Microsoft a identifié des problèmes liés à l’installation du correctif de sécurité de janvier 2026 pour Windows. Pour corriger ces incidents, un correctif hors cycle (out‑of‑band, OOB) a été publié le 17 janvier 2026 dans le Microsoft Update Catalog. Si votre parc n’a pas encore reçu le correctif de janvier 2026 et que vous utilisez les fonctionnalités ou applications affectées, il est recommandé d’appliquer cette mise à jour hors cycle à la place.

Parmi les problèmes identifiés, on retrouve : 

• Des échecs de connexion et d’authentification dans les applications de connexion à distance dont notamment Windows 365 et Azure Virtual Desktop. Ce problème impacte plusieurs plates‑formes, notamment : Windows 11 (version 25H2), Windows 10 (version 22H2 ESU) et Windows Server 2025. Ces défaillances peuvent empêcher l’établissement ou la réauthentification des sessions distantes.
• L'arrêt ou l'hibernation sont bloqués sur les appareils avec Secure Launch. Ceci affecte uniquement Windows 11, version 23H2. Certains appareils configurés avec Secure Launch peuvent ne pas réussir à s’éteindre ou à entrer en hibernation après l’installation du correctif de janvier.

Vous devez créer un script d'installation via Microsoft Intune car cette mise à jour n'est pas considérée comme une mise à jour de sécurité pouvant être accélérée (Expedited Updates).

Plus d'informations sur : 

• Windows 11, versions 25H2 and 24H2 (KB5077744)
• Windows 11, version 23H2 (KB5077797)
• Windows 10, version 22H2 ESU and Windows 10 Enterprise LTSC 2021 (KB5077796)
• Windows Server 2025 (KB5077793)
• Windows Server 2022 (KB5077800)
• Windows Server 2019 and Enterprise LTSC 2019 (KB5077795)

À compter d'avril 2026, SharePoint Online mettra fin aux stratégies de gestion des informations, à la gestion des enregistrements sur place et aux stratégies de suppression uniquement des documents. Les organisations doivent migrer vers Microsoft Purview Data Lifecycle Management et Purview Records Management, en planifiant et en auditant les stratégies actuelles avant la fin de service.
Ces fonctionnalités proposées par SharePoint Online ne seront plus prises en charge par Microsoft. Ces fonctionnalités peuvent disparaître de l'interface utilisateur (UI). Les configurations ne seront plus disponibles via l'interface utilisateur ou par programmation (y compris les actions d'activation/désactivation). Les services backend prenant en charge ces comportements peuvent cesser de fonctionner. Aucune migration automatique n'aura lieu.

D'ici avril 2026, vous avez la possibilité de migrer vos scénarios. Pour vous préparer :

• Passez en revue l'utilisation actuelle des fonctionnalités héritées et confirmez les objectifs de conformité.
• Planifiez la migration vers Microsoft Purview Data Lifecycle Management et Purview Records Management.
• Vérifiez les calendriers de conservation afin de détecter les doublons ou les politiques obsolètes.
• Confirmez les licences applicables pour les fonctionnalités Purview.
• Mettez en œuvre les fonctionnalités modernes et vérifiez leur bon fonctionnement à l'aide d'outils tels que Policy Lookup.
• Communiquez ce changement à vos équipes chargées du cycle de vie des données et de la gestion des enregistrements.

Plus d’informations sur la migration de chaque fonctionnalité : Migration strategies for moving to Microsoft Purview risk and compliance solutions from older information management and records management for SharePoint for Microsoft 365 - SharePoint in Microsoft 365 | Microsoft Learn

Source : Message center - Microsoft 365 admin center

Microsoft a annoncé un changement sur la période de rétention pour le téléchargement du contenu via la fonction d’export direct proposé par eDiscovery. L’objectif est d’améliorer la sécurité. Ainsi, à partir du 16 février 2026, les packages créés pour des cas eDiscovery expireront 14 jours après la génération. Après l’expiration, le conteneur ne sera plus disponible pour être téléchargé. Ceci s’applique uniquement pour les exports créés après le 16 février 2026.

Notez que les exports à partir de Review Sets ne sont pas impactés par ce changement.

Source : Message center - Microsoft 365 admin center

Microsoft avait annoncé l’an dernier la convergence de Microsoft Defender Threat Intelligence (MDTI) avec Microsoft Defender et Microsoft Sentinel au travers du portail Defender et de la nouvelle démarche SecOps. C’est chose faite depuis début janvier.

La bibliothèque Threat Intelligence est accessible via le portail Microsoft Defender et comprend des rapports exclusifs sur les menaces, des profils de renseignements et des indicateurs de compromission (IoC) intégrés à Threat Analytics.

Les rapports Threat Analytics améliorés comprennent :

• Des indicateurs de compromission (IoC) intégrés aux rapports.
• Une cartographie MITRE ATT&CK pour les tactiques, techniques et procédures.
• Des informations sur les secteurs ciblés et l'origine des acteurs.
• Des renseignements connexes et des alias à des fins de recoupement.

Les IoC sont liés à des cases pour les clients Sentinel.

Pour les clients qui auraient acheté le service seul, les fonctionnalités MDTI nécessitent une licence Microsoft Defender ou Microsoft Sentinel active depuis le 8 janvier 2026.

Source : Message center - Microsoft 365 admin center

Microsoft a introduit un changement lors de l’utilisation de Microsoft Edge for Business (utilisateurs connectés avec leur compte Entra ID) afin de fournir une page What’s New (Quoi de neuf ?) qui s’affiche pour informer des nouvelles fonctionnalités et amélioration de Edge et Microsoft 365 Copilot. Cette page s’affiche lorsqu’il y a une mise à jour majeure du navigateur afin d’afficher un aperçu des nouvelles capacités.

Ce changement est attendu pour fin janvier. La fonctionnalité est activée par défaut et peut être désactivée via le paramètre Microsoft365CopilotUpdatePage. Vous pouvez le faire via Microsoft Edge Services en se connectant au portail d’administration M365 et en naviguant dans Settings puis Microsoft Edge.

Plus d’informations sur : Message center - Microsoft 365 admin center

Microsoft a donné des instructions pour corriger une vulnérabilité détectée (CVE-2026-0386) dans le service Windows Deployment Services (WDS) pour les scénarios Hand-Free impliquant la transmission d’un fichier de réponse unattend.xml via un canal RPC non authentifié. Dans cette situation, un attaquant sur le même réseau peut intercepter le fichier et compromettre des identifiants ou exécuter du code malicieux. Pour atténuer cette vulnérabilité, Microsoft va supprimer le support du déploiement hand-free via des canaux non sécurisés par défaut.
Ce scénario ne concerne pas les mécanismes de déploiement de système d’exploitation utilisés par Microsoft Configuration Manager (SCCM ou MCM).

Les phases suivantes sont attendues :

1. Janvier 2026 : Le déploiement hand-free est déprécié et les administrateurs sont fortement incités à le désactiver pour améliorer la sécurité.
   Clé de registre : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WdsServer/​​​​​​​Providers/WdsImgSrv/Unattend
   Valeur : AllowHandsFreeFunctionality à 0
2. Avril 2026 : Le déploiement hand-free est totalement désactivé par défaut. Les administrateurs peuvent décider d’activer la fonctionnalité en comprenant les risques via : 
   Clé de registre : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WdsServer/Providers/WdsImgSrv/Unattend
   Valeur : AllowHandsFreeFunctionality à 1

Néanmoins, si vous utilisez des serveurs WDS avec ces scénarios spécifiques hand-free, Microsoft recommande le passage à d’autres méthodes telles que Windows Autopilot.

Plus d’informations sur : Windows Deployment Services (WDS) Hands-Free Deployment Hardening Guidance related to CVE-2026-0386 - Microsoft Support

En avril 2024, Microsoft annonçait le retrait de Microsoft Defender Application Guard pour Office avec Windows 11 23H2. La solution sera complètement retirée d’Office d’ici décembre 2027. Les fichiers s’ouvriront dans le mode Protected View. Le retrait se fait en deux phases :

• Phase 1 (désactivation d’Application Guard pour Office) : Démarrage du retrait avec Office 2602 : Current Channel en février 2026, Monthly Enterprise en Avril 2026, et Semi-Annual Enterprise en juillet 2026
• Phase 2 (retrait complet) : Retrait complet avec Office 2612 : Current Channel en décembre 2026, Monthly Enterprise en février 2027, et Semi-Annual Enterprise en juillet 2027.

Microsoft encourage les administrateurs à les règles de réduction de surface d’attaque (ASR) pour Office ainsi que Microsoft Defender Application Control (WDAC).

Source :  Message center - Microsoft 365 admin center

Dès le 13 janvier 2026, Microsoft retire la capacité de créer des packages App-V pour Microsoft 365 Apps. Ce changement s'inscrit dans la volonté de Microsoft de privilégier les méthodes de déploiement modernes et de continuer à investir dans Click-to-Run, qui offre des performances, une fiabilité et une facilité de maintenance améliorées. Après cette date, les nouvelles versions de l'outil de déploiement Office (OCT) ne prendront plus en charge le packaging App-V pour Microsoft 365 Apps (usage de setup.exe /packager packageconfig.xml).

Dans ce cas, vous devez opérer une transition vers l’usage de Click-to-Run (C2R)

Microsoft a publié la version 2 de son outil d’évaluation de la posture Zero Trust d’un tenant Microsoft. Microsoft Zero Trust Assessment évalue les configurations de Microsoft Entra et Microsoft Intune selon les bonnes pratiques. L'évaluation Zero Trust transforme ce processus grâce à l'automatisation afin de tester des centaines d'éléments de configuration de sécurité alignés sur les piliers de la Secure Future Initiative (SFI) et du Zero Trust, puis vous guide à travers les étapes de correction pour vous aider à mettre en œuvre les principes du Zero Trust.

Ces tests proviennent de sources fiables dans le domaine de la cybersécurité, notamment :

• Les normes telles que celles développées par le NIST, la CISA et le CIS.
• Les bases de référence de sécurité internes de Microsoft qui protègent l'infrastructure propre à Microsoft.
• Les informations concrètes fournies par des milliers de clients ayant mis en œuvre des mesures de sécurité.

Pour l’exécuter, vous devez utiliser PowerShell 7 et exécuter les commandes :

Install-Module ZeroTrustAssessment
Import-Module ZeroTrustAssessment
Connect-ZtAssessment

Plus d’informations sur : Zero Trust Assessment Overview | Microsoft Learn

Microsoft a publié un centre d’adoption qui réunit différentes ressources visant à vous aider à déployer et faire adopter les solutions proposées par Microsoft Purview. On retrouve la documentation technique, du training, le blog d’informations, des guides interactifs, et des des démos, les différentes communautés et webinars.

Bref, cet espace est un véritable atout pour démarrer sur Microsoft Purview

Si vous avez passé les nouvelles certifications Bêta sur l’agentique, Microsoft vient de mettre en ligne les résultats de la certification Microsoft Certified: Agentic AI Business Solutions Architect

Pour rappel, voici les différents éléments qui sont évalués :

• Planifier des solutions métier basées sur l’IA (25 à 30%)
• Concevoir des solutions métier basées sur l’IA (25 à 30%)
• Déployer des solutions métier basées sur l’IA (40 à 45%)

Suite à l’annonce de l’intégration de Security Compute Units (SCU) de Security Copilot pour les entreprises ayant des licences E5, Microsoft opère un changement dans le modèle de consommation et facturation de la solution Data Security Investigations (DSI). Auparavant, DSI nécessitait des SCUs pour fonctionner. Microsoft a donc scindé les capacités de calcul (IA) de Security Copilot et Data Security Investigation. Ainsi DSI ne pourra pas bénéficier de l’ajout des SCUs pour les entreprises ayant achetées des licences E5. Les nouvelles capacités s’appellent Data Security Investigation Compute Units (DSICU).

Pour rappel, Data Security Investigations (DSI) est une fonctionnalité de Microsoft Purview conçue pour aider les organisations à identifier, analyser et contenir rapidement les incidents impliquant des données sensibles, grâce à l’IA et à une analyse profonde du contenu. Elle accélère les enquêtes, réduit les coûts et améliore la précision du périmètre d’un incident.

Source : What's new in Microsoft Purview | Microsoft Learn

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Entra ID, Permissions Management, etc.) en novembre et décembre 2025.

Microsoft apporte les nouveautés suivantes :

Général

• Disponibilité générale de la modernisation des flux d’authentification Microsoft Entra ID avec WebView2. Les flux d’authentification utilisant Web Account Manager (WAM) peuvent désormais s’appuyer sur WebView2, le contrôle web Chromium, à partir de la mise à jour KB5072033 (OS Builds 26200.7462 / 26100.7462). Cette évolution apporte une expérience de connexion plus moderne, cohérente et sécurisée. WebView2 deviendra le framework par défaut dans une future version de Windows, remplaçant l’ancien WebView EdgeHTML. Microsoft recommande d’activer dès maintenant cette option et d’ajuster les environnements (règles proxy, code des services, etc.) en conséquence.
• Public Preview de l’exploration de données dans Microsoft Entra. Lorsque les réponses Copilot retournent plus de 10 éléments, il est désormais possible d’ouvrir une vue tabulaire complète. Cette grille affiche également l’URL Microsoft Graph sous-jacente, facilitant la vérification et la reproductibilité des requêtes.

Microsoft Entra ID (Azure Active Directory)

• Disponibilité générale du renforcement de la sécurité pour prévenir les prises de contrôle de comptes. Microsoft introduit de nouveaux mécanismes pour bloquer les attaques de type SyncJacking (abus du hard match). Changements clés :
  • Vérification de OnPremisesObjectIdentifier pour détecter les tentatives de remappage.
  • Journaux d’audit enrichis (OnPremisesObjectIdentifier, DirSyncEnabled).
  • Possibilité pour les administrateurs de réinitialiser OnPremisesObjectIdentifier en cas de récupération légitime. Actions requises : mise à jour vers la dernière version d’Entra Connect et activation des recommandations de durcissement
• Disponibilité générale du nouveau connecteur SCIM 2.0 SAP CIS. Le nouveau connecteur SCIM 2.0 remplace l’intégration précédente et ajoute :
  • Provisioning et déprovisioning des groupes
  • Support des attributs d’extension personnalisés
  • Authentification OAuth 2.0 Client Credentials
• Public Preview de Microsoft Entra ID Account Recovery avec un nouveau mécanisme avancé de récupération permettant aux utilisateurs de restaurer l’accès à leur compte même lorsqu’ils ont perdu toutes leurs méthodes d’authentification. L’objectif est de rétablir la confiance et l’identité avant de réinitialiser les méthodes, contrairement aux approches classiques centrées sur le mot de passe.

• Public Preview de l’auto‑remédiation pour les utilisateurs passwordless. Les stratégies d’accès conditionnel basées sur le risque prennent désormais en charge la remédiation automatique pour toutes les méthodes d’authentification, y compris les méthodes sans mot de passe. Les sessions compromises sont révoquées en temps réel, réduisant la charge du support.
• Disponibilité générale du support des étiquettes/labels de sensibilité Purview pour les groupes. Les workflows affichent désormais les labels Purview associés aux groupes/Teams, facilitant les décisions de gouvernance.
• Public Preview de la suppression souple (Soft Deletion) pour les groupes de sécurité cloud. Lorsqu’un groupe de sécurité cloud est supprimé, il entre désormais dans un état de suppression temporaire pendant 30 jours.
  • Les membres et la configuration sont conservés.
  • Les administrateurs peuvent restaurer le groupe via le centre d’administration Entra ou l’API Microsoft Graph. Cette fonctionnalité réduit les pertes accidentelles et facilite la continuité d’activité.

• Public Preview de la gestion des identités agents par les utilisateurs finaux. Une nouvelle interface permet aux utilisateurs de consulter et gérer les identités agents qu’ils possèdent ou sponsorisent. Ils peuvent activer, désactiver ou demander l’accès à ces identités directement depuis leur portail.
• Public Preview de l’accès conditionnel pour les identités agents. Les identités agents sont désormais traitées comme des identités de première classe dans les stratégies d’accès conditionnel.
  • Évaluation des risques et application des contrôles Zero Trust
  • Logique spécifique aux agents pour les décisions d’accès

Cette évolution sécurise les agents IA au même niveau que les utilisateurs humains.

• Public Preview de Microsoft Entra Agent Registry fournissant une vue unifiée de tous les agents déployés (Microsoft et tiers). Il permet :
  • Découverte centralisée
  • Gouvernance cohérente
  • Collaboration sécurisée à grande échelle

Ce registre devient essentiel à mesure que les agents IA prennent en charge des tâches critiques.

• Public Preview de la nouvelle expérience d’enregistrement de compte Entra. L’interface d’enregistrement est modernisée et scindée en deux étapes :
  • Enregistrement du compte
  • Enrôlement MDM (si activé)

Une nouvelle propriété admin permet de contrôler l’affichage de l’option MDM, notamment pour les scénarios Windows MAM.

• Public Preview du support des identités cloud-only avec Entra Kerberos. Les hôtes de session Entra-joined peuvent désormais accéder aux ressources cloud (Azure Files, AVD) sans Active Directory. Cette capacité est clé pour les stratégies cloud-native, tout en conservant sécurité et contrôle d’accès.
• Public Preview du support des passkeys synchronisées. Entra ID prend désormais en charge les passkeys synchronisées via des fournisseurs natifs ou tiers. Les stratégies d’authentification FIDO2 peuvent être configurées par groupe pour des déploiements différenciés.
• Public Preview des profils de passkeys basés sur les groupes. Les administrateurs peuvent désormais déployer différents types de passkeys (FIDO2) à des groupes distincts, permettant des déploiements progressifs et ciblés.

Microsoft Entra ID Protection

• Public Preview de la protection des identités agents avec Entra ID Protection afin de détecter et répondre automatiquement aux risques liés aux identités agents. Cette protection s’applique aux agents utilisant la plateforme Microsoft Entra Agent ID, renforçant la sécurité des environnements autonomes.

Microsoft Entra Identity Governance

• Disponibilité générale du support des appartenances et propriétés éligibles PIM pour les groupes. Les access packages peuvent désormais attribuer des rôles éligibles (membres ou propriétaires) via PIM, facilitant les modèles d’accès JIT à grande échelle.

• Public Preview permettant aux organisations d’utiliser des Logic Apps pour déterminer dynamiquement les étapes d’approbation d’un access package. Le processus se met en pause jusqu’au retour de la logique métier, permettant une gouvernance totalement personnalisée.

• Disponibilité générale du reprocessing des workflows et utilisateurs en échec. Les administrateurs peuvent relancer l’exécution d’un workflow, en choisissant :
  • un run spécifique,
  • uniquement les utilisateurs en échec,
  • ou l’ensemble des utilisateurs du run.

• Disponibilité générale du déclenchement de workflows pour les comptes inactifs. Les organisations peuvent automatiser la gestion des comptes dormants (notifications, désactivation, offboarding) selon un seuil d’inactivité configurable, réduisant les risques et le gaspillage de licences.

• Public Preview de la gouvernance du cycle de vie des sponsors d’agents. Les workflows automatisent désormais la gestion des sponsors d’identités agents :
  • Notification des managers et co-sponsors en cas de changement de rôle ou de départ
  • Mise à jour automatique des responsabilités pour garantir la conformité
• Public Preview de l’escalade d’approbation basée sur les signaux de risque. Lorsqu’un utilisateur est signalé par Insider Risk Management ou Identity Protection, sa demande d’accès est automatiquement redirigée vers des approbateurs de sécurité désignés pour validation supplémentaire.
• Public Preview de la revue d’accès centrée sur l’utilisateur (UAR). Les réviseurs peuvent désormais visualiser l’ensemble des accès d’un utilisateur (groupes, apps connectées ou non) dans une vue unifiée. Cela simplifie la revue périodique des accès et renforce la conformité.

• Public Preview de la revue d’accès pour applications non connectées. Il est désormais possible d’inclure des applications non intégrées à Entra ID dans les revues d’accès, élargissant la couverture de la gouvernance.

Microsoft Entra External ID

• Public Preview de la migration Just‑in‑Time des mots de passe vers Microsoft Entra External ID. Cette fonctionnalité permet de migrer les mots de passe des utilisateurs au moment de la connexion, sans réinitialisation massive. Les identifiants sont transférés de manière sécurisée lorsque les conditions de migration sont remplies, réduisant les frictions et simplifiant la transition vers External ID.
• Disponibilité générale de l’extension régionale en Australie et au Japon. L’add‑on Go‑Local permet désormais de stocker et traiter les données External ID localement dans ces régions, répondant aux exigences strictes de résidence des donné Certaines fonctions globales restent centralisées (MFA, RBAC), sans impact sur la conformité.

Microsoft Entra Global Secure Access (Internet Access/Private Access)

• Public Preview de la protection des applications GenAI d’entreprise avec Prompt Shield. Azure AI Prompt Shield peut désormais être appliqué à tout le trafic réseau, permettant de bloquer en temps réel les attaques par injection de prompts sur les applications GenAI internes.
• Public Preview du support des invités B2B. Les utilisateurs invités peuvent désormais utiliser le client Global Secure Access avec leur compte Entra ID d’origine. Le client détecte automatiquement les tenants partenaires et permet de basculer dans le contexte du tenant client, tout en ne routant que le trafic privé via le service GSA.
• Public Preview de la galerie unifiée des applications avec évaluation des risques. La Microsoft Entra App Gallery intègre désormais les scores de risque de Microsoft Defender for Cloud Apps.
  • Découverte des applications (y compris Shadow IT) via la télémétrie GSA
  • Évaluation du risque et des données de conformité
  • Application de stratégies d’accès conditionnel et de session selon le risque

Cette intégration unifie la découverte, l’évaluation et la protection des applications cloud.

• Public Preview du Cloud Firewall pour le trafic Internet des réseaux distants. Le Cloud Firewall (FWaaS) permet de contrôler les connexions sortantes vers Internet depuis les succursales. Il offre :
  • Gestion centralisée
  • Visibilité complète
  • Application cohérente des politiques réseau
• Public Preview de la Secure Web & AI Gateway pour les agents Copilot Studio. GSA permet désormais d’appliquer des politiques de sécurité réseau aux agents IA :
  • Filtrage de contenu web
  • Filtrage par intelligence des menaces
  • Contrôle des fichiers réseau

Cela garantit que les agents accèdent aux ressources externes de manière sécurisée et gouvernée.

• Public Preview du support du trafic Internet via Remote Network Connectivity. Le support du trafic Internet complet est désormais en preview pour les connexions IPsec des succursales. Cette évolution répond à une forte demande client pour un accès sécurisé et sans client à Microsoft 365 et à Internet.
• Disponibilité générale de l’intégration ATP & DLP avec Netskope. GSA s’intègre désormais avec Netskope pour offrir :
  • Protection contre les malwares et vulnérabilités zero-day
  • Prévention des fuites de données (DLP)
  • Gestion unifiée des politiques de sécurité

Cette approche ouverte permet l’intégration avec d’autres fournisseurs de sécurité tiers.

• Disponibilité générale de l’inspection TLS pour Microsoft Entra Internet Access. L’inspection TLS offre :
  • Visibilité sur le trafic chiffré
  • Filtrage d’URL complet
  • Application de politiques de fichiers
  • Inspection des prompts IA

Les règles personnalisées permettent un contrôle fin par FQDN ou catégorie web, avec journalisation détaillée.

Plus d’informations sur : What's new? Release notes - Microsoft Entra | Microsoft Learn et What's new for Microsoft Entra Verified ID 

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Général

• [Général] Les Security Copilot Agents dans Intune sont disponibles en Public Preview. Ces agents spécialisés assistent les administrateurs dans des scénarios ciblés, directement depuis Intune > Tenant Administration > Agents.
• Les agents suivants sont disponibles :
  • Change Review Agent (Windows)
    • Analyse les demandes Multi Admin Approval (MAA) pour les scripts PowerShell.
    • Fournit des recommandations basées sur le risque et des explications contextuelles pour aider à comprendre le comportement du script avant approbation.
  • Device Offboarding Agent (Windows, iOS/iPadOS, macOS, Android, Linux)
    • Identifie les appareils obsolètes ou incohérents entre Intune et Microsoft Entra ID.
    • Propose des actions correctives et nécessite une validation admin avant tout offboarding.
      Pendant la preview, il peut désactiver directement les objets Entra ID, avec des étapes de remédiation supplémentaires proposée
  • Policy Configuration Agent (Windows)
    • Analyse des documents (exigences internes, benchmarks, normes de conformité) et identifie automatiquement les paramètres Intune correspondants.
    • Accompagne l’administrateur dans la création et la configuration des stratégies adaptées.
• [Général] De nouveaux prompts sont disponibles dans Security Copilot pour explorer les données Intune concernant :
  • Les utilisateurs et groupes
  • Les rôles RBAC
  • Les journaux d’audit

Chaque requête fournit un résumé Copilot et des suggestions d’actions (ajout à un groupe, filtrage, etc.).

• [Général] Les groupes Microsoft Entra soft-deleted sont désormais visibles dans Intune (Public Preview).
  • Leurs affectations ne s’appliquent plus tant qu’ils sont supprimés.
  • En cas de restauration, toutes les affectations précédentes sont automatiquement rétablies.

Cette visibilité facilite le diagnostic des comportements inattendus liés aux groupes.

Enregistrement des périphériques

• [Général] Le rapport Incomplete user enrollments est retiré du centre d’administration Intune, ainsi que les API associées :
  • getEnrollmentAbandonmentDetailsReport
  • getEnrollmentAbandonmentSummaryReport
  • getEnrollmentFailureDetailsReport

Les scripts s’appuyant sur ces API ne fonctionneront plus. Microsoft recommande désormais l’usage du rapport Enrollment failures.

• [Android] Un nouveau processus d’upgrade permet aux organisations utilisant des comptes Managed Google Play basés sur un compte Gmail consommateur de migrer vers une gestion Android Enterprise basée sur Microsoft Entra ID. Cette migration simplifie l’onboarding et élimine la dépendance à un compte Gmail séparé.
• [Windows] Public Preview du mode automatique de Windows Autopilot device preparation pour Windows 365 Enterprise, Frontline (Dedicated Mode) et Cloud Apps. Ces stratégies Windows Autopilot permettent de provisionner Windows 365 Enterprise, Windows 365 Frontline en mode dédié et Windows 365 Cloud Apps. La stratégie peut être incluse dans la stratégie de provisionnement des PC cloud et s'applique immédiatement après la création des PC cloud afin de fournir des applications et des scripts à l'appareil avant qu'un utilisateur ne se connecte.
• [Windows] Windows Backup for Organizations est désormais en disponibilité générale dans Microsoft Intune. Cette fonctionnalité permet de sauvegarder les paramètres Windows de votre organisation et de les restaurer sur un appareil joint à Microsoft Entra.
  • Les paramètres de sauvegarde sont configurables via le Settings Catalog.
  • Un paramètre global au tenant permettant la restauration est disponible dans Enrollment.

Cette fonctionnalité facilite la continuité d’expérience utilisateur lors du remplacement ou du renouvellement d’appareils.

• [iOS/iPadOS / macOS] Prise en charge du protocole ACME pour l’enrôlement des appareils Apple. Dans le cadre de la future prise en charge de l’attestation des appareils gérés, Intune commence à déployer une nouvelle infrastructure d’enrôlement utilisant ACME à la place de SCEP pour les nouveaux appareils. Avantages :
  • Validation renforcée contre l’émission non autorisée de certificats
  • Automatisation plus robuste
  • Réduction des erreurs de gestion des certificats Points importants :
  • Les appareils déjà enrôlés ne migrent vers ACME qu’en cas de ré‑enrôlement
  • Aucun changement dans l’expérience utilisateur
  • Aucun impact sur les stratégies de configuration Méthodes d’enrôlement prises en charge : BYOD, Apple Configurator, ADE
    Versions minimales : iOS 16.0+, iPadOS 16.1+, macOS 13.1+
• [iOS/iPadOS / macOS] Nouveaux écrans Setup Assistant disponibles pour l’enrôlement automatisé (ADE). Il est désormais possible d’afficher ou masquer 12 nouveaux écrans lors de l’enrôlement automatisé. Par défaut, ces écrans sont affichés.
  • Écrans pouvant être masqués pour iOS/iPadOS :
    • App Store (14.3+)
    • Camera button (18+)
    • Web content filtering (18.2+)
    • Safety and handling (18.4+)
    • Multitasking (26+)
    • OS Showcase (26+)
  • Écrans pouvant être masqués pour macOS :
    • App Store (11.1+)
    • Get Started (15+)
    • Software update (15.4+)
    • Additional privacy settings (26+)
    • OS Showcase (26.1+)
    • Update completed (26.1+)

Gestion du périphérique

• [Général] L’Explorer Intune avec Security Copilot bénéficie de nouvelles capacités :
  • Opérateurs numériques (égal, supérieur, inférieur)
  • Sélection multiple pour certains champs (ex. plateforme)
    Plus de colonnes disponibles dans les résultats. Ces améliorations facilitent l’analyse avancée des données Intune via langage naturel.

• [Android] Les filtres d’affectation prennent désormais en charge les types d’enrôlement Android suivants :
  • COBO (Corporate-owned fully managed)
  • COPE (Corporate-owned with work profile)
  • COSU (Dedicated devices, avec ou sans mode partagé Entra ID)
  • AOSP (user-associated et userless)
  • Personally-owned work profile

Cela permet un ciblage plus précis des stratégies et applications

Configuration du périphérique

• [Android] Plusieurs paramètres auparavant disponibles uniquement dans les Templates sont désormais intégrés au Settings Catalog. Parmi eux :
  • Blocage du partage de contacts via Bluetooth (niveau Work Profile)
  • Blocage de la recherche de contacts professionnels depuis le profil personnel
  • Paramètres de partage de données entre profils
  • Paramètres avancés de mot de passe pour Work Profile (longueur, complexité, expiration, etc.)

• [Android] Un nouveau paramètre Block assist content sharing with privileged apps est ajouté au Settings Catalog (COPE, COBO, COSU). Il permet de bloquer le partage de contenu d’assistance (captures, détails d’applications) vers des applications privilégiées, notamment pour désactiver des fonctionnalités comme Circle to Search.

Sécurité du périphérique

• [Android] Microsoft Tunnel bloque désormais automatiquement l’accès depuis les appareils rootés. Le client Microsoft Defender :
  • Marque l’appareil comme High Risk
  • Coupe immédiatement les connexions Tunnel actives
  • Empêche toute reconnexion tant que l’appareil reste rooté
  • Notifie l’utilisateur

Cette protection complète les stratégies de conformité Android (Rooted devices, Play Integrity, Device Threat Level).

• [Android / iOS] Intune prend désormais en charge iVerify Enterprise comme solution Mobile Threat Defense (MTD). Plateformes supportées :
  • Android 9.0+
  • iOS/iPadOS 15.0+ Cette intégration permet d’utiliser iVerify pour renforcer la détection des menaces mobiles et la conformité des appareils.

Gestion des applications

• [Général] Secure Enterprise Browser (Public Preview) : Microsoft Intune prend désormais en charge la gestion des stratégies pour Microsoft Edge for Business en tant que navigateur d’entreprise sécurisé. Cette prise en charge permet aux organisations de basculer progressivement d’environnements Windows traditionnels vers des workflows sécurisés basés sur le navigateur, sans nécessiter l’enrôlement du périphérique. Les stratégies Intune garantissent un accès sécurisé aux ressources professionnelles dans un modèle plus flexible et moderne.

• [Windows] Les Service Level Objectives (SLO) d’Enterprise App Management (EAM) sont mis à jour.
  • La majorité des mises à jour d’applications sont validées automatiquement en moins de 24 heures.
  • Les mises à jour nécessitant une validation manuelle par l’éditeur sont généralement disponibles sous 7 jours. Ces SLO clarifient les délais attendus pour la disponibilité des nouvelles versions dans le catalogue EAM.
• [Android] Le Managed Home Screen (MHS) pour appareils Android Enterprise (Dedicated et Fully Managed) propose désormais davantage d’options de contrôle du volume. En plus du volume multimédia, les administrateurs peuvent activer ou masquer les curseurs suivants : volume des appels, volume de la sonnerie et des notifications, volume des alarmes. Ces réglages sont accessibles via les stratégies de configuration d’applications et permettent aux utilisateurs d’ajuster les niveaux sonores sans quitter le mode kiosque.
• [Android] Il est désormais possible de réinitialiser la disposition du Managed Google Play Store de Custom vers Basic directement depuis le centre d’administration Intune. Le bouton Reset to Basic supprime toutes les collections personnalisées et réactive l’affichage automatique de toutes les applications approuvées.

• [Windows] Les stratégies de protection des applications (APP) pour Windows introduisent deux nouvelles options pour le paramètre Allow cut, copy and paste :
  • Org data destinations and any source : collage depuis n’importe quelle source, mais copier/couper uniquement vers des destinations d’entreprise.
  • Org data destinations and org data sources : copier/couper/coller strictement au sein du contexte entreprise. Ces contrôles renforcent la prévention des fuites de données sur les appareils non gérés.

Administration & RBAC

• [Général] Un nouveau nœud Admin tasks (Public Preview) centralise l’ensemble des tâches administratives nécessitant une action. Accessible via Tenant Administration, il offre une vue unifiée avec recherche, filtrage et tri. Les types de tâches pris en charge incluent :

• • Demandes d’élévation Endpoint Privilege Management
  • Tâches de sécurité Microsoft Defender
  • Demandes Multi Admin Approval (MAA)

Intune n’affiche que les tâches pour lesquelles l’administrateur dispose des permissions nécessaires. L’ouverture d’une tâche renvoie vers l’interface native de gestion, garantissant une expérience cohérente.

• [Général] Les demandes d’élévation Endpoint Privilege Management respectent désormais strictement les scope tags. Les administrateurs ne peuvent plus visualiser ou approuver que les demandes correspondant aux appareils et utilisateurs inclus dans leur périmètre d’administration. Cette évolution renforce l’isolation administrative et la sécurité.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Voici une fonctionnalité attendue de longue date, elle permet de contrôler le résultat de l'écran incitant l'utilisateur à ajouter son appareil Windows à la gestion de l'organisation. Ceci survient notamment lorsqu'il se connecte à une application (Microsoft 365 Apps, Teams, Outlook, Edge, etc.) avec son compte de l'organisation sur un périphérique personnel.

Plusieurs éléments sur le comportement :

• Le paramétrage supprime l'écran et empêche donc l'enregistrement MDM lors de l'ajout d'un compte à une applications
• Le paramétrage n'empêche pas l'utilisateur d'enregistrer son appareil dans la solution de MDM manuellement via l'application Settings/Paramétres de Windows. Ceci peut être géré via les stratégies de restriction d'enregistrement dans Microsoft Intune
• Le paramétrage n'a pas d'impact sur l'ajout du compte a déjà eu lieu précédemment.

Pour activer la fonctionnalité, ouvrez le portail Entra et naviguez dans Entra ID - Mobility. Cliquez sur Microsoft Intune ou une autre solution de MDM.

Passez Disable MDM Enrollment when adding work or school account on Windows à Yes.

A date d'écriture de l'article, la fonctionnalité est toujours en Public Preview.

Plus d'informations sur l'article

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Windows 365 Reserve en disponibilité générale. Cette offre est pensée pour les utilisateurs travaillant principalement sur des PC physiques, en leur permettant d’accéder temporairement à un Cloud PC en cas d’interruption ou d’indisponibilité de leur poste. Une solution idéale pour assurer la continuité d’activité grâce à un accès rapide et sécurisé.
• Windows 365 Cloud Apps en disponibilité générale. Le service prend également en charge la publication d’applications Intune en tant que Cloud Apps via Autopilot Device Preparation (Preview), simplifiant la mise à disposition d’applications hébergées.
• Les Cloud PCs enrichis par l’IA sont disponibles en Preview Frontier. Les administrateurs peuvent activer ces fonctionnalités pour certains utilisateurs afin qu’ils bénéficient d’améliorations telles qu’une recherche Windows optimisée ou Click to Do, renforçant leur productivité.

Provisionnement de périphériques

• Il est désormais possible de lier la préparation de périphériques via Autopilot avec les Cloud PCs Windows 365 Enterprise et Frontline en mode dédié, facilitant ainsi les scénarios de déploiement automatisés.
• Support des identités externes désormais disponible en disponibilité générale. Il est maintenant possible de provisionner un Cloud PC pour une identité externe. Le processus administratif reste inchangé et suit les mêmes étapes que pour les Cloud PCs Enterprise ou Frontline.

Gestion des périphériques

• Résilience améliorée du réseau hébergé Microsoft avec Multi-Region Selection : Microsoft introduit une nouvelle expérience de sélection régionale en trois niveaux, accompagnée d’un service de déploiement optimisé. Les Cloud PCs peuvent désormais être répartis automatiquement sur un nombre maximal de régions afin d’améliorer la résilience globale, tout en offrant aux administrateurs davantage de flexibilité et de contrôle.

Expérience Utilisateur

• Le déploiement progressif de RDP Multipath est désormais terminé. Cette fonctionnalité améliore la fiabilité et les performances des connexions en exploitant plusieurs chemins réseau simultanément, garantissant une expérience plus fluide et résiliente.
• User Experience Sync (UES) en disponibilité générale. UES permet de synchroniser automatiquement les paramètres utilisateur et les données applicatives entre les sessions. Conçu pour Windows 365 Frontline en mode partagé et pour les scénarios Cloud Apps, il garantit une expérience cohérente, notamment pour les utilisateurs occasionnels ou partageant un même appareil. Les administrateurs bénéficient d’outils intégrés pour surveiller l’espace utilisé et résoudre rapidement les problèmes.
• Windows 365 Switch est désormais compatible avec Windows 11 Home, ce qui en fait une solution particulièrement adaptée aux scénarios Bring Your Own Device (BYOD).

Sécurité du périphérique

• Preview de Windows Cloud Keyboard Input Protection. Une nouvelle fonctionnalité de protection du clavier est disponible en préversion. Elle chiffre les frappes au niveau du noyau afin de contrer les keyloggers et autres menaces visant les entrées utilisateur. Une avancée importante pour sécuriser les environnements Windows 365 et Azure Virtual Desktop.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Le client Azure Arc comprend des mises à jour régulières (mensuelles) qui permettent d’améliorer la stabilité, la sécurité et apporter des nouveautés. Le processus de mise à jour repose normalement sur Microsoft Update ou sur la mise à jour manuelle.
Microsoft propose maintenant une nouvelle méthode qui permet à l’agent Azure Arc de se mettre à jour seul avec la dernière version disponible. Ceci doit être activé manuellement via le portail Azure ou par script.

Activation via le portail

1. Naviguez dans le portail Azure et dans le service Azure Arc puis Infrastructure et Machines.
2. Sélectionnez la machine cible.
3. Dans la vue Overview, cliquez sur Properties.
4. Sélectionnez Agent Auto Upgrade : Not Enabled
5. Cochez la case Enable automatic upgrades for the arc connected machine agent
6. Cliquez sur Enable

Activation via Azure CLI

Vous pouvez aussi utiliser Azure CLI et le script suivant, pour mettre à jour en masse toutes les machines d’une souscription et d’un groupe de ressource :

$subId = "<VOTRE_SUBSCRIPTION_ID>"
$rg = "<VOTRE_RESOURCE_GROUP>"

$machines = az resource list `
  --subscription $subId `
  --resource-group $rg `
  --resource-type "Microsoft.HybridCompute/machines" `
  --query "[].name" -o tsv

foreach ($machine in $machines) {
    Write-Host "Enabling auto-upgrade on: $machine"

    az rest `
      --method PATCH `
      --url "https://management.azure.com/subscriptions/$subId/resourceGroups/$rg/providers/Microsoft.HybridCompute/machines/$machine?api-version=2024-05-20-preview" `
      --headers "Content-Type=application/json" `
      --body '{"properties":{"agentUpgrade":{"enableAutomaticUpgrade":true}}}'
}

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• L’ingestion des événements de gestion AWS CloudTrail est désormais disponible en Preview dans Microsoft Defender for Cloud. Lorsqu’elle est activée, cette fonctionnalité enrichit les capacités CIEM (Cloud Infrastructure Entitlement Management) en ajoutant le contexte d’usage réel des identités AWS, en complément des signaux existants comme Access Advisor. Elle permet notamment :
  • d’identifier plus précisément les permissions inutilisées,
  • de détecter les identités dormantes,
  • de repérer les chemins potentiels d’escalade de privilèges.

Cette ingestion est compatible avec les comptes AWS individuels ainsi qu’avec les organisations AWS utilisant un logging centralisé.

• Dans le cadre de la dépréciation progressive de Microsoft Entra Permissions Management, Microsoft met à jour la logique de recommandations CIEM dans Defender for Cloud. Les principaux changements incluent :
  • une détection des identités inactives basée sur les assignations de rôles non utilisées plutôt que sur l’activité de connexion,
  • une fenêtre d’analyse étendue à 90 jours (au lieu de 45),
  • l’exclusion des identités créées depuis moins de 90 jours.

Ces ajustements améliorent la précision des recommandations et réduisent le bruit opérationnel.

• L’intégration avec Endor Labs est désormais en disponibilité générale. Elle apporte une analyse SCA (Software Composition Analysis) basée sur la reachability, permettant d’identifier les vulnérabilités réellement exploitables depuis le code jusqu’à l’exécution
• Microsoft annonce la Public Preview de l’intégration native entre Defender for Cloud et GitHub Advanced Security (GHAS). Cette intégration renforce la sécurité code-to-cloud grâce à :
  • l’affichage du contexte runtime MDC directement dans GHAS,
  • Copilot Autofix et l’agent GitHub Copilot pour proposer des corrections validées,
  • la possibilité de regrouper plusieurs correctifs dans une seule Pull Request,
  • des Security Campaigns orchestrées depuis MDC pour mobiliser les équipes de développement,
  • une visibilité unifiée du code jusqu’aux workloads déployés, avec attestation et traçabilité automatique.
• Le scanning des images de conteneurs directement dans les pipelines CI/CD est désormais disponible en Preview via le CLI Defender for Cloud.
• Le plan Defender CSPM étend désormais sa couverture aux workloads serverless dans Azure et AWS. Les équipes peuvent :
  • inventorier les ressources serverless,
  • détecter les mauvaises configurations,
  • analyser les dépendances et vulnérabilités, dans le portail Azure comme dans le Defender portal.
• Les plans Defender for Containers et Defender CSPM incluent désormais l’analyse de vulnérabilités sans agent pour les conteneurs en exécution dans AKS, quel que soit le registre d’origine. Les add-ons Kubernetes et outils tiers sont également couverts.
• La fonctionnalité Kubernetes gated deployment est maintenant en disponibilité générale. Elle permet :
  • de bloquer ou auditer les déploiements d’images non conformes via admission control,
  • de définir des règles personnalisées pour AKS, EKS et GKE,
  • d’utiliser les modes Audit ou Deny,
  • de bénéficier d’un support multicloud (ACR, ECR, Artifact Registry),
  • de suivre les violations directement dans Defender for Cloud.
• Microsoft ajuste temporairement la politique de rescan continu des images : les images poussées ou tirées dans les 30 derniers jours sont désormais rescannées quotidiennement.
• Defender for Containers et Defender CSPM prennent désormais en charge :
  • JFrog Artifactory (Cloud),
  • Docker Hub.

Cette extension permet l’analyse de vulnérabilités des images stockées dans ces registres externes via Microsoft Defender Vulnerability Management (MDVM), renforçant la posture de sécurité des chaînes CI/CD multicloud.

• Defender for Cloud identifie désormais automatiquement pour la gestion de posture de sécurité des APIs :
  • les API non authentifiées,
  • les API exposées à Internet,
  • les API découvertes dans Azure Functions et Logic Apps.

Cette visibilité accrue permet de prioriser les risques API et de renforcer la sécurité applicative.

• Une nouvelle fonctionnalité permet d’identifier et surveiller les agents Azure AI Foundry déployés dans votre environnement, avec une analyse de posture et des risques associés.
• La gestion de la posture de sécurité pour GCP Vertex AI est désormais en disponibilité générale, offrant :
  • une surveillance continue,
  • des évaluations de risques,
  • des recommandations exploitables pour sécuriser les workloads IA.
• Les Attacks Paths impliquant des mouvements latéraux utilisant des clés en clair ne sont désormais générés que si les ressources source et cible sont protégées par Defender CSPM. Cela peut entraîner une diminution du nombre de chemins affichés.
• Les Attack Paths incluent désormais les scénarios où des applications OAuth Microsoft Entra compromises sont utilisées pour atteindre des ressources critiques.
• Microsoft Defender for Cloud est désormais profondément intégré dans le Defender portal, unifiant :
  • la posture de sécurité,
  • la protection contre les menaces,
  • les environnements cloud, hybrides et code.

Cette intégration élimine les silos et offre une vue unique pour les équipes SOC.

• Par conséquent, Microsoft a entamé une refonte majeure de la documentation Defender for Cloud :
• Microsoft annonce la Preview du MCSB v2, un référentiel de contrôles de sécurité à fort impact couvrant les environnements cloud mono et multicloud. Les nouveautés incluent :
  • des recommandations enrichies basées sur les risques et menaces,
  • des mesures Azure Policy étendues,
  • des contrôles dédiés à la sécurisation des workloads IA.

Le tableau de bord de conformité permet d’évaluer les ressources selon les contrôles MCSB v2 et de suivre l’évolution de la posture.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Universal Print.

On retrouve les nouveautés suivantes :

• Disponibilité Général de la fonctionnalité Universal Print anywhere (pull print) permettant de récupérer l’impression via un badge.
• Ajout de la prise en charge de l'utilisation simultanée d'une imprimante en mode d'impression à la demande et en mode d'impression directe.

Plus d’informations sur : What's new in Universal Print | Microsoft Learn

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft Purview (MIP, DLP, etc.).

On retrouve notamment :

Général

• En Preview, Déploiement progressif des protections de sécurité des données et de conformité pour Microsoft Agent 365. Cette intégration renforce la visibilité et le contrôle autour des interactions agentiques dans les environnements Microsoft 365.
• L’Usage Center permet de suivre la consommation pay-as-you-go et par utilisateur, avec possibilité de zoomer par politique, workload ou fonctionnalité, et d’activer/désactiver le mode pay-as-you-go.
• Trois nouveaux posture reports dans Information Protection et trois nouveaux dans Data Loss Prevention enrichissent la visibilité globale.

Data Security Investigation

• Les data risk graphs sont désormais disponibles. Ils permettent de visualiser les corrélations entre données impactées, utilisateurs et activités, offrant un contexte essentiel pour la mitigation des incidents.
• Search with AI permet d’utiliser le langage naturel pour affiner les recherches et analyses, en complément de la vector search.

Data Security Posture Management

• Preview de la nouvelle version unifiée de DSPM, fusionnant DSPM (classic) et DSPM for AI (classic), avec plusieurs améliorations :
  • Workflows guidés par objectifs : sélection d’un objectif de sécurité et affichage des métriques, risques et plans de remédiation associés.
  • Posture reports : visibilité sur les écarts de protection, l’usage des labels, l’efficacité de l’auto-étiquetage, les transitions de labels et les activités DLP.
  • AI observability : inventaire des agents, niveaux de risque et posture associée, incluant le support de Microsoft Agent 365.
  • Nouveaux agents Security Copilot pour accélérer l’analyse des données sensibles dans fichiers, emails et messages.
  • Intégration Data Security Investigations : lancement d’investigations directement depuis DSPM.
  • Remédiation item-level pour oversharing : déjà introduite dans DSPM for AI, désormais intégrée dans la version unifiée.
• Les évaluations de risque personnalisées incluent désormais le scanning item-level avec remédiation pour les fichiers potentiellement surpartagés dans SharePoint.

Etiquettes de confidentialité (Sensitivity Labels)

• Les politiques d’auto-labeling prennent désormais en charge la logique imbriquée (AND/OR/NOT), alignée sur les règles DLP.
• Les applications et agents Foundry basés sur RAG et AI Search respectent désormais les sensitivity labels comme Microsoft 365 Copilot. Pour les éléments chiffrés, l’utilisateur doit disposer des droits EXTRACT et VIEW.
• Les bibliothèques SharePoint peuvent être configurées pour étendre les permissions d’un label aux documents téléchargés, empêchant la copie ou le déplacement non autorisé. Microsoft 365 Copilot peut accéder aux fichiers non ouverts protégés par cette configuration.

Prévention de fuite de données (DLP)

• Preview de la protection DLP pour Recall afin d’éviter l’inclusion de contenu sensible dans les snapshots sur Copilot+ PCs.
• Preview du blocage des types d’informations sensibles dans les prompts Copilot et Copilot Chat.
• Blocage des fichiers et emails étiquetés dans les résumés de réponse Copilot.
• Preview de Network Data Security pour empêcher le partage de données sensibles avec des IA non gérées via Entra GSA Internet Access.
• Disponibilité Générale du support de Network Data Security pour les solutions SASE tierces.

Gestion des enregistrements et de la rétention

• Support du priority cleanup pour SharePoint et OneDrive.

Gestion des risques internes (Insider Risk Management)

• Les data risk graphs sont disponibles dans Insider Risk Management, offrant une visualisation claire des corrélations entre données, utilisateurs et activités.
• Un agent Security Copilot dédié à Insider Risk Management est disponible : le Triage Agent, qui priorise automatiquement les alertes à plus haut risque.
• L’agent de triage prend en charge le feedback sur les catégorisations incorrectes.
• Les rapports pay-as-you-go permettent un suivi précis de la consommation et facilitent l’ajustement des politiques.
• Un modèle de stratégie Risky Agents détecte les activités des agents hébergés sur Microsoft Copilot Studio et Microsoft Foundry.

Audit et Advanced eDiscovery

• Dans un cas eDiscovery, il est désormais possible d’ajouter plusieurs sources de données en fournissant une liste d’adresses SMTP ou d’URL.

Compliance Manager

• Compliance Manager s'intègre désormais à Azure AI Foundry afin d'automatiser les évaluations de conformité des modèles et agents d'IA. Cette fonctionnalité synchronise les résultats d'évaluation directement depuis AI Foundry, ce qui réduit les efforts manuels et améliore l'alignement avec les principales réglementations en matière d'IA.

Data Governance

• Preview de l’API REST Data Quality pour les fonctionnalités GA du Unified Catalog est désormais disponible en preview. Elle permet de configurer et d’exécuter la qualité des données de manière programmatique (création de connexions, règles, planification de jobs, scans, scoring, etc.).
• La fonctionnalité d’analytics en libre-service sur les métadonnées du Unified Catalog est maintenant disponible en disponibilité générale.
• Preview de l’Unified Catalog prend en charge la création de règles de qualité personnalisées via le langage SQL ou le langage d’expression Azure Data Factory.
• La configuration multirégion permet désormais de stocker localement les enregistrements d’erreurs de qualité des données, en conformité avec les exigences de résidence des données.
• Preview du support du réseau virtuel pour le stockage des métadonnées d’analytics en libre-service.
• Les colonnes Custom rule column ID et column name sont ajoutées à la table Data Quality Asset Rule Execution dans le modèle d’analytics.
• Les données de consommation des scans de qualité (processing units) sont disponibles dans Azure Data Lake Storage Gen2 et Fabric Lakehouse. Les détails sont visibles dans la table DataQualityJobExecution, colonne PuDetail.
• L’Unified Catalog est désormais disponible dans la région West Central US.
• Les sensitivity labels peuvent être appliquées à 11 nouvelles sources Data Map (Cosmos DB SQL API, Data Explorer, MySQL, PostgreSQL, Databricks Unity Catalog, SQL MI, Synapse Workspace, Snowflake, SQL Server, Amazon S3, Dataverse).
• Preview de la création de workflows dans le Unified Catalog pour automatiser l’octroi d’accès aux data products, ainsi que la publication de data products et de termes de glossaire..

 Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview de la nouvelle expérience UEBA dans le portail Defender avec :
  • Les investigations centrées sur les anomalies utilisateur : dans le portail Defender, les utilisateurs présentant des anomalies comportementales sont automatiquement tagués « UEBA Anomalies », aidant les analystes à prioriser rapidement.
  • La section « Top UEBA anomalies » sur 30 jours : un encart dédié affiche les trois principales anomalies récentes, disponible dans les volets latéraux utilisateur et dans l’onglet « Overview » des pages d’entité utilisateur. Des liens directs vers les requêtes d’anomalies et la timeline des événements Sentinel facilitent l’investigation et le contexte.
  • L’accès rapide aux anomalies depuis les graphes d’incident : via « Go Hunt > All user anomalies », les analystes peuvent parcourir toutes les anomalies liées à un utilisateur à partir du graphe d’incident, offrant un contexte UEBA immédiat.
  • L’enrichissement des requêtes d’Advanced Hunting et des détections personnalisées : une bannière contextuelle propose de joindre la table « UEBA Anomalies » lorsque des sources UEBA sont incluses, pour apporter un contexte comportemental aux requêtes.
• Le connecteur « Agentless » de la solution Microsoft Sentinel pour SAP est désormais disponible en disponibilité générale (GA). Le connecteur SAP « containerisé » sera hors support au 30 septembre 2026. Les nouvelles installations ne proposent plus que l’option « agentless », facturée au même tarif.
• Action requise : standardisation du nommage des entités « account » dans les incidents et alertes. Microsoft Sentinel met à jour la logique d’identification et de nommage des entités « account » dans les incidents/alertes afin d’améliorer la cohérence et la fiabilité pour l’analytique et l’automatisation. Vous devez mettre à jour vos requêtes et automatisations d’ici le 1er juillet 2026 pour vous aligner sur cette standardisation (par exemple, vérifiez les requêtes de détection personnalisées, les playbooks d’automatisation et les jointures/transformations qui s’appuient sur les champs d’entité « account »)..

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender Vulnerability Management (MDVM) introduits dans le mois.

• Dans le cadre de l'intégration de Microsoft Defender Vulnerability Management à Microsoft Security Exposure Management, la section Vulnerability Management du portail Microsoft Defender se trouve désormais sous Exposure Management.
• (GA) Microsoft Secure Score inclut désormais de nouvelles recommandations pour aider les organisations à prévenir de manière proactive les techniques d'attaque courantes sur les terminaux :
  • Disable Remote Registry service on Windows : empêche l'accès à distance au registre Windows, réduisant ainsi la surface d'attaque et bloquant les modifications de configuration non autorisées, l'escalade des privilèges et les mouvements latéraux.
  • Disable NTLM authentication for Windows workstations : aide à prévenir le vol d'identifiants et les attaques par mouvement latéral en supprimant la prise en charge d'un protocole obsolète et non sécurisé. La nouvelle technologie LAN Manager (NTLM) peut être exploitée à l'aide de techniques telles que Pass-the-Hash et NTLM relay, permettant aux attaquants de contourner la complexité des mots de passe et de compromettre des domaines.
• (GA) Les exceptions CVE sont désormais disponibles de manière générale et prennent également en charge :
  • La justification False positive.
  • Le champ d'état dans le cadre de la réponse à la requête GET /api/vulnerabilities.
• (GA) Microsoft Secure Score inclut désormais de nouvelles recommandations pour aider les organisations à prévenir de manière proactive les techniques d'attaque courantes sur les points de terminaison.
  • Require LDAP client signinget Require LDAP server signing: permet de garantir l'intégrité des requêtes d'annuaire afin que les attaquants ne puissent pas altérer ou manipuler les appartenances à des groupes ou les autorisations en transit.
  • Encrypt LDAP client traffic: empêche l'exposition des informations d'identification et des informations sensibles des utilisateurs en imposant une communication chiffrée au lieu d'un LDAP en clair.
  • Enforce LDAP channel binding: empêche les attaques par relais de type « man-in-the-middle » en garantissant que l'authentification est cryptographiquement liée à la session TLS. Si le canal TLS change, la liaison échoue, ce qui empêche la relecture des informations d'identification.
• (GA) Ces recommandations Microsoft Secure Score sont désormais disponibles :
  • Block web shell creation on servers
  • Block use of copied or impersonated system tools
  • Block rebooting a machine in Safe Mode

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Les autorisations Microsoft Defender for Cloud Apps sont désormais intégrées à Microsoft Defender XDR Unified RBAC.
• Preview de la fonctionnlité « Insights sur les applications inutilisées » de Microsoft Defender pour Cloud Apps aide les administrateurs à identifier et à gérer les applications OAuth connectées à Microsoft 365 qui ne sont pas utilisées, à appliquer une gouvernance basée sur des politiques et à utiliser des requêtes de recherche avancées pour une meilleure sécurité.
• Preview de la protection des agents AI en fournissant une protection complète combinant une gestion proactive de l'exposition et une détection avancée des menaces. Il détecte automatiquement les agents IA créés dans Microsoft Copilot Studio et Azure AI Foundry, collecte les journaux d'audit, surveille en permanence les activités suspectes et intègre les détections et les alertes dans l'expérience XDR Incidents and Alerts grâce à une entité Agent dédiée.
  • Defender ingère les données des agents Copilot Studio dans l’Advanced Hunting, ce qui vous permet de créer des requêtes personnalisées et de rechercher de manière proactive les menaces. Il offre également une protection en temps réel en surveillant l'exécution des agents et en bloquant les actions nuisibles ou suspectes, le tout en intégration totale avec les incidents et alertes XDR.
  • Defender surveille les agents Azure AI Foundary à la recherche de configurations incorrectes et de vulnérabilités, identifie les voies d'attaque potentielles et fournit des recommandations de sécurité exploitables via Exposure Management afin de renforcer votre posture de sécurité IA.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.

• (Preview) Vous pouvez utiliser la collecte de triage pour hiérarchiser les incidents et rechercher les menaces à l'aide du serveur Model Context Protocol (MCP) pour Sentinel.
• (Preview) Predictive Shielding permet désormais des actions de réponse de durcissement GPO (GPO Hardening) et Safeboot Hardening. Ces actions font partie de la fonctionnalité de protection prédictive, qui anticipe et atténue les menaces potentielles avant qu'elles ne se concrétisent.
• (Preview) Microsoft publie une solution de sécurisation pour Windows 7 SP1 et Windows Server 2008 R2 SP1 avec des capacités de protection avancés (EDR, Cloud Protection, etc.) et des fonctionnalités similaires à celles proposées pour les autres versions de Windows.

• (Preview) Microsoft propose un nouvel outil de déploiement permettant l’intégration des machines Windows et Linux dans Defender for Endpoint. L’outil prend en charge les prérequis, les migrations automatiques depuis d’autres outils ou la nécessité de construire ses propres scripts d’intégration.

• (Preview) La collecte de données personnalisée permet aux organisations d'étendre et de personnaliser la collecte de données télémétriques au-delà des configurations par défaut afin de répondre à des besoins spécifiques en matière de recherche de menaces et de surveillance de la sécurité.
• Dans la version de mai du client Defender for Endpoint pour macOS (Build: 101.25102.0019 | Release version: 20.125102.19.0), on retrouve :
  • CVE-2025-55182 (React2Shell) - Microsoft Defender Vulnerability Management (MDVM) peut désormais détecter les appareils susceptibles d'être affectés par cette vulnérabilité.
  • Ajout de la prise en charge de RHEL 10.
  • Des corrections de bugs et performances.
• Dans la version de mai du client Defender for Endpoint pour Linux (Build: 101.25092.0002 | Release version: 30.125092.0002.0), on retrouve :
  • un correctif critique lié à l'identifiant de la machine, garantissant que chaque terminal est correctement identifié comme un appareil unique.
  • Autres améliorations de stabilité et corrections de bugs.
• Dans la version de mai du Client Defender for Endpoint pour Android (1.0.8412.0101), on retrouve l’amélioration des performances et corrections de bugs mais aussi la détection native du rootage.
• Dans la version de janvier du client Defender for Endpoint pour iOS (1.1.70290103), on retrouve l’amélioration des performances et corrections de bugs.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for IoT. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Réseaux OT

• Nouvelle version du capteur 25.2.1 incluant des corrections de bugs pour des améliorations de stabilité.

Plus d’informations sur : What's new in Microsoft Defender for IoT - Microsoft Defender for IoT | Microsoft Learn