Microsoft vient d’annoncer le retrait de la fonctionnalité Deception dans Microsoft Defender for Endpoint (MDE). Cette fonctionnalité permettait de créer des leurres et des appâts sur les machines pour piéger les pirates. Microsoft a observé que les hackers commencent à s'adapter aux leurres et apprennent à les contourner, mais dans le même temps, Microsoft a pu obtenir des signaux précoces et très fiables par d'autres moyens. La combinaison des données de la plateforme et l'utilisation de capacités de perturbation automatique (Attack Disruption) des attaques sont beaucoup plus efficaces pour contrecarrer les pirates, c'est pourquoi Microsoft augmente ses investissements dans ce domaine.

Dans le même temps, Microsoft invite à utiliser Exposure Management pour identifier et atténuer les chemins d’attaques.

D’un point de vue changement, depuis le 18 août 2025, l'intégration de nouveaux tenant à la fonctionnalité Deception est bloquée. A partir du 31 octobre 2025, tous les leurres et appâts existants seront supprimés. Les sections liées à Deception seront supprimées du portail.

Microsoft a travaillé la fonctionnalité Hotpatch permettant de mettre à jour à chaud les machines Windows 11 24H2 ou ultérieure. Ceci permet d’éviter à l’utilisateur d’avoir à redémarrer sa machine pour la mettre à jour.  Cette fonctionnalité requiert plusieurs prérequis :

• L'une des licences éligibles : Windows 11 Enterprise E3 ou E5, Microsoft 365 F3, Windows 11 Education A3 ou A5, Microsoft 365 Business Premium ou Windows 365 Enterprise.
• Windows 11 Enterprise version 24H2 ou ultérieure.
• Les appareils doivent disposer de la dernière version de référence pour pouvoir bénéficier des mises à jour Hotpatch. Microsoft publie des mises à jour de référence tous les trimestres sous forme de mises à jour cumulatives standard. Voir le calendrier le plus récent de ces versions
• Microsoft Intune pour gérer le déploiement des mises à jour Hotpatch avec la stratégie de mise à jour de qualité Windows et Hotpatch activé.

Un des autres prérequis est que la sécurité basée sur la virtualisation (VBS) doit être activée sur les machines cibles. VBS protège contre les exploits au niveau du kernel et autres menaces avancées afin de garantir la sécurité de vos terminaux et leur préparation pour l'application de correctifs.

Vous pouvez utiliser Intune pour activer VBS :

1. En naviguant dans Devices> Manage Devices > Configuration. 
2. Sous Policies, cliquez sur Create> New policy. 
3. Sélectionnez Windows 10 and later. 
4. Dans le type de profil, choisissez Settings catalog. 
5. Rentrez le nom de la stratégie.
6. Dans Configuration Settings, sélectionnez Add settings
7. Dans Settings picker, entrez Virtualization Based Technology
8. Choisissez ensuite Hypervisor Enforced Code Integrity puis sélectionnez le mode d’activation avec ou sans verrouillage UEFI. Avec UEFI lock, ceci demandera une action manuelle sur la machine pour désactiver la fonctionnalité.
9. Terminez l’assistant en déployant sur les appareils souhaités

Soyez vigilent en activant cette fonctionnalité qui peut avoir un impact sur les utilisateurs et les machines. Evaluez donc le déploiement avec des populations pilotes.

Plus d’informations sur les prérequis : Hotpatch updates | Microsoft Learn

Microsoft a annoncé l’expiration prochaine des certificats utilisés pour la validation des composants de démarrage et de firmware dans le cadre de la fonctionnalité de Secure Boot de Windows. Ces certificats délivrés par Microsoft vont expirés en 2026. Dans les prochains mois, Microsoft va donc mettre à jour les certificats Secure Boot suivants :

• Microsoft UEFI CA 2011 and Microsoft KEK CA 2011 expirant en juin 2026. 
• Microsoft Windows Production PCA 2011 expirant en octobre 2026. 

Microsoft déploie actuellement des certificats mis à jour via Windows Update auprès des particuliers, des entreprises et des établissements scolaires dont les appareils sont gérés par Microsoft.

Si les machines n’ont pas mis à jour ces certificats après leur expiration, les systèmes où Secure Boot est activé peuvent :

• Ne pas recevoir les futures mises à jour de sécurité.
• Être dans l'impossibilité de valider les nouveaux composants de démarrage.
• Être confronté à un risque accru lié aux vulnérabilités au niveau du démarrage.

Aucune action n'est requise si les systèmes Windows de votre organisation reçoivent les mises à jour Windows de Microsoft et renvoient des données de diagnostic à Microsoft. Cela inclut les appareils qui reçoivent des mises à jour via Windows Autopatch, Microsoft Configuration Manager ou des solutions tierces. Les données de diagnostic Windows permettent à Microsoft de regrouper les appareils présentant des profils matériels et micrologiciels similaires afin de vous fournir progressivement les mises à jour Secure Boot.

Pour se préparer, vous devez :

• Vérifier auprès de votre fabricant OEM les dernières mises à jour disponibles pour le firmware. Ces mises à jour garantissent que la configuration Secure Boot de votre appareil peut accepter de nouveaux certificats.
• Activer les mises à jour gérées par Microsoft en autorisant les données de diagnostic et en définissant la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\MicrosoftUpdateManagedOptIn avec la valeur 0x5944 (pour les mises à jour Windows Secure Boot)
• Suivre les étapes de mise à jour manuelle pour DB et KEK à l'aide des instructions publiées par Microsoft.
• Etudier les futures solutions partiellement automatisées que Microsoft proposera pour prendre en charge les déploiements en libre-service.

Plus d’informations sur :

• Act now: Secure Boot certificates expire in June 2026 - Windows IT Pro Blog
• Windows devices for businesses and organizations with IT-managed updates - Microsoft Support
• Windows Secure Boot certificate expiration and CA updates - Microsoft Support

Microsoft a annoncé le retrait de Microsoft Lens sur iOS et Android. L’application qui sert à scanner des documents en utilisant l’appareil photo doit être remplacées par des capacités similaires dans l’application Microsoft 365 Copilot.

Microsoft prévoit le plan suivant :

• Mi-septembre 2025 : début du processus de retrait.
• Mi-octobre 2025 : les nouvelles installations de Microsoft Lens ne seront plus possibles dans l'App Store d'Apple et le Google Play Store.
• Mi-novembre 2025 : Microsoft Lens sera retiré des stores d'applications.
• Mi-décembre 2025 : les utilisateurs ne pourront plus créer de nouveaux scans dans l'application Microsoft Lens. A cette date, les scans existants seront toujours accessibles depuis le dossier Myscans de l’application.

Vous devez donc rediriger vos utilisateurs vers la fonction de l’application Microsoft 365 Copilot qui offre des capacités similaires et sauvegarde les Scans dans OneDrive et dans une section MyCreations de l’application. En tant qu’administrateur, si vous installiez l’application via un MDM (Microsoft Intune par exemple), vous devez pousser Microsoft 365 Copilot en lieu et place et communiquer à vos utilisateurs.

Pour scanner depuis Microsoft 365 Copilot :

1. Lancez l’application
2. Ouvrez l’icône Menu (Burger) en haut à gauche.
3. Sélectionnez Create puis Scan.

Plus d’informations sur : Retirement of Microsoft Lens - Microsoft Support

Microsoft a publié une mise à jour (2.5.76.0) à Microsoft Entra Connect. Microsoft Entra Connect est anciennement Azure Active Directory Connect - AADC, DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière mise à jour (2.5.76.0) apporte les éléments suivants :

• L'authentification basée sur l'application à Microsoft Entra ID est maintenant disponible et sera l'option par défaut.
• L'enregistrement des actions (Audit) de l'administrateur est maintenant disponible, fournissant des événements d'audit Windows pour tous les changements administratifs effectués sur Microsoft Entra Connect.
• Public Preview de la fonctionnalité de conversion de la source d'autorité du groupe permettant aux administrateurs de transférer des groupes Active Directory sur site pour devenir des groupes cloud uniquement gérés par Microsoft Entra ID.
• Le problème de sélection et de désélection des OU enfants, affectant les scénarios multi-domaines Active Directory dans l'assistant Connect Sync, est résolu.
• Le problème où les utilisateurs étaient invités à configurer Azure MFA au lieu de ADFS MFA sur site, en raison des paramètres de domaine fédéré et des réinitialisations des flags MFA pendant les mises à jour, a été résolu.
• Résolution d'un problème qui empêchait certaines instances Microsoft Entra Connect Sync d'effectuer une mise à niveau automatique en s'assurant que l'identifiant de l'agent est correctement sourcé lorsqu'il est manquant.
• Correction d'un problème dans l'assistant de configuration qui entraînait une erreur de synchronisation activée et d'état de synchronisation dans la synchronisation de l'annuaire pour cet annuaire lorsque l'état DirSync est en PendingEnabled..

Cette mise à niveau doit être faite manuellement via le lien du centre d'administration Microsoft Entra.

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Entra Connect

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Entra ID, Permissions Management, etc.) en juillet 2025.

Microsoft apporte les nouveautés suivantes :

Général

• Microsoft a ajouté la protection des jetons dans les licences Microsoft Entra ID P1. Auparavant, ce mécanisme proposé par l’accès conditionnel nécessitait des licences Entra ID P2.
• Security Copilot dans Microsoft Entra est en disponibilité générale avec l’expérience autonome et de nombreuses capacités mais aussi l’expérience embarquées. Pour l’expérience embraquée, on retrouve la capacité de résumer le niveau de risque d’un utilisateur, résumer les journaux d’audit, analyser les groupes, etc. Pour une liste complète des capacités, rendez-vous sur : Microsoft Security Copilot scenarios in Microsoft Entra - Microsoft Entra | Microsoft Learn
• L’agent Conditional Access Optimization est en disponibilité générale permettant d’évaluer les stratégies d’accès conditionnel et suggérer des optimisations afin de garder les stratégies alignées avec les bonnes pratiques Zero Trust.

Microsoft Entra ID (Azure Active Directory)

• Public Preview de la conversion de la source d’autorité pour les groupes Active Directory synchronisés vers le Cloud. La source d'autorité (SOA) au niveau de l'objet permet aux administrateurs de convertir des groupes spécifiques synchronisés depuis Active Directory (AD) vers Microsoft Entra ID en objets modifiables dans le nuage, qui ne sont plus synchronisés depuis AD et agissent comme s'ils avaient été créés à l'origine dans le nuage. Cette fonction favorise un processus de migration progressive, réduisant les dépendances à l'AD tout en visant à minimiser l'impact sur les utilisateurs et les opérations. Entra Connect Sync et Cloud Sync reconnaissent tous deux le commutateur SOA pour ces objets. En outre, les administrateurs peuvent régir les applications basées sur Kerberos associées aux groupes de sécurité AD à partir du nuage en utilisant Microsoft Entra Governance en incluant ces groupes de sécurité convertis en SOA pour la fourniture de groupes à AD. La procédure est la suivante.
• Microsoft introduit une simplification de la correspondance des numéros sur le même appareil et de la première expérience d'utilisation (FRX) dans Microsoft Authenticator. Aujourd'hui, les utilisateurs qui se connectent sur le même appareil mobile que leur application Microsoft Authenticator rencontrent souvent un obstacle : la notification s'affiche sur l'écran de connexion, masquant le numéro qu'ils doivent saisir. Ils sont alors obligés d'appuyer sur « Je ne vois pas le numéro » pour continuer. Avec cette mise à jour, ce problème est résolu. Les utilisateurs n'auront plus besoin de saisir un numéro lorsqu'ils se connectent sur le même appareil. Il leur suffira de confirmer la connexion en appuyant sur Oui ou Non. Sur Android, tous les flux de connexion sur le même appareil prendront en charge cette expérience simplifiée. Aucune saisie de numéro n'est requise.Sur iOS, les utilisateurs bénéficieront également de ce changement. Lorsque l'extension SSO est utilisée, les utilisateurs devront toujours passer par l'application Authenticator pour terminer la connexion, mais la saisie d'un numéro ne sera pas nécessaire. Les utilisateurs qui se connectent à partir d'un autre appareil continueront à utiliser la correspondance des numéros comme d'habitude. La version mise à jour de la première expérience d'utilisation regroupe les écrans de confidentialité et donne la priorité à l'ajout d'un compte Microsoft Entra plutôt qu'à un compte Microsoft personnel. L'option « Scanner un code QR » sera également mise en évidence afin de simplifier la configuration du compte.
• Microsoft Entra activera par défaut l'accès par navigateur (Brower Access) pour tous les utilisateurs Android, supprimant ainsi la fonctionnalité « Activer l'accès par navigateur » dans les applications Microsoft Authenticator et Company Portal. Cette modification de l'enregistrement des appareils liés au matériel ne nécessite aucune intervention de l'administrateur et sera déployée automatiquement dans le monde entier. Les organisations qui n'utilisent pas Android peuvent ignorer cette mise à jour.
• Disponibilité Générale de la fonctionnalité d’authentification basée sur l’application (ABA) pour Microsoft Entra Connect. Elle permet à Microsoft Entra Connect de s'authentifier en toute sécurité avec Microsoft Entra ID sans dépendre d'un mot de passe stocké localement. Cette fonction utilise l'identité d'une application Microsoft Entra ID et le flux de données d'identification du client Oauth 2.0 pour s'authentifier avec Microsoft Entra ID. Microsoft Entra Connect crée automatiquement une application tierce à tenant unique dans le tenant Entra ID du client, enregistre un certificat comme justificatif d'identité de l'application et accorde les autorisations requises pour la synchronisation de l'annuaire. Le fichier d'installation Microsoft Entra Connect Sync .msi pour ce changement est exclusivement disponible sur Microsoft Entra Admin Center sous Microsoft Entra Connect.
• Disponibilité Générale des Restricted Management Administrative Units. Les unités administratives de gestion restreinte vous permettent de restreindre facilement l'accès aux utilisateurs, aux groupes ou aux périphériques aux utilisateurs ou applications spécifiques que vous spécifiez. Les administrateurs au niveau du tenant (y compris les administrateurs globaux) ne peuvent pas modifier les membres des unités administratives de gestion restreinte à moins qu'un rôle ne leur soit explicitement attribué pour l'unité administrative. Il est donc facile de verrouiller un ensemble de groupes ou de comptes d'utilisateurs sensibles dans votre tenant sans avoir à supprimer les attributions de rôles au niveau du tenant.
• Public Preview de la synchronisation cross-cloud permettant la gestion automatisées du cycle de vie des utilisateurs à travers les clouds commercial, US Gov, et China. La fonctionnalité est désactivée par défaut et requiert une activation manuellement et une configuration. Les scénarios de synchronisation suivants sont supportés : 
  • Commercial (Commercial, GCC) → US Government (GCCH, DoD)
  • US Government (GCCH, DoD) → Commercial (Commercial, GCC)
  • Commercial → China
• La fonction Admin Audit Logging permet aux organisations de surveiller les changements apportés aux configurations de Microsoft Entra Connect Sync par les administrateurs globaux ou les administrateurs hybrides. Elle capture les actions effectuées par le biais de l'assistant Microsoft Entra Connect Sync, de PowerShell ou de l'éditeur de règles de synchronisation, y compris les modifications apportées aux règles de synchronisation, aux paramètres d'authentification (tels que l'activation ou la désactivation des fonctions) et aux paramètres de la Fédération. Ces événements sont enregistrés dans un canal d'audit dédié de Microsoft Entra Connect Sync dans l'observateur d'événements de Windows, offrant ainsi une meilleure visibilité sur les changements apportés à l'infrastructure d'identité. Cette fonction facilite le dépannage, la responsabilité opérationnelle et la conformité réglementaire. Le fichier d'installation Microsoft Entra Connect Sync .msi pour ce changement est exclusivement disponible sur Microsoft Entra Admin Center sous Microsoft Entra Connect.
• Les modèles Bicep pour les ressources Microsoft Graph vous permettent de créer, de déployer et de gérer un ensemble limité de ressources Microsoft Graph (principalement des ressources Microsoft Entra ID) à l'aide de fichiers modèles Bicep, parallèlement aux ressources Azure.
  • Les clients Azure peuvent utiliser des outils familiers pour déployer les ressources Azure et les ressources Microsoft Entra dont ils dépendent, telles que les applications et les principes de service, en utilisant les pratiques Infrastructure-as-Code (IaC) et DevOps.
  • Cela ouvre également la porte aux clients Microsoft Entra existants pour utiliser les modèles Bicep et les pratiques IaC pour déployer et gérer les ressources Microsoft Entra de leur tenant.
• L'API d'accès conditionnel "What If" peut être utilisée pour tester de manière programmatique l'impact des politiques sur les signatures d'identité des utilisateurs et des charges de travail.

Microsoft Entra Identity Governance

• Les clients peuvent désormais configurer une tâche Lifecycle Workflows pour révoquer automatiquement les jetons d'accès lorsque les employés se déplacent au sein de l'organisation ou la quittent.

Microsoft Entra External ID

• Disponibilité Générale permettant l’utilisation d’un fournisseur d'OTP d’email tiers pour personnaliser les notifications OTP par email pour les flux de connexion et d'inscription pour Microsoft Entra External ID. Une nouvelle extension d'authentification personnalisée "Custom Email OTP Provider" vous permet d'utiliser Azure Communication Service (ACS) ou un fournisseur tiers, tel que SendGrid, pour maintenir la cohérence de la marque à travers vos expériences d'authentification de l'utilisateur final.
• L'authentification unique (SSO) basée sur SAML et les galeries d'applications avec flux de provisionnement des utilisateurs sont désormais disponibles en version générale (GA). Ces fonctionnalités permettent de rationaliser l'accès sécurisé et d'automatiser la gestion du cycle de vie des utilisateurs dans vos applications d'entreprise.

Microsoft Entra Global Secure Access (Internet Access/Private Access)

• Public Preview de l’intégration entre Netskope et Microsoft Entra Internet Access.

Plus d’informations sur : What's new? Release notes - Microsoft Entra | Microsoft Learn et What's new for Microsoft Entra Verified ID  

Forrester et Microsoft ont travaillé ensemble sur une étude relative à Microsoft Entra Suite. L’étude ressort un retour sur investissement de plus de 131% sur 6 ans. Pour rappel, Microsoft Entra Suite regroupe Microsoft Entra ID Governance, Microsoft Entra Private Access, Microsoft Entra Internet Access, Microsoft Entra Verified ID et Microsoft Entra ID Protection.

Parmi les éléments qui participent à ce ROI, on retrouve :

• La consolidation des vendeurs
• L’amélioration de la posture de sécurité
• La Réduction de l'effort des ingénieurs IAM dans la gestion des outils
• Gain de temps informatique grâce à une intégration plus rapide des utilisateurs
• Gain de temps informatique grâce à une gestion plus rapide et continue des accès utilisateurs
• Coûts évités grâce à la réduction du nombre de demandes d'assistance liées aux mots de passe
• Économies réalisées grâce à la réduction du nombre de licences VPN
• Conformité et économies liées à l'audit

Lire l’étude

Source : Microsoft Entra Suite delivers 131% ROI by unifying identity and network access | Microsoft Security Blog

Microsoft a publié un ebook pour décrire comment construire un SOC (Security Operation Center) augmenté grâce à l’IA. Il décrit plusieurs sénarios :

• Protection des terminaux
• Protection des identités
• Sécuriser les applications cloud natives
• Protection de l’organisation avec le SIEM et XDR
• Protéger les données

Lire How to build an AI-powered, Unified SOC

L’actualité autour de l’Intelligence Artificielle (AI) est riche et je vous propose un petit tour d’horizon des dernières annonces autour de Microsoft Security Copilot.

Général

• Microsoft introduit la notion d’espace de travail (workspaces) dans Security Copilot permettant de gérer les ressources, optimiser les workflows et maintenir la conformité dans l’organisation. Ces workspaces permettent de créer une segmentation notamment pour les actions générées par les agents. Ils permettent aussi au sein d’une même organisation de séparer des périmètres quand deux équipes partagent les mêmes fonctions mais sur des périmètres différents.
• L'audit de l'administration des agents est désormais disponible dans Microsoft Purview Unified Audit Log, ce qui permet aux équipes de suivre la création, les mises à jour et les suppressions d'agents avec des métadonnées détaillées pour améliorer la visibilité et la conformité.
• Disponibilité Générale du support de GPT 4.1 pour toutes les expériences.
• Disponibilité Générale du support de plus de 2MB de données en sortie avec pour unique restriction le nombre de jetons limite du modèle d'OpenAI.
• Security Copilot dans Azure Commercial a le niveau d'autorisation FedRAMP High.

Microsoft Intune

• Microsoft Copilot dans Intune est en disponibilité générale et permet de :
  • Explorez vos données Intune via le langage naturel et prendre des mesures en fonction des résultats. Les administrateurs peuvent lancer des requêtes sur les données des ressources Intune, y compris des questions sur les appareils, les applications, les politiques, les mises à jour et la conformité. Lorsqu'une requête est exécutée, un résumé Copilot vous aide à comprendre les résultats et vous propose des suggestions. Vous pouvez ajouter des appareils ou des utilisateurs des résultats de la requête à un groupe pour cibler les applications et les stratégies. Il existe également des exemples de requêtes que vous pouvez filtrer pour trouver l'exemple qui correspond le mieux à votre demande ou que vous pouvez utiliser pour vous aider à créer votre propre requête.
  • Expérience de chat conversationnel pour interagir avec vos données en utilisant le langage naturel pour gérer les tâches, obtenir des informations et résoudre les problèmes. Voici ce que vous pouvez faire avec l'expérience de chat :
    • Gestion des règles et des paramètres : Utilisez Copilot in Intune pour résumer une stratégie existante ou en savoir plus sur les paramètres de stratégie individuels et les valeurs recommandées.
    • Détails sur les appareils et dépannage : Utilisez Copilot dans Intune pour obtenir les détails d'un appareil et le dépanner afin d'obtenir des informations spécifiques à l'appareil, comme les applications installées, l'appartenance à un groupe, etc.
    • Requête sur l'appareil : Utilisez Copilot dans Intune pour vous aider à créer des requêtes Kusto Query Language (KQL) à exécuter lors de l'utilisation de la requête de périphérique dans Intune.
    • Gestion des privilèges des points de terminaison (EPM) : Utilisez Copilot dans Intune pour aider à identifier les risques potentiels d'élévation à partir du flux de travail approuvé par le support EPM.
  • Microsoft Copilot dans le portail de gestion Surface - Microsoft Copilot dans Intune inclut le portail de gestion Surface, un espace de travail dans le centre d'administration Intune qui rassemble en un seul endroit des données et des informations vitales sur les appareils Surface inscrits.

Microsoft Entra

• Disponibilité Générale de Security Copilot dans Microsoft Entra pour couvrir les scénarios suivants :
  • L’investigation des identités : Utilisateurs, Groups, Journaux de connexions, Journaux d’audit, Lifecycle Workflows, Les utilisateurs à risque
  • La revue et la gouvernance des accès : Access Review, Entitlement Management, Entra ID RBAC
  • La protection des ressources et des applications avec les applications à risque, l’utilisation des licences, les recommendations.
  • La gestion de la posture et la supervision avec la supervisation de l’état de santé (alertes et SLA), le tenant, les domaines, les méthodes d’authentification MFA.
• Disponibilité Générale de l’agent Conditional Access Optimization dans Microsoft Entra. Cet agent analyse quotidiennement votre tenant afin de détecter les lacunes dans les politiques à mesure que de nouveaux utilisateurs et applications se connectent. Il propose des corrections précises en un seul clic afin que vous puissiez maintenir vos politiques à jour sans frais supplémentaires. Parmi les nouveautés ajoutées à la disponibilité générale, on retrouve :
  • Une extension des recommandations pour inclure les stratégies qui peuvent inclure le risque de connexion ou le risque utilisateur. Ceci requiert Entra ID P2.
  • Un résumé complet sur la façon dont l’agent a défini les recommandations ainsi qu’une carte visuelle pour chaque activée.
  • Le suivi de l’activité de l’agent (installation, activation, exécution) dans les journaux d’audit de Security Copilot.
  • Une amélioration des performances et de la consommation de SCUs. En outre, vous pouvez voir la consommation de SCU à chaque exécution depuis la page Overview.
• Les invites dynamiques suggérées sont désormais disponibles pour les compétences Microsoft Entra, offrant des suggestions de suivi plus rapides et plus déterministes en utilisant l'invocation directe des compétences - en contournant l'orchestrateur pour améliorer les performances.

Microsoft Purview

• Preview d'un agent Microsoft Security Copilot pour Insider Risk Management. L'agent de triage Microsoft Purview Insider Risk Management fournit une file d'attente d'alertes gérée par l'agent où les alertes concernant les activités les plus risquées sont identifiées et classées par ordre de priorité sur le tableau de bord de l'agent de triage des alertes.

Microsoft Defender

• Preview de l'agent de triage du phishing dans Microsoft Defender qui effectue une analyse sémantique approfondie des e-mails, des URL et des fichiers afin de déterminer si une soumission est une menace de phishing ou une fausse alerte, sans s'appuyer sur des règles statiques. Il apprend des commentaires des analystes, s'adapte aux modèles de votre organisation et fournit des explications claires en langage naturel pour chaque verdict. Une carte de décision visuelle montre exactement comment l'agent est parvenu à sa conclusion, ce qui rend le processus entièrement transparent et révisable.
• Preview de l'agent de briefing Threat Intelligence permettant la création d'informations sur les menaces très pertinentes et spécifiques à l'organisation ne prend plus que quelques minutes, et non plus des heures ou des jours, ce qui permet aux équipes d'agir rapidement et en toute confiance. Grâce à un raisonnement dynamique en temps réel, l'agent fait apparaître les renseignements les plus pertinents sur les menaces en fonction d'attributs tels que le secteur d'activité de l'organisation, sa situation géographique et sa surface d'attaque unique, afin de fournir un contexte critique et une connaissance inestimable de la situation.

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Général

• [Général] Microsoft Copilot dans Intune est en disponibilité générale et permet de :
  • Explorez vos données Intune via le langage naturel et prendre des mesures en fonction des résultats. Les administrateurs peuvent lancer des requêtes sur les données des ressources Intune, y compris des questions sur les appareils, les applications, les politiques, les mises à jour et la conformité. Lorsqu'une requête est exécutée, un résumé Copilot vous aide à comprendre les résultats et vous propose des suggestions. Vous pouvez ajouter des appareils ou des utilisateurs des résultats de la requête à un groupe pour cibler les applications et les stratégies. Il existe également des exemples de requêtes que vous pouvez filtrer pour trouver l'exemple qui correspond le mieux à votre demande ou que vous pouvez utiliser pour vous aider à créer votre propre requête.
  • Expérience de chat conversationnel pour interagir avec vos données en utilisant le langage naturel pour gérer les tâches, obtenir des informations et résoudre les problèmes. Voici ce que vous pouvez faire avec l'expérience de chat :
    • Gestion des règles et des paramètres : Utilisez Copilot in Intune pour résumer une stratégie existante ou en savoir plus sur les paramètres de stratégie individuels et les valeurs recommandées.
    • Détails sur les appareils et dépannage : Utilisez Copilot dans Intune pour obtenir les détails d'un appareil et le dépanner afin d'obtenir des informations spécifiques à l'appareil, comme les applications installées, l'appartenance à un groupe, etc.
    • Requête sur l'appareil : Utilisez Copilot dans Intune pour vous aider à créer des requêtes Kusto Query Language (KQL) à exécuter lors de l'utilisation de la requête de périphérique dans Intune.
    • Gestion des privilèges des points de terminaison (EPM) : Utilisez Copilot dans Intune pour aider à identifier les risques potentiels d'élévation à partir du flux de travail approuvé par le support EPM.
  • Microsoft Copilot dans le portail de gestion Surface - Microsoft Copilot dans Intune inclut le portail de gestion Surface, un espace de travail dans le centre d'administration Intune qui rassemble en un seul endroit des données et des informations vitales sur les appareils Surface inscrits.

Gestion du périphérique

• [Général] Support des règles de nettoyage d’appareils par plateforme. Ainsi, vous pouvez configurer des règles individuelles de nettoyage des appareils par plateforme (Windows, iOS/iPadOS, macOS et Android).

Configuration du périphérique

• [iOS/iPadOS/macOS] Microsoft intègre de nouveaux paramètres dans le catalogue de paramétrages : Cellular Private Network et Microsoft Edge.

Sécurité du périphérique

• [macOS] Microsoft a ajouté le support de macOS pour la configuration des comptes administrateurs locaux avec LAPS. Microsoft a ajouté la prise en charge des profils d'enrôlement automatique des appareils macOS (ADE) pour configurer les appareils macOS nouvellement enrôlés qui exécutent macOS 12 ou une version ultérieure, avec un compte d'administrateur local et un compte d'utilisateur local, ainsi que la prise en charge de la solution de mot de passe administrateur local (LAPS) de Microsoft.
  • Vous pouvez utiliser les profils ADE (automated device enrollment) de macOS pour configurer les comptes d'administrateur et d'utilisateur locaux d'un appareil. Une fois configurée, cette fonctionnalité s'applique à toutes les nouvelles inscriptions et réinscriptions d'appareils macOS attribuées à ce profil d'inscription.
  • Intune crée un mot de passe aléatoire, unique et sécurisé pour le compte administrateur de l'appareil. Il s'agit de 15 caractères alphanumériques.
  • Par défaut, Intune modifie automatiquement le mot de passe tous les six mois.
  • Les appareils précédemment inscrits ne sont pas affectés, à moins qu'ils ne soient réinscrits auprès d'Intune par le biais d'un profil ADE applicable.

• [Windows] Vous pouvez désormais utiliser des caractères génériques dans le nom et le chemin d'accès du fichier des règles d'élévation que vous définissez pour Endpoint Privilege Management (EPM). Les caractères génériques permettent de créer des règles plus souples avec des capacités de correspondance plus étendues, ce qui permet d'élever des fichiers de confiance dont les noms sont susceptibles d'être modifiés lors de révisions ultérieures. Pour les noms de fichiers, l'utilisation de caractères génériques n'est possible que dans le nom du fichier et non dans son extension. Vous pouvez utiliser un point d'interrogation ? pour remplacer un seul caractère à n'importe quel endroit du nom de fichier et un astérisque * pour remplacer une chaîne de caractères à la fin du nom de fichier.

Gestion des applications

• [Général] Les applications protégées suivantes sont disponibles :
  • Vault CRM by Veeva Systems Inc. (iOS)
  • Workvivo by Workvivo
• [Android] L’application OEMConfig RugGear est disponible pour Android Enterprise.

Supervision et Dépannage

• [Général] Désormais, après avoir exécuté une requête sur plusieurs appareils, vous pouvez exporter jusqu'à 50 000 résultats de requête dans un fichier CSV.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft a commencé la désactivation de la collection à distance des membres du groupe administrateurs locaux sur les terminaux en utilisant les requêtes SAM-R. Le but est d’améliorer la sécurité et les performances générales du service.
• Microsoft Defender for Identity propose trois nouvelles évaluations de la posture de sécurité en détectant si les serveurs Microsoft Entra Connect, Active Directory Federation Services (ADFS) ou Active Directory Certificate Services (ADCS) sont présents dans votre environnement mais ne sont pas surveillés.
• Le scoping est désormais pris en charge dans les environnements gouvernementaux (GOV). Les organisations peuvent désormais définir et affiner la portée de la surveillance MDI et obtenir un contrôle granulaire sur les entités et les ressources incluses dans l'analyse de sécurité.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, DLP, etc.).

On retrouve notamment :

Général

• Disponibilité Générale du SDK Purview permettant l’intégration des applications d’IA d’entreprise dans les solutions Purview
• Disponibilité Générale des APIs pour Purview.

Data Security Posture Management for AI

• Public Preview du déploiement d'un nouveau filtre de recherche Web dans l'explorateur d'activités qui vous aide à localiser les requêtes Web dans les invites avec le texte de la requête de recherche lui-même affiché dans le cadre de l'événement d'interaction de l'IA.
• La page "Overview" comporte désormais deux vues : "All AI Apps" (la vue par défaut et précédente) et "Microsoft 365 Copilot". La nouvelle vue Microsoft 365 Copilot contient des recommandations et des données spécifiques à Microsoft 365 Copilot pour vous guider dans la gestion de la sécurité et de la conformité des données pour ces interactions d'IA.
• Auparavant, un administrateur affecté à une ou plusieurs unités administratives pouvait créer des politiques pour tous les utilisateurs. Ce scénario est désormais empêché et seuls les administrateurs sans restriction peuvent créer les politiques en un clic qui s'appliquent à tous les utilisateurs.
• La recommandation Protect items with sensitivity labels from Microsoft 365 Copilot and agent processing vous aide maintenant à créer la politique DLP sans quitter DSPM for AI. Vous êtes invité à sélectionner une ou plusieurs de vos étiquettes de sensibilité pour la politique en un clic nommée DSPM for AI - Protect sensitive data from Copilot processing.

Etiquettes de confidentialité (Sensitivity Labels)

• Public Preview du déploiement progressif d'une modification du schéma des étiquettes de sensibilité visant à remplacer les étiquettes parents par des groupes d'étiquettes. Même si les utilisateurs ne verront pas de différence dans leurs applications, les groupes d'étiquettes permettent une meilleure organisation et réduisent la complexité du déploiement. Contrairement aux étiquettes parents, ils ne peuvent pas être configurés pour des paramètres d'étiquette autres que le nom, la description, la couleur et la priorité. Ils ne peuvent pas non plus être publiés seuls. Pour convertir des étiquettes parentes existantes en groupes d'étiquettes, vous devez les migrer manuellement.

Gestion des risques internes (Insider Risk Management)

• Preview d'un agent Microsoft Security Copilot pour Insider Risk Management. L'agent de triage Microsoft Purview Insider Risk Management fournit une file d'attente d'alertes gérée par l'agent où les alertes concernant les activités les plus risquées sont identifiées et classées par ordre de priorité sur le tableau de bord de l'agent de triage des alertes.

Data Governance

• Disponibilité générale (GA) : Si votre tenant Fabric Lakehouse s'exécute sur un réseau virtuel ou derrière un point de terminaison privé, vous pouvez désormais utiliser Microsoft Purview data quality virtual network enabled compute pour vous connecter et effectuer des évaluations de la qualité des données, y compris le profilage et l'analyse basée sur des règles. Cette fonctionnalité est désormais disponible et prise en charge dans toutes les régions.
• Disponibilité générale (GA) : L'identification des données critiques, qui permet de mesurer le pourcentage de domaines d'activité pour lesquels au moins un élément de données critiques a été défini, est désormais disponible de manière générale. Les Chief Data Officer (CDO), les Data Stewards et les propriétaires de produits de données peuvent mesurer et contrôler s'il existe des éléments de données critiques dans leur domaine d'activité à gouverner.
• Public Preview : La zone de métadonnées personnalisées du catalogue unifié (Unified Catalog) centralise la création et la gestion des attributs définis par l'utilisateur, qui fournissent un contexte pour décrire et organiser les données. Les types d'attributs sont les nouveaux attributs de concept métier (aperçu) et les attributs de ressources de données (anciennement "attributs gérés" dans l'expérience de gouvernance classique).
• Vous pouvez personnaliser l'étiquette des contacts dans les produits de données.
• Public Preview : La publication des enregistrements d'erreurs de qualité des données vers le stockage Cloud des clients est désormais disponible dans toutes les régions Azure prises en charge. Les ingénieurs de données, les responsables de la qualité des données et les analystes peuvent examiner et corriger les données, ainsi que surveiller les améliorations continues en créant des tableaux de bord avec les métadonnées du catalogue unifié et les enregistrements d'erreurs de qualité des données pour leurs équipes de gouvernance et de qualité des données. Cette fonctionnalité permet aux utilisateurs de Microsoft Purview Unified Catalog non seulement de mesurer et de surveiller la qualité des données, mais aussi de l'améliorer en leur permettant de corriger les enregistrements d'erreurs de qualité des données et de gérer les exceptions aux règles.
• Disponibilité générale (GA) : La capacité de l'administrateur du provisionnement du réseau virtuel (vNet) à provisionner le réseau virtuel pour l'analyse de la qualité des données est maintenant disponible de manière générale. Les administrateurs de Microsoft Purview Data Governance peuvent provisionner un emplacement de calcul de réseau virtuel dans les régions Azure prises en charge en naviguant vers Settings > Unified Catalog > Virtual network.

 Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.

• Public Preview de l’isolation sélective permettant aux administrateurs d’exclure des processus, des adresses IP ou des services des actions d’isolations réseau unilatérale. Ceci permet de continuer les fonctions essentielles (Remédiations à distance, supervision) en cas de brèche. Ceci est disponible pour Windows et macOS.
• Dans la version de mai du client Defender for Endpoint pour macOS (Build: 101.25062.0005 | Release version: 20.125062.5.0), on retrouve des corrections de bugs et performances.
• Dans la version de mai du client Defender for Endpoint pour Linux (Build: 101.25052.0007 | Release version: 30.125052.0007.0), on retrouve :
  • Correction d'un problème lié à la génération d'identifiants de machine uniques afin de garantir que chaque appareil embarqué est identifié de manière unique.
  • Autres améliorations de stabilité et corrections de bugs.
• Dans la version de mai du Client Defender for Endpoint pour Android (1.0.7901.0101), on retrouve une amélioration de l'interface utilisateur pour la page d'accueil et les écrans de tuiles.
• Dans la version de janvier du client Defender for Endpoint pour iOS (1.1.67040101), on retrouve une amélioration de l’interface graphique.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• (Preview) La table GraphApiAuditEvents dans l’Advanced Hunting est maintenant disponible et contient des informations sur les requêtes API Microsoft Entra ID faites à Microsoft Graph API pour les ressources dans le locataire.
• (Preview) La table DisruptionAndResponseEvents, désormais disponible dans l’Advanced Hunting et contient des informations sur les événements de perturbation des attaques automatiques dans Microsoft Defender XDR. Ces événements comprennent les événements d'application de bloc et de politique liés aux politiques d'interruption d'attaque déclenchées, et les actions automatiques qui ont été prises dans les charges de travail connexes. Améliorez votre visibilité et votre connaissance des attaques actives et complexes perturbées par l'interruption des attaques afin de comprendre la portée, le contexte, l'impact et les mesures prises.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office.

• Les utilisateurs peuvent signaler les messages Microsoft Teams externes et internes à l'entreprise provenant des chats, des canaux standard et privés, des conversations de réunion à Microsoft, à la boîte aux lettres de signalement spécifiée ou aux deux via les paramètres de signalement de l'utilisateur.
• Microsoft a annoncé la publication d'un tableau de bord fournissant la visibilité sur l'efficacité à travers les différents vecteurs d'attaque.
• En outre, ce sont deux rapports de comparaison permettant aux clients d'évaluer le bénéfice d'intégrer plusieurs solutions de sécurité d'emails et notamment les vendeurs Integrated Cloud Email Security (ICES) et Secure Email Gateways (SEGs).

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Annonce de Microsoft Sentinel Data Lake, un lac de données moderne, conçu spécialement pour rationaliser la gestion des données, réduire les coûts et accélérer l'adoption de l'IA par les équipes chargées des opérations de sécurité. Le nouveau Data Lake de Microsoft Sentinel offre un stockage à long terme rentable, éliminant le besoin de choisir entre l'accessibilité financière et une sécurité robuste. Les équipes de sécurité bénéficient d'une visibilité plus approfondie et d'une résolution plus rapide des incidents, le tout dans l'expérience familière de Sentinel, enrichie par une intégration transparente avec des outils d'analyse de données avancés.
• Les autorisations pour le Data Lake de Microsoft Sentinel sont fournies par le biais du RBAC unifié de Microsoft Defender XDR. La prise en charge du RBAC unifié est disponible en plus de la prise en charge fournie par les rôles globaux Microsoft Entra ID.
• La gestion des tables et les paramètres de rétention sont désormais disponibles dans les portails Microsoft Defender. Vous pouvez afficher et gérer les paramètres des tables dans le portail Microsoft Defender, y compris les paramètres de rétention pour les tables Microsoft Sentinel et Defender XDR, et basculer entre les niveaux d'analyse et de lac de données.
• Depuis le 1er juillet 2025, les nouveaux clients qui ont les autorisations d'un propriétaire d'abonnement ou d'un administrateur d'accès utilisateur, et qui ne sont pas non plus des utilisateurs délégués d'Azure Lighthouse, voient leurs workspaces automatiquement intégrés au portail Defender en même temps que l'intégration à Microsoft Sentinel. Les utilisateurs de ces espaces de travail, qui ne sont pas non plus des utilisateurs délégués d'Azure Lighthouse, voient des liens dans Microsoft Sentinel sur le portail Azure qui les redirigent vers le portail Defender. Ces utilisateurs n'utilisent Microsoft Sentinel que dans le portail Defender.
• Il n'y a plus de limite au nombre d'espaces de travail que vous pouvez embarquer sur le portail Defender. Les limitations s'appliquent toujours au nombre d'espaces de travail que vous pouvez inclure dans une requête Log Analytics, et au nombre d'espaces de travail que vous pouvez ou devriez inclure dans une règle d'analyse planifiée.
• À partir de juillet 2026, Microsoft Sentinel sera pris en charge uniquement dans le portail Defender, et tous les clients restants qui utilisent le portail Azure seront automatiquement redirigés. Si vous utilisez actuellement Microsoft Sentinel dans le portail Azure, Microsoft recommande de commencer à planifier votre transition vers le portail Defender dès maintenant afin d'assurer une transition en douceur et de profiter pleinement de l'expérience des opérations de sécurité unifiées offerte par Microsoft Defender.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Le module App Governance est maintenant disponible dans les régions suivantes : Brazil, Sweden, Norway, Switzerland, South Africa, South Korea, Arab Emirates et Asia Pacific.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Dans un message publié sur le centre de messages de Microsoft, Microsoft s’apprête à appliquer ce changement le 4 septembre 2025. Historiquement, Azure DevOps se base sur Azure Resource Manager (ARM) pour les jetons d’authentification. Azure DevOps était sécurisé via l’application “Windows Azure Service Management API” (App ID: 797f4846-ba00-4fd7-ba43-dac1f8f63013). Microsoft va séparer Azure DevOps et cette application regroupant de nombreux services (portail Azure, etc.)
Ainsi, si vous avez des stratégies d’accès conditionnel qui ciblent spécifiquement des applications et non pas la cible All Cloud Apps, vous devez rajouter l’application “Azure DevOps” (App ID: 499b84ac-1321-427f-aa17-267ca6975798) à vos stratégies existantes.

Plus d’informations sur : Message center - Microsoft 365 admin center

Forrester et Microsoft ont travaillé ensemble sur une étude relative à Windows 365 et plus particulièrement l’usage de Windows 365 Link. L’étude ressort un retour sur investissement de plus de 195% sur 6 ans. Pour rappel, Windows 365 Link est le premier appareil Cloud PC conçu par Microsoft pour Windows 365, est disponible depuis avril 2025.

Parmi les éléments qui participent à ce ROI, on retrouve :

• Des gains sur la productivité des utilisateurs finaux
• La sécurité renforcée
• La réduction du coût du matériel
• Le temps IT économisé
• Le temps d’intégration accéléré

Lire l’étude

Source : Forrester study reveals Windows 365 Link enhances productivity and security, projects ROI up to 195% | Windows Experience Blog

Gartner vient de publier le résultat de l’étude 2025 sur l’Endpoint Protection Platforms (EPP). Microsoft fait toujours parmi les leaders avec Palo Alto, Sophos, Trend Micro, SentinelOne, et CrowdStrike. Cette année, Microsoft est au coude à coude avec Crowdstrike.

Parmi les forces :

• Produit : Les fonctionnalités EDR, la protection, la gestion basée sur le cloud et les capacités d'intégration de la sécurité de l'espace de travail de Microsoft sont généralement bien perçues par les clients pour leur efficacité et leur maturité.
• Stratégie produit : Les améliorations prévues par Microsoft, telles que la réduction de la surface d'attaque autonome, s'appuient sur une longue histoire d'investissements cohérents dans les capacités de son produit EPP, telles que les règles pour la réduction de la surface d'attaque des points finaux. L'intégration de Microsoft dans son écosystème plus large est remarquable.
• Réactivité du marché et antécédents : Microsoft détient une part importante du marché de l'EPP et continue d'afficher un taux de considération élevé de la part des acheteurs d'EPP.

Parmi les faiblesses :

• Exécution des ventes : Les clients qui utilisent les licences groupées de Microsoft font souvent état d'une sous-utilisation des produits et d'une diminution des remises au moment du renouvellement, ce qui peut s'avérer difficile dans l'environnement macroéconomique actuel.
• Expérience client : Les clients signalent que le déploiement initial, l'optimisation de la configuration et le rythme relativement lent de la résolution des problèmes de support peuvent dégrader l'expérience globale du client.
• Innovation : Au cours de l'année écoulée, la R&D de Microsoft semble s'être concentrée sur le renforcement des produits adjacents, tels que Security Exposure Management, ce qui est moins susceptible d'avoir un impact sur le marché plus large de l'EPP.

Vous pouvez accéder au rapport.

Source : ​​ ​​Microsoft is named a Leader in the 2025 Gartner® Magic Quadrant for Endpoint Protection Platforms | Microsoft Security Blog

Depuis son lancement, Microsoft Sentinel s’est imposé comme l’une des plateformes SIEM/SOAR les plus complètes du marché : collecte massive de logs, détection avancée des menaces, automatisation des réponses… Un seul point noir au tableau, le stockage de données pour des usages externes à la sécurité et plus relatif au traitement et l’usage de la donnée (Analytics, BI, etc.).
Avec l’arrivée de Microsoft Sentinel Data Lake, Microsoft vient combler ce manque et change la donne sur trois plans : rétention des données, coûts et ouverture analytique. Ce Data Lake est un espace unifié, découplé du moteur Log Analytics, capable de stocker des données de sécurité (Security Events, Syslog, réseau, signaux cloud, etc.) dans leur format brut ou parquet, sur des durées quasi illimitées (années) et à un coût au gigaoctet sensiblement réduit. La solution est pour l’instant en Public Preview.

Les coûts suivants sont applicables à cette fonctionnalité :

Plus d’informations sur : Microsoft Sentinel data lake overview (preview) - Microsoft Security | Microsoft Learn

Microsoft a publié une calculatrice permettant d’estimer le coût d’utilisation de Security Copilot et notamment le nombre de Security Compute Unit (SCUs). Cette calculatrice se focalise principalement sur les fonctionnalités dans les produits couverts par Security Copilot. Elle vous demandera combien de personnes sont susceptible d’utiliser les fonctionnalités dans chaque produit. Une fois le nombre de personnes renseigné, vous obtenez une estimation du nombre de SCU et des différents scénarios entre SCUs provisionnées + dépassement de SCU.

Accéder à la calculatrice Security Copilot

Lors de la mise en place d’Azure Update Manager pour mettre à jour des serveurs, j’ai rencontré plusieurs problèmes sur des serveurs renvoyant l’erreur 0x80070643 lors de l’application des mises à jour et un cas spécifique relatif à une mise à jour pour SQL Server.
Notez que le code d’erreur est indépendant d’Azure Update Manager puisque l’erreur était en réalité remontée lorsque les serveurs étaient mis à jour manuellement avec Windows Updates.

Voici les symptômes :

• Le serveur présentait une mise à jour applicable à SQL Server
• En utilisant SQL Server Management Studio sur l’instance, il semblait que l’instance était plus à jour que la mise à jour proposée par Windows Update.
• L’application manuelle de la mise à jour ne fonctionnait pas.

En creusant, j’ai fini par trouver la raison. Il semble que ce serveur comportait une instance fantôme inactive que Windows Update identifiait et voulait mettre à jour. Vous pouvez vérifier de la manière suivante :

1. Ouvrez le répertoire de l’installeur SQL Server en naviguant dans <Disque>:\Microsoft SQL Server\<Version de SQL>\Setup Boostrap\Log\<Date_Heure>. Ouvrez ensuite le fichier Summary_<NomDeServeur>_<Date_Heure>.txt.
2. Dans ce fichier, vous obtenez un aperçu global incluant le résultat final de l’installation. La section qui va nous intéresser est celle appelée Product features discovered où vous pouvez voir apparaître les différentes instances dont une instance avec la mention INACTIVE. Vous pouvez notamment constater le numéro de version plus ancien que l’instance active qui a déjà été mise à jour.

3. Pour résoudre le problème et retirer cette instance fantôme, ouvrez le répertoire de l’installeur SQL Server en naviguant dans <Disque>:\Microsoft SQL Server\<Version de SQL>\Setup Boostrap\Log\<Date_Heure>\Datastore. Ouvrez ensuite le fichier Datastore_Discovery.xml :

4. Une fois le fichier XML ouvert, recherchez le mot clé INACTIVE. Vérifiez le numéro de version de l’instance pour valider qu’il s’agit d’une ancienne version non mise à jour. Identifiez et copiez le Product Code.

5. Lancez une invite de commande en tant qu’administrateur et lancez la commande suivante pour lancer la désinstallation :
   msiexec /X <Product Code copié prédécemment>
6. Relancez la détection Windows Update et constatez que la mise à jour n’est plus proposée.

Lors de la mise en place d’Azure Update Manager pour mettre à jour des serveurs, j’ai rencontré plusieurs problèmes sur des serveurs renvoyant l’erreur 0x80070643 lors de l’application des mises à jour et plus particulièrement les mises à jour de définitions Microsoft Defender.
Après moultes tentatives, j’ai fini par trouver la solution. Celle-ci peut être applicable à certains autres mises à jour qui renverraient le code d’erreur : 0x80070643. Il est à noter que ce code d’erreur est relativement générique donc il convient de valider l’application à votre contexte.

Notez que le code d’erreur est indépendant d’Azure Update Manager puisque l’erreur était en réalité remontée lorsque les serveurs étaient mis à jour manuellement avec Windows Updates.

L’erreur peut être remontée dans plusieurs cas :

1. Windows Defender a été désinstallée de manière non conventionnelle lors de la mise en œuvre d’une autre solution antivirale
2. Le composant CBS est corrompu et ne permet pas l’installation de la mise à jour. Ce cas peut s’appliquer plus globalement à d’autres mises à jour.

Note : les étapes et écrans peuvent varier selon les versions de système d’exploitation.

Traitement du premier problème

1. Commencez par installer les fonctionnalités Windows Defender Features incluant Windows Defender et GUI for Windows Defender en utilisant l’interface du Server Manager.
   Note : Si l’installation ne fonctionne pas, passez au traitement du second problème.

2. Lorsque la fonctionnalité est installée, ouvrez l’application Paramètres (Settings) puis naviguez dans Windows Update puis Windows Defender.
   Note : Si l’interface ne s’ouvre pas, passez directement au point 5

3. Dans l’interface Windows Defender, activez le service (Turn On)
4. Lancez ensuite la mise à jour des définitions.

Si les opérations ont réussi. Vous pouvez vous arrêter ici.

5. Il se peut que l’interface Windows Defender ne se lance pas. Le lancement manuel du service peut aussi renvoyer l’erreur : Windows could not start the Windows Defender Antivirus Service service on the local computer. Error 2: the system cannot find the file specified.
   Vérifiez alors que le dossier platform existe dans C:\ProgramData\Microsoft\Windows Defender. On doit retrouver à minima un sous dossier ayant pour nom, le numéro d’une version.
6. S’il n’y a pas de dossier platform ou de sous dossiers, utilisez un serveur de même version qui fonctionne. Copiez le dossier platform ou la dernière sous version dans le dossier du serveur courant.

7. Démarrez le service Windows Defender manuellement avec la console des services. Suivez ensuite la procédure à partir du point 2.

Traitement du second problème

Il est possible que vous cumuliez plusieurs problèmes dont notamment une corruption du composant CBS empêchant l’installation de Windows Defender Core et Windows Defender GUI. Ce problème peut aussi être applicable par l’installation d’autres mises à jour.

1. Ouvrez le journal log dans C:\Windows\Logs\CBS.
2. Dans ce journal, identifiez la mise à jour (KB) qui corrompt le store par ses packages manquants. Vous pouvez notamment re trouver les mentions suivantes :
   CBS Catalog Missing Package_XXXX_for_KBXXXXXXX~31bf3856ad364e35~amd64~~10.0.1.6

Exemple : CBS Catalog Missing Package_2319_for_KB5013952~31bf3856ad364e35~amd64~~10.0.1.6

3. Procédez au téléchargement manuel de la KB depuis le catalogue Microsoft Update.
4. Une fois téléchargée, faites l’extraction via les commandes suivantes :
   CD C:\Temp

EXPAND.exe windows10.0-kbXXXXXXX-x64_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.msu -f:* C:\Temp\msu

5. Lancez l’ajout du package manquant via la commande :

DISM.exe /Online /Add-Package /PackagePath:C:\Temp\msu\Windows10.0-KBXXXXXX-x64.cab

6. Une fois l’ajout réalisé, lancez la commande :
   DISM /online /cleanup-image /RestoreHealth
7. Quand la commande se termine, vous pouvez redémarrer la procédure de traitement du premier problème.

IDC a publié son modèle d'analyse des fournisseurs MarketScape sur les plateformes cloud-native application protection platform (CNAPP). Microsoft ressort leader du marché dans tous les segments au côté de Wiz, Trend Micro, Crowdstrike, Palo Alto Networks.

Parmi les forces :

• Les clients ont souligné le partenariat solide avec Microsoft, qui comprend un support et une consultation dédiés, assurant une résolution rapide des problèmes et un accès à des experts pour une utilisation optimale du produit.
• Microsoft Defender for Cloud a été reconnu pour ses analyses de menaces détaillées, combinant des informations de diverses sources pour créer des scénarios d’attaque complets. Cela aide à contextualiser la gravité des alertes, à mieux les prioriser et à y répondre efficacement. Des fonctions comme Security Explorer et la détection automatique des données sensibles sans configuration supplémentaire renforcent la posture de sécurité, en offrant des insights précieux et en automatisant des tâches de sécurité critiques.
• Defender for Cloud offre une visibilité étendue sur les attaques cloud à travers tout l’environnement — des points de terminaison aux identités exposées, en passant par les secrets sur site. Son approche holistique examine les vecteurs d’attaque internes et externes au cloud. Les graphiques de posture pré-violation sont intégrés aux incidents en direct, permettant une évaluation du risque d’exposition grâce à l’analyse du rayon d’explosion.
• Defender for Cloud intègre des fonctions de CSPM (gestion de la posture de sécurité cloud) permettant des évaluations basées sur le Microsoft Cloud Security Benchmark. Avec le score sécurisé, les clients peuvent suivre leurs progrès dans le temps.
• En outre, Microsoft propose également un certain nombre de campagnes complètes de formation et de développement de la main-d'œuvre, qui vont de l'engagement des étudiants à la formation publique à faible coût et parfois gratuitement.

Parmi les challenges.

Alors que l'optimisation des dépenses de sécurité dans le cloud peut toujours être un défi, les coûts associés à divers produits Microsoft, y compris les licences, sont à la hausse pour certaines organisations. Les clients ont noté que ce défi peut être exacerbé par le fait que l'activation ou la désactivation de divers composants de Defender for Cloud au niveau de l'abonnement peut être fastidieuse, ce qui incite certains à laisser les choses en l'état. Dans l'ensemble, cela témoigne de la puissance des fonctionnalités disponibles dans Defender for Cloud et de la nécessité de créer des processus et des formations supplémentaires pour pouvoir les utiliser efficacement.

Lire le rapport d’IDC

Plus d’informations sur : Why Microsoft Leads the IDC CNAPP MarketScape: Key Insights for Security Decision-Makers