratégies actuelles avec les stratégies prédéfinies standard ou strictes, d'appliquer des recommandations pour améliorer votre posture de sécurité et de consulter l'historique des modifications apportées à vos stratégies.

    • Les administrateurs peuvent identifier s'ils soumettent un élément à Microsoft pour un deuxième avis ou s'ils soumettent le message parce qu'il est malveillant et qu'il a été manqué par Microsoft. Avec ce changement, l'analyse par Microsoft des messages soumis par les administrateurs (courriel et Microsoft Teams), des URL et des pièces jointes aux courriels est davantage rationalisée et aboutit à une analyse plus précise.
    • Réponse aux attaques basées sur les codes QR : Les équipes de sécurité pourront désormais voir les URLs extraites des codes QR avec "QR code" comme source d'URL dans l'onglet Email Entity URL, et "QRCode" dans la colonne "UrlLocation" du tableau EmailUrlInfo dans Advanced Hunting. Les utilisateurs peuvent également filtrer les courriels contenant des URL intégrées dans des codes QR à l'aide du filtre "Source URL" dans l'Explorateur de menaces, qui prend désormais en charge l'option "Code QR".
    • Microsoft lance deux modules d’entrainement au phishing par QR Code dans Attack Simulation Training via un partenariat avec Fortra Terranova Security :
      • Mailicious Printed QR Codes
      • Malicious Digital QR Codes
    • Microsoft ajoute plusieurs langues pour arriver à 37 langues supportées pour les modules suivants : Teams Phishing, Understanding App Consent Request, Double Barrel Phishing Attack, et Stegosploit

    Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

  • [Microsoft Defender for Endpoint] Les nouveautés de février 2024

    Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

    • Afin de renforcer les mesures de sécurité au sein des entreprises, Microsoft a modifié le délai d'expiration du script d'offboarding obtenu via le portail Microsoft Defender XDR de 30 à 3 jours.
    • Deux nouvelles règles ASR sont désormais en Preview :
      • Block rebooting machine in Safe Mode (preview): Cette règle empêche l'exécution de commandes visant à redémarrer des machines en mode sans échec.
      • Block use of copied or impersonated system tools (preview) : Cette règle bloque l'utilisation de fichiers exécutables identifiés comme des copies d'outils système Windows. Ces fichiers sont soit des doublons, soit des imposteurs des outils système d'origine.
    • Dans la version de janvier du client Defender for Endpoint pour macOS (Build: 101.23122.0005 | Release version: 20.123122.5.0), on retrouve des corrections de la prise en charge des périphériques Bluetooth pour le contrôle des périphériques et des corrections de bugs et de performances.
    • Dans la version de janvier du client Defender for Endpoint pour Linux (Build: 101.23122.0002 | Release version: 30.123122.0002.0),
      • Microsoft Defender pour Endpoint sur Linux supporte maintenant officiellement les distros Mariner 2, Rocky 8.7 et plus, Alma 9.2 et plus. Si vous avez déjà Defender for Endpoint fonctionnant sur l'une de ces distros et que vous rencontrez des problèmes avec les anciennes versions, veuillez mettre à jour vers la dernière version de Defender for Endpoint.
      • Mise à jour de la version du moteur par défaut à 1.1.23100.2010, et de la version des signatures par défaut à 1.399.1389.0.
      • Améliorations générales de la stabilité et des performances.
      • Corrections de bugs

     

    Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

  • [Universal Print] Les nouveautés de février 2024

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Universal Print.

    Les fonctionnalités suivantes sont ajoutées :

    • Ajout du support de l'impression à partir de macOS en Public Preview, ce qui constitue un pas de plus vers la réalisation de l'objectif consistant à rendre l'impression possible à partir de toutes les applications et de tous les appareils.

    Plus d’informations sur : What's new in Universal Print | Microsoft Learn

  • [Windows 365] Les nouveautés de février 2024

    Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    Général

    Expérience Utilisateur

    • Disponibilité Générale de la gestion par l'utilisateur des paramètres de l'ordinateur local via son ordinateur Windows 365 Boot.
    • Disponibilité Générale de la détection et la notification des problèmes de configuration du réseau ou de l'application par Windows 365 Boot.
    • Disponibilité Générale de la prise en charge par Windows 365 Boot de la personnalisation de la page d'ouverture de session.
    • Disponibilité Générale des informations d'affichage permettant la différentiation des tâches Windows pour le PC Cloud ou le PC local dans Windows 365 Switch
    • Disponibilité Générale de la possibilité pour les utilisateurs de se déconnecter en toute transparence de leur Cloud PC sans quitter leur bureau local avec Windows 365 Switch.
    • Disponibilité Générale des informations sur l'état de la connexion et le délai d'attente sur l'écran de connexion pour Windows 365 Switch avec les PC Windows 365 Frontline Cloud.

    Sécurité du périphérique

    • Preview d’une nouvelle option de fréquence d'ouverture de session de 15 minutes. Ceci fait appel aux règles d’accès conditionnel et notamment l’option : Conditional access > Session > Sign-in frequency > Every time.

    Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

  • Publication et mise à jour (février 2024) des outils Sysinternals

    Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :