Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Pour les tenants ayant déployé Defender for Identity, la table Advanced Hunting Microsoft 365 IdentityInfo inclut désormais plus d'attributs par identité, ainsi que les identités détectées par le capteur Defender for Identity à partir de votre environnement On-Premises.
• Les versions 2.205, et 2.206 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Beaucoup d’entreprises ont fait le choix d’implémenter l’authentification directe ou Passthrough Authentication (PTA) pour Microsoft Entra (Azure AD). Celle-ci permet aux applications fédérées avec Microsoft Entra (Azure AD) d’utiliser les contrôleurs de domaine Active Directory On-Premises pour authentifier l’utilisateur se présentant à Azure Active Directory.

Une des recommandations de Microsoft est d’activer la fonctionnalité Password Hash Synchronization (PHS) permettant de synchroniser le hash des mots de passe stockés dans l’annuaire On-Premises vers Microsoft Entra (Azure AD). Parmi les bénéfices que l’on retrouve :

• La détection des fuites d’identifiants/mots de passe
• La résilience en fournissant un mécanisme d’authentification depuis le Cloud.

C’est sur ce deuxième bénéfice que je vais focaliser cet article car il permet d’offrir une continuité de services dans les scénarios suivants :

• Indisponibilité du réseau On-Premises dû à une problématique d’infrastructure (coupure de la sortie Internet, problématiques réseaux, etc.)
• Cyberattaque mettant à mal tout ou partie du réseau On-Premises (Agents PTA, Azure AD Connect ou Contrôleurs de domaine)

Je ne peux que vous conseiller de mettre en place le PHS en sus de votre stratégie d’authentification via l’authentification directe (PTA)

Cet article suppose que vous avez déjà configuré la synchronisation des hashs des mots de passe (PHS) sur votre tenant. Il permet de vous donner les indications à suivre dans l’un des scénarios cités plus haut. Je vous recommande aussi de tester le scénario de bascule en condition réelle pour s’assurer que vous êtes prêt dans l’une des situations citées.

Notez que vous devez disposer d’un compte ayant les caractéristiques suivantes :

• Cloud Only : c’est-à-dire n’étant pas synchronisé à partir du réseau On-Premises.
• Ayant les privilèges Global Administrator sur le tenant.

Je vous recommande la création d’à minima deux comptes d’urgence dits BreakTheGlass pour ce genre de situation. Veillez à superviser les tentatives de connexion sur ces comptes pour qu’il ne soit pas utiliser à mauvais escient* ;

Lorsque votre tenant est dans un mode PTA + PHS, le mécanisme de résilience n’est pas activé automatiquement en cas d’indisponibilité du réseau On-Premises. Pour cela, vous devez suivre la procédure suivante.

Mise en place des prérequis

Les prérequis :

• Une machine autonome avec :
  • L’installation d’un agent PTA
  • L’installation du module PowerShell AzureAD
• Un compte administrateur non synchronisé ayant les privilèges Global Admin (voir les ci-dessus)

En cas d’indisponibilité de votre réseau On-Premises, vous devez provisionner une machine répondant aux prérequis de l’agent PTA. A date, elle requiert un système d’exploitation Windows Server 2016 ou ultérieur.
Il est à noter que la bascule ne requiert pas que cette machine soit jointe à un domaine. Elle peut donc être en mode Workgroup.
Note : Pour provisionner cette machine, vous pouvez utiliser un environnement neutre (par exemple : Microsoft Azure ou même un poste de travail).

Une fois la machine provisionnée, récupérez l’agent Passthrough Authentication (PTA) en vous connectant au portail Entra (via un compte Break The Glass ou Cloud Only) puis Hybrid management et Azure AD Connect. Cliquez ensuite sur Pass-through authentication.

Dans la page, cliquez sur Download pour récupérer les binaires nécessaires

Sur le serveur, lancez l’exécutable. Une fenêtre d’authentification s’ouvre. Connectez-vous avec un compte répondant aux critères cités plus haut.

L’installation se poursuit :

Une fois l’installation terminée, vous devez procéder à l’installation du module PowerShell AzureAD qui est utilisé par le module PowerShell PTA pour s’authentifier.

Pour cela, ouvrez une commande PowerShell en tant qu’administrateur local et exécutez les commandes suivantes :

[Net.ServicePointManager] ::SecuirtyProtocol = [Net.SecurityProtocolType]::Tls12

Install-Module AzureAD

La commande TLS permet d’activer TLS 1.2 notamment sur des anciennes versions Windows Server (2016).

Bascule PTA vers PHS

Procédez ensuite à la connexion à Azure AD avec un compte répondant aux critères cités plus haut en utilisant la commande :

Connect-AzureAD

Une fois la commande exécutée, vous observez les messages suivants :

Dans la commande PowerShell utilisée pour se connecter à Azure AD, exécutez les commandes suivantes :

Cd “C:\Program Files\Microsoft Azure AD Connect Authentication Agent”

Import-Module .\Modules\PassthroughAuthPSModule

Validez le statut actuel via la commande :

Get-PassthroughAuthenticationEnablementStatus

Constatez que le statut d’authentification directe (PTA) est à Enabled :

Pour désactiver l’authentification PTA, exécutez la commande PowerShell suivante :

Disable-PassthroughAuthentication

Vous devez vous connecter avec un compte répondant aux critères cités plus haut et confirmer la bascule en tapant sur Entrer.

Note : Le changement est instantané. En cas de problématique dans le déroulement de cette procédure, vous devez contacter le support Microsoft.

Vous pouvez ainsi vérifier le statut de l’authentification via une des deux méthodes suivantes :

• Dans le portail Entra puis Hybrid management et Azure AD Connect. Cliquez ensuite sur Pass-through authentication.
• En exécutant la commande PowerShell suivante : Get-PassthroughAuthenticationEnablementStatus

Vous constaterez ensuite que les authentifications pour des comptes utilisateurs hybrides (synchronisés), fonctionnent à nouveau.

Il est à noter que dans ce mode dégradé, les fonctionnalités suivantes sont indisponibles :

• Réinitialisation du mot de passe par l’utilisateur en utilisant la fonctionnalité Self Service Password Recovery (SSPR)
• Réinitialisation du mot de passe de l’utilisateur hybride/synchronisé par un administrateur depuis le portail Microsoft Entra.

Dans ce cas, il faudra attendre que l’infrastructure On-Premises revienne en ligne pour retrouver les capacités SSPR.

Lorsque l’infrastructure On-Premises est à nouveau en ligne, vous pouvez suivre à nouveau cette procédure et utiliser la commande pour revenir dans un mode nominal en réactivant l’authentification PTA :

Enable-PassthroughAuthentication

Bonne Bascule !

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Nouvelle alerte dans Defender for Key Vault : Unusual access to the key vault from a suspicious IP (Non-Microsoft or External). Au cours des dernières 24 heures, un utilisateur ou un responsable de service a tenté d'accéder de manière anormale à des Key Vaults à partir d'une adresse IP autre que Microsoft. Ce schéma d'accès anormal peut être une activité légitime. Il peut s'agir d'une tentative d'accès au Key Vault et aux secrets qu'il contient.

• L’agentless scanning des machines virtuelles prend désormais en charge le traitement des instances dont les disques sont chiffrés dans AWS, en utilisant à la fois CMK et PMK.
• Microsoft a révisé les règles JIT (Just-In-Time) pour les aligner sur la marque Microsoft Defender for Cloud. Microsoft a modifié les conventions de dénomination des règles Azure Firewall et NSG (Network Security Group).

• Pour vous aider à gérer vos coûts AWS CloudTrail et vos besoins de conformité, vous pouvez désormais sélectionner les régions AWS à analyser lorsque vous ajoutez ou modifiez un connecteur cloud. Vous pouvez désormais analyser des régions AWS spécifiques sélectionnées ou toutes les régions disponibles (par défaut), lorsque vous intégrez vos comptes AWS à Defender for Cloud.
• La version V2 des recommandations en matière d'identité apporte les améliorations suivantes :
  • La portée de l'analyse a été élargie pour inclure toutes les ressources Azure, et pas seulement les abonnements. Cela permet aux administrateurs de sécurité de voir les attributions de rôles par compte.
  • Des comptes spécifiques peuvent désormais être exemptés d'évaluation. Les administrateurs de sécurité peuvent exclure des comptes tels que les comptes de bris de glace ou les comptes de service.
  • La fréquence d'analyse est passée de 24 heures à 12 heures, ce qui garantit que les recommandations en matière d'identité sont plus actuelles et plus précises.

Des recommandations sur l’identité en V1 ont été dépréciées.

• L'ancienne norme PCI DSS v3.2.1 et l'ancienne norme SOC TSP ont été entièrement supprimées dans le tableau de bord de conformité de Defender for Cloud, et remplacées par les normes de conformité basées sur l'initiative SOC 2 Type 2 et l'initiative PCI DSS v4. Nous avons entièrement supprimé le support de la norme/initiative PCI DSS dans Azure China 21Vianet.
• Defender for DevOps Code and IaC a étendu la couverture de ses recommandations dans Microsoft Defender for Cloud pour inclure les conclusions de sécurité Azure DevOps pour les deux recommandations suivantes :
  • Code repositories should have code scanning findings resolved
  • Code repositories should have infrastructure as code scanning findings resolved
• Microsoft Defender Vulnerability Management (MDVM) est désormais activé en tant que solution intégrée par défaut pour tous les abonnements protégés par Defender for Servers qui n'ont pas déjà une solution VA sélectionnée. Si un abonnement a une solution VA activée sur l'une de ses machines virtuelles, aucun changement n'est effectué et MDVM ne sera pas activé par défaut sur les machines virtuelles restantes de cet abonnement. Vous pouvez choisir d'activer une solution VA sur les VM restantes de vos abonnements.
• Defender for Cloud a ajouté la possibilité de télécharger un rapport CSV des résultats de la requête de l'explorateur de sécurité du cloud. Après avoir effectué une recherche, vous pouvez sélectionner le bouton Télécharger le rapport CSV (aperçu) à partir de la page de l'explorateur de sécurité cloud dans Defender for Cloud.
• Microsoft annonce le lancement de l'évaluation des vulnérabilités pour les images Linux dans Azure container registries alimentés par Microsoft Defender Vulnerability Management (MDVM) dans Defender CSPM. Cette version comprend l'analyse quotidienne des images. Les résultats utilisés dans l'explorateur de sécurité et les chemins d'attaque reposent sur l'évaluation des vulnérabilités MDVM plutôt que sur le scanner Qualys. La recommandation existante Container registry images should have vulnerability findings resolved est remplacée par une nouvelle recommandation basée sur le MDVM : Container registry images should have vulnerability findings resolved (powered by Microsoft Defender Vulnerability Management)   

• Les recommandations actuelles concernant les conteneurs dans Defender for Containers seront renommées comme suit :

• • Container registry images should have vulnerability findings resolved (powered by Qualys)     
  • Running container images should have vulnerability findings resolved (powered by Qualys)     

• Defender for DevOps a étendu la couverture des annotations des Pull Request (PR) dans Azure DevOps pour inclure les mauvaises configurations de l'Infrastructure as Code (IaC) qui sont détectées dans Azure Resource Manager et les modèles Bicep.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Le reporting intégré dans Outlook sur le web prend en charge le reporting des messages provenant de boîtes aux lettres partagées ou d'autres boîtes aux lettres par un délégué.
  • Les boîtes aux lettres partagées requièrent l'autorisation d'envoyer en tant que ou d'envoyer au nom de l'utilisateur.
  • Les autres boîtes aux lettres requièrent l'autorisation d'envoyer en tant que ou d'envoyer au nom d'autrui, ainsi que les autorisations de lecture et de gestion pour le délégué.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Windows Autopatch.

Les fonctionnalités suivantes sont ajoutées :

• Public Preview de l’ajout d'une nouvelle fonctionnalité de santé et de remédiation des stratégies.
• Ajout des informations sur les groupes Autopatch.

Plus d’informations sur : What's new 2023 - Windows Deployment | Microsoft Learn

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

• Le mode performance de Microsoft Defender Antivirus est désormais disponible en Public Preview. Cette nouvelle fonctionnalité permet une analyse asynchrone sur un lecteur Dev et ne modifie pas le niveau de sécurité de votre lecteur système ou d'autres lecteurs.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

La version 253 apportent les changements suivants :

• Preview des stratégies générant des comportements ne génèrent plus d'alertes. À partir du 28 mai 2023, les stratégies qui génèrent des comportements dans l’Advanced Hunting de Microsoft 365 Defender ne génèrent pas d'alertes. Les stratégies continueront à générer des comportements, qu'elles soient activées ou désactivées dans la configuration du tenant.
• Applications non bloquables : Pour éviter que les utilisateurs ne provoquent accidentellement des temps d'arrêt, Defender for Cloud Apps vous empêche désormais de bloquer les services Microsoft critiques pour l'entreprise.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Gestion des périphériques

• Windows 365 Boot permet aux administrateurs de configurer les appareils physiques Windows 11 afin que les utilisateurs puissent :
  • Éviter de se connecter à leur appareil physique.
  • Se connecter directement à leur PC Windows 365 Cloud sur leur appareil physique.
• Une nouvelle option de stratégie de provisionnement vous permet de définir une nouvelle région ou un nouvel ANC pour la stratégie de provisionnement. Lorsque vous initiez le déplacement :
  • Tous les Cloud PCs de la stratégie de provisionnement qui ne correspondent plus à la région ou à l'ANC mis à jour seront arrêtés.
  • Tous ces Cloud PCs seront déplacés vers la nouvelle région ou le nouvel ANC.

Les déplacements peuvent prendre plusieurs heures. Les nouveaux Cloud PC créés par la politique de provisionnement seront créés dans la nouvelle région ou ANC.

• Le réseau géré RDP Shortpath est disponible pour Windows 365.
• Les points de restauration à la demande de Cloud PC et la copie vers un compte Azure Storage sont passés de l'aperçu à la disponibilité générale.

Expérience de l'utilisateur

• L'application Windows 365 prend désormais en charge le mode sombre. Les utilisateurs finaux ont la possibilité de configurer l'application Windows 365 en mode clair ou foncé, ou de l'adapter aux paramètres du système.

• Les utilisateurs peuvent désormais modifier les paramètres de plusieurs moniteurs dans l'application Windows 365.

Supervision et Dépannage

• Les administrateurs sont désormais alertés lorsqu'un Cloud PC entre dans le délai de grâce. Pour plus d'informations sur les délais de grâce, voir Device management overview for Cloud PCs.
• Un bouton "Provide feedback" est désormais disponible dans plusieurs pages d'administration de Windows 365 dans le centre d'administration Intune.

Documentation

• Une nouvelle documentation est disponible : Using Intune, install the Windows 365 app on physical devices.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La page Microsoft 365 Defender Identity > user details inclut désormais de nouvelles données de contrôle de compte Active Directory. Sur l'onglet Overview des détails de l'utilisateur, Microsoft a ajouté la nouvelle carte Contrôles de compte Active Directory pour mettre en évidence les paramètres de sécurité importants et les contrôles Active Directory. Par exemple, vous pouvez utiliser cette carte pour savoir si un utilisateur spécifique est capable de contourner les exigences de mot de passe ou a un mot de passe qui n'expire jamais.

• Nouvelle alerte de santé pour les échecs d'ingestion de données d'intégration VPN (radius).
• Nouvelle alerte de santé pour vérifier que l'audit des conteneurs ADFS est configuré correctement. Pour plus d'informations, voir les alertes de santé du capteur Microsoft Defender for Identity.
• La page Microsoft Defender 365 Identity comprend des mises à jour de l'interface utilisateur pour l'expérience du chemin de déplacement latéral (lateral movement). Aucune fonctionnalité n'a été modifiée. Pour plus d'informations, voir Comprendre et étudier les chemins de déplacement latéral (LMP) avec Microsoft Defender for Identity.
• L'onglet "Timeline" contient désormais des nouvelles fonctionnalités et améliorées ! Avec la chronologie mise à jour, vous pouvez désormais filtrer par type d'activité, par protocole et par lieu, en plus des filtres d'origine. Vous pouvez également exporter la chronologie vers un fichier CSV et trouver des informations supplémentaires sur les activités associées aux techniques MITRE ATT&CK.
• Le réglage des alertes est désormais disponible dans Microsoft 365 Defender, vous permet d'ajuster vos alertes et de les optimiser. L'ajustement des alertes réduit les faux positifs, permet à vos équipes SOC de se concentrer sur les alertes prioritaires et améliore la couverture de la détection des menaces dans l'ensemble de votre système.

• Les versions 2.203, et 2.204 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft vient de publier une mise à jour (2.2.1.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière mise à jour (2.2.1.0) apporte les éléments suivants :

• Microsoft a activé la mise à jour automatique pour les tenant ayant des règles de synchronisation personnalisées. Notez que les règles par défaut supprimées (non désactivées) seront recréées et activées lors de la mise à niveau automatique.
• Microsoft a ajouté le service Microsoft Azure AD Connect Agent Updater à l'installation.
• Microsoft a supprimé le programme Synchronization Service WebService Connector Config de l'installation.
• Microsoft a amélioré l'accessibilité.
• La déclaration de confidentialité de Microsoft est désormais accessible dans un plus grand nombre d'endroits.

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Azure Active Directory Connect

Microsoft vient de mettre à disposition une nouvelle version (1.2.4331) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Amélioration du redimensionnement de la barre de connexion, de sorte que le redimensionnement de la barre à sa largeur minimale ne fait pas disparaître ses boutons.
• Correction d'un problème de compatibilité des applications qui affectait les versions préliminaires de Windows.
• Déplacement de la méthode de vérification de l'identité du message de la fenêtre de verrouillage dans la barre de connexion vers la fin du message d'information sur la connexion.
• Modification du message d'erreur qui apparaît lorsque l'hôte de la session ne peut pas atteindre l'authentificateur pour valider les informations d'identification d'un utilisateur, afin de le rendre plus clair.
• Ajout d'un bouton de reconnexion aux boîtes de message de déconnexion qui s'affichent lorsque le PC local passe en mode veille ou que la session est verrouillée.
• Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Je vous propose un petit aperçu des nouveautés en avril 2023 autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, etc.).

On retrouve notamment :

Etiquettes de confidentialité (Sensitivity Labels)

• Disponibilité générale (GA) : Étiquette de confidentialité par défaut pour une bibliothèque de documents SharePoint
• Disponibilité générale (GA) : Outlook pour Mac affiche les couleurs des étiquettes
• Disponibilité générale (GA) : L'étiquetage intégré pour Windows prend en charge l'héritage des étiquettes à partir des pièces jointes aux courriels et est déployé sur Current Channel en tant que fonctionnalité de parité pour le complément AIP.
• Disponibilité générale (GA) : Appliquer la protection S/MIME en utilisant Outlook sur le web.
• Preview : Recherche d'informations sensibles dans les images avec prise en charge de la reconnaissance optique des caractères lorsque vous utilisez des stratégies d'étiquetage automatique pour Exchange.
• Changement de version pour le complément AIP désactivé par défaut : Pour le canal Entreprise mensuel uniquement, le complément AIP pour les applications Office est désactivé par défaut dans la version 2303. Pour le Canal Courant et le Canal Entreprise Semestriel, le complément AIP est toujours désactivé par défaut dans la version 2302.
• Avis de retrait du complément AIP pour les applications Office : Le complément AIP sera retiré en avril 2024. Bien que le complément reste en mode maintenance jusqu'à cette date, si vous ne l'avez pas encore fait, Microsoft vous encourage à migrer vers les étiquettes intégrées dans Office..

Prévention de fuite de données (DLP)

• Public Preview de la recherche d'informations sensibles dans les images grâce à la prise en charge de la reconnaissance optique de caractères.
• Public Preview permettant de sauvegarder d'une copie des éléments correspondant aux politiques DLP dans le stockage Azure

Gestion des enregistrements et de la rétention

• Public Preview permettant de rechercher des informations sensibles dans des images avec prise en charge de la reconnaissance optique de caractères lorsque vous utilisez des politiques d'étiquetage de conservation à application automatique.
• Public Preview : Les stratégies de rétention de l'étiquetage automatique pour les pièces jointes Cloud qui étaient déjà en Preview incluent maintenant les pièces jointes et les liens partagés dans Yammer.
• Public Preview : La prise en charge des unités administratives Azure Active Directory - pour la gestion du cycle de vie des données et la gestion des enregistrements - commence à être déployée.
• Public Preview : Vous pouvez désormais configurer de manière facultative l'approbation automatique lorsque vous configurez une étiquette de conservation pour l'examen du sort (disposition review)

Conformité des communications

• Mise à jour de la politique relative aux messages signalés par les utilisateurs.
• Nouveaux champs pour les rapports sur les détails des messages.
• Nouvelles conditions pour le modèle de politique de conformité réglementaire.

Gestion des risques internes

• Public Preview de la recherche des informations sensibles dans les images grâce à la prise en charge de la reconnaissance optique des caractères.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Les versions 250, 251 et 252 apportent les changements suivants :

• Preview d’un nouveau type de données "Behaviors" dans Microsoft 365 Defender advanced huntingv pour améliorer la protection contre les menaces et réduire la fatigue des alertes. Cette fonctionnalité vise à fournir des informations pertinentes pour les enquêtes en identifiant les anomalies ou autres activités qui peuvent être liées à des scénarios de sécurité, mais qui n'indiquent pas nécessairement une activité malveillante ou un incident de sécurité. Dans cette première phase, certaines détections d'anomalies de Microsoft Defender for Cloud App seront également présentées comme des comportements. Dans les phases ultérieures, ces détections généreront uniquement des comportements et non des alertes.
• Public Preview du connecteur de l'application Zoom pour la fonctionnalité SaaS Security Posture Management (SSPM)
• L'intégration de Microsoft Defender for Cloud Apps dans Microsoft 365 Defender est en GA
• L'option de redirection automatique est en disponibilité générale (GA). Les administrateurs peuvent utiliser cette option pour rediriger les utilisateurs du portail autonome Defender for Cloud Apps vers Microsoft 365 Defender.
• Les fonctionnalités présentées dans les pages suivantes sont entièrement intégrées dans Microsoft 365 Defender et n'ont donc pas leur propre expérience autonome dans Microsoft 365 Defender :
  • Settings > Azure AD Identity Protection
  • Settings > App Governance
  • Settings > Microsoft Defender for Identity

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Windows 365 Frontline est une nouvelle version de Windows 365 qui aide les organisations à réduire les coûts en fournissant une seule licence pour provisionner trois machines virtuelles Cloud PC. Pour chaque licence Windows 365 Frontline que vous achetez, vous pouvez provisionner trois Cloud PC différents qui ne peuvent pas être utilisés simultanément. Au lieu de cela, chaque utilisateur reçoit un PC cloud unique qu'il peut utiliser lorsque les deux autres utilisateurs de la même licence ne sont pas connectés à leurs PC cloud.
• Les clients disposant d'un accord d'entreprise direct actif peuvent désormais convertir des licences Windows 365 de niveau inférieur en licences de niveau supérieur.
• Les utilisateurs peuvent désormais activer la redirection de l'emplacement afin que leurs Cloud PCs utilisent leur emplacement géographique correct.

Provisionnement de périphériques

• Windows 365 Cloud PC prend désormais en charge les régions South Africa North et Sweden Central.:

Expérience de l'utilisateur

• Les utilisateurs du client web Windows 365 peuvent désormais utiliser des raccourcis clavier (comme Alt + Tab) sur leur Cloud PC. Ces raccourcis sont normalement interceptés par le système d'exploitation hôte et ne sont pas envoyés au Cloud PC.
• Les utilisateurs finaux peuvent désormais épingler leur Cloud PC à la barre des tâches de l'application Windows 365. Cela leur permet de lancer le Cloud PC à partir de l'icône de la barre des tâches sans passer par le centre de connexion.
• Vous avez désormais la possibilité d'utiliser le mode sombre sur windows365.microsoft.com.

Documentation

• Nouvel article de documentation : Performances relatives pour différentes tailles de Cloud PC

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Microsoft a introduit des changements avec l’intégration de Machine Learning pour réaliser des simulations plus efficaces dans le cadre de la simulation d'attaque et de la formation. Vous pouvez utiliser le taux de compromission prédit (PCR) intelligent et les recommandations de charges utiles de Microsoft Defender for Office 365 pour utiliser des charges utiles de haute qualité dans votre simulation.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Les nouvelles fonctionnalités Agentless Container Posture (Preview) sont disponibles dans le cadre du plan Defender CSPM (Cloud Security Posture Management). Agentless Container Posture permet aux équipes de sécurité d'identifier les risques de sécurité dans les domaines des conteneurs et de Kubernetes. Une approche sans agent permet aux équipes de sécurité d'obtenir une visibilité sur leurs registres Kubernetes et conteneurs à travers le SDLC et l'exécution, en supprimant les frictions et l'empreinte des charges de travail. Agentless Container Posture propose des évaluations de vulnérabilité des conteneurs qui, combinées à l'analyse du chemin d'attaque, permettent aux équipes de sécurité de prioriser et de zoomer sur des vulnérabilités de conteneurs spécifiques. Vous pouvez également utiliser l'explorateur de sécurité du cloud pour découvrir les risques et rechercher des informations sur la posture des conteneurs, telles que la découverte d'applications utilisant des images vulnérables ou exposées à Internet.
• Preview d’une recommandation sur le chiffrement unifié des disques. Les machines virtuelles Windows devraient activer Azure Disk Encryption ou EncryptionAtHost et les machines virtuelles Linux devraient activer Azure Disk Encryption ou EncryptionAtHost. Ces recommandations remplacent les recommandations suivantes Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, qui ont détecté Azure Disk Encryption, et la stratégie Virtual machines and virtual machine scale sets should have encryption at host enabled, qui a détecté EncryptionAtHost. ADE et EncryptionAtHost fournissent une couverture de chiffrement au repos comparable, et nous recommandons d'activer l'un d'entre eux sur chaque machine virtuelle. Les nouvelles recommandations détectent si ADE ou EncryptionAtHost sont activés et avertissent seulement si aucun des deux n'est activé. Microsoft avertit également si ADE est activé sur certains disques d'une VM, mais pas sur tous (cette condition ne s'applique pas à EncryptionAtHost). Les nouvelles recommandations requièrent Azure Automanage Machine Configuration.
• La recommandation Machines should be configured securely a été mise à jour. La mise à jour améliore les performances et la stabilité de la recommandation et aligne son expérience avec le comportement générique des recommandations de Defender for Cloud. Dans le cadre de cette mise à jour, l'ID de la recommandation a été changé de 181ac480-f7c4-544b-9865-11b8ffe87f47 à c476dc48-8110-4139-91af-c8d940896b98. Aucune action n'est requise de la part du client, et il n'y a pas d'effet attendu sur le score de sécurité.
• Les politiques de contrôle de la langue du service d'application suivantes ont été supprimées en raison de leur capacité à générer des faux négatifs et parce qu'elles n'offrent pas une meilleure sécurité. Vous devez toujours vous assurer que vous utilisez une version de la langue qui ne présente aucune vulnérabilité connue.
  • App Service apps that use Java should use the latest 'Java version'
  • App Service apps that use Python should use the latest 'Python version'
  • Function apps that use Java should use the latest 'Java version'
  • Function apps that use Python should use the latest 'Python version'
  • App Service apps that use PHP should use the latest 'PHP version'
• Defender for Resource Manager a la nouvelle alerte suivante : PREVIEW - Suspicious creation of compute resources detected (ARM_SuspiciousComputeCreation). Microsoft Defender for Resource Manager a identifié une création suspecte de ressources informatiques dans votre abonnement utilisant Virtual Machines/Azure Scale Set. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements en déployant de nouvelles ressources en cas de besoin. Bien que cette activité puisse être légitime, un acteur menaçant pourrait utiliser ces opérations pour effectuer du minage de crypto-monnaie. L'activité est jugée suspecte car l'échelle des ressources informatiques est plus élevée que celle observée précédemment dans l'abonnement. Cela peut indiquer que le donneur d'ordre est compromis et qu'il est utilisé à des fins malveillantes.
• Les trois alertes suivantes pour le plan Defender for Resource Manager ont été supprimées :
  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
• L'exportation automatique des alertes vers l'espace de travail Log Analytics a été supprimée. Cela provoque un comportement indéterministe et Microsoft a donc supprimé cette fonctionnalité. À la place, vous pouvez exporter vos alertes de sécurité vers un espace de travail Log Analytics dédié avec Continuous Export. Si vous avez déjà configuré l'exportation continue de vos alertes vers un espace de travail Log Analytics, aucune autre action n'est requise.
• Microsoft a ajouté quatre nouvelles recommandations relatives à l'authentification Azure Active Directory pour Azure Data Services.
  • Azure SQL Managed Instance should have Azure Active Directory Only Authentication enabled
  • Synapse Workspaces should use only Azure Active Directory identities for authentication
  • An Azure Active Directory administrator should be provisioned for MySQL servers
  • An Azure Active Directory administrator should be provisioned for PostgreSQL servers

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft vient de publier la version 2.15.33.0 du client Azure Information Protection Unified Labeling.

La version 2.15.33.0 du client AIP Unified Labeling comprend les changements suivants :

• À partir de la version 2.15.33.0, les clients de l'UE peuvent envoyer des données du client UL de l'AIP vers l'UE à des fins de stockage et de traitement. Pour activer le paramètre de délimitation des données de l'UE, configurez cette clé de registre.
• Cette version du client et du scanner apporte les corrections et améliorations suivantes :
  • Outlook prend en charge les modèles de chiffrement à double clé (DKE).
  • Mise à jour vers MIP SDK 1.12.101 pour les services de classification, d'étiquetage et de protection.

Télécharger Microsoft Azure Information Protection

Je vous propose un petit aperçu des nouveautés en mars 2023 autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, etc.).

On retrouve notamment :

Général

• Preview de la visibilité de la configuration des appareils et l'état de synchronisation des politiques dans la liste des appareils inscrits pour les périphériques Windows 10/11 et macOS.

Etiquettes de confidentialité (Sensitivity Labels)

• Le complément AIP désactivé par défaut : Le complément AIP pour les applications Office est désactivé par défaut avec la version 2302. À partir de cette version, vous devez configurer un paramètre Office si vous souhaitez continuer à utiliser le complément Azure Information Protection (AIP) plutôt que les étiquettes intégrées aux applications Office.
• Disponibilité générale (GA) : Pour Windows, la barre de confidentialité et les couleurs des étiquettes sont désormais disponibles pour Word, Excel, PowerPoint et Outlook.
• Disponibilité générale (DG) : Outlook pour Windows et Outlook pour Mac proposent tous deux en disponibilité générale les réunions protégées.
• Disponibilité générale (AG) : La prise en charge d'une sous-étiquette par défaut pour une étiquette parent est désormais disponible pour l'étiquetage intégré pour Windows, en tant que fonctionnalité de parité pour le complément AIP.
• Disponibilité générale (GA) : Pour l'étiquetage intégré à Windows, macOS, iOS et Android, les actions d'audit pour les étiquettes de confidentialité incluent des détails de chiffrement tels qu'un changement dans l'état et les paramètres de chiffrement, ainsi que le propriétaire de la gestion des droits.
• Preview : La possibilité d'étendre les étiquettes aux fichiers et aux courriels, de sorte que, par exemple, une étiquette de confidentialité est visible pour les utilisateurs dans Outlook, mais pas dans Word, Excel ou PowerPoint. Cette configuration peut être utilisée comme une fonction de parité pour le complément AIP, qui pourrait être désactivé par application.
• Preview: Empêcher le partage excessif des courriels étiquetés en tant qu'astuce de politique DLP. Cette configuration de politique DLP est un équivalent du complément AIP avec des paramètres avancés PowerShell qui implémentent des messages pop-up dans Outlook qui avertissent, justifient ou bloquent l'envoi de courriels.
• Preview: En tant que fonctionnalité de parité pour le complément AIP, l'étiquetage intégré pour Windows prend en charge l'héritage d'étiquettes à partir des pièces jointes aux courriels.
• Preview: Les versions de prévisualisation d'Outlook pour Mac prennent désormais en charge les couleurs des étiquettes, mais ne prennent pas encore en charge la barre de confidentialité.
• Preview: Pour l'étiquetage obligatoire, Outlook pour Android dans le canal bêta prend en charge un paramètre que vous pouvez configurer avec Microsoft Intune pour inviter les utilisateurs à sélectionner une étiquette de confidentialité lorsqu'ils composent un e-mail pour la première fois au lieu de l'envoyer.
• Preview: Maintenant déployé en avant-première à SharePoint et Teams, les utilisateurs peuvent sélectionner et modifier une étiquette de confidentialité à partir du panneau de détails de ces applications lorsque les étiquettes de confidentialité sont activées pour les fichiers Office dans SharePoint et OneDrive.
• Suppression des restrictions empêchant la copie du chat pour les réunions protégées : Le paramètre d'étiquette qui empêche la copie des discussions dans le presse-papiers prend désormais en charge les utilisateurs extérieurs à votre organisation ainsi que les utilisateurs qui se joignent à une discussion mais n'ont pas été invités à la réunion.
• Possibilité de désactiver l'étiquette de confidentialité par défaut pour les bibliothèques de documents SharePoint : Si vous ne souhaitez pas que les administrateurs de sites SharePoint puissent configurer une étiquette de confidentialité par défaut pour les bibliothèques de documents SharePoint, vous pouvez désormais désactiver cette fonctionnalité en tant que paramètre au niveau du tenant.

Prévention de fuite de données (DLP)

• Disponibilité générale (GA) de l’extension Microsoft PurView pour Firefox.
• En Preview :
  • Endpoint DLP Aggregated most restrictive actions applied to endpoints (Actions les plus restrictives appliquées aux terminaux)
  • Protection juste à temps pour les terminaux et les partages réseau
  • Affichage des conditions remplies lorsqu'un élément correspond à une politique
  • Les politiques DLP des terminaux peuvent être appliquées aux partages de réseau
  • Prise en charge des politiques DLP pour les postes de travail virtuels Azure, Citrix Virtual Apps and Desktops 7, Amazon virtual workspaces et les environnements Hyper-v.
  • Affichage des conseils en matière de politique dans une fenêtre contextuelle de partage excessif

Gestion des enregistrements et de la rétention

• Déploiement en disponibilité générale des API de gestion des enregistrements Microsoft Graph pour prendre en charge la gestion des étiquettes de conservation et la conservation basée sur les événements.
• Public Preview : Les politiques de rétention de l'étiquetage automatique pour les pièces jointes dans le Cloud qui étaient déjà en Public Preview sont maintenant progressivement déployées pour prendre en charge les liens texte URL.
• Améliorations pour les politiques de rétention des Teams : La prise en charge des enregistrements de données d'appel existants et des enregistrements de données d'appel nouvellement créés, ainsi que la prise en charge des événements de message de contrôle qui nomment et renomment un chat, sont désormais disponibles.
• Améliorations qui prennent en charge les flux Power Automate : Les actions de conformité Power Automate existantes ont été renommées afin de décrire plus précisément leur objectif. Appliquer une étiquette sur l'élément est renommé Étiqueter un élément à la fin de la période de conservation, et Supprimer l'élément est renommé Supprimer un élément à la fin de la période de conservation. En outre :
  • Nouvelle action de conformité pour améliorer la résilience de votre flux.
  • L'action de déclenchement Lorsque la période de rétention expire est renommée Lorsqu'un élément atteint la fin de sa période de rétention.
  • Nouvelle action de conformité Appliquer une étiquette de conservation sur l'élément pour appliquer une étiquette de conservation indépendamment de ce scénario, comme si vous appliquiez manuellement une étiquette. L'étiquette n'a pas besoin d'être publiée et l'étiquette de conservation est appliquée immédiatement. Tout comme l'application manuelle d'une étiquette de conservation, une étiquette de conservation existante sera écrasée.

Gestion des risques internes

• Disponibilité Générale de Forensic Evidence :
  • Spécifier les sites Web ou les applications de bureau à inclure ou à exclure lorsque vous créez une politique.
  • Visualiser et explorer une liste de clips capturés et filtrer la liste pour trouver uniquement les informations dont vous avez besoin.
  • Acheter/analyser la capacité des clips capturés et/ou souscrire à une capacité d'essai de 20 Go.
• Nouvel article : Ajout d'un article qui résume les principes de protection de la vie privée pour la gestion des risques d'initiés.
• Clarification concernant l'ajout de "webhook.ingestion.office.com" à la liste d'autorisations lors de la configuration d'un connecteur pour l'importation de données RH.
• Clarification sur la période de détection des activités passées pour les activités de messagerie (par opposition aux activités d'audit).
• Clarification sur la durée de rétention des rapports d'activités des utilisateurs.

Information Barriers

• Nouvel article : Ajout d'un nouvel article pour supporter le nouveau mode multi-segments dans les barrières d'information. Le mode multi-segments vous permet d'assigner les utilisateurs de votre organisation à un maximum de 10 segments dans les barrières d'information au lieu d'être limité à un seul segment. Cela permet de prendre en charge des règles de communication plus diverses entre les individus et les groupes afin de soutenir des scénarios organisationnels et opérationnels plus complexes.
• Clarifications concernant les comptes d'utilisateurs cachés/désactivés/invités et le paramètre HiddenFromAddressListEnabled (Caché à partir de la liste d'adresses activée).
• Mises à jour pour l'application de la politique sur les barrières d'information et le processeur d'arrière-plan dans Microsoft Teams.

Audit et Advanced eDiscovery

• Mises à jour des valeurs des schémas UserKey et UserType pour répondre aux scénarios d'énumération des enregistrements d'audit générés par les utilisateurs invités et pour supprimer l'ambiguïté des données acceptées.
• Mises à jour pour les enregistrements de recherche d'audit et les activités liées à Microsoft Defender for Identity (MDI).
• Mises à jour pour les nouveaux champs du journal d'audit ajoutés pour prendre en charge Microsoft Information Protection.
• Mises à jour de l'ensemble du contenu d'audit pour la prise en charge de la nouvelle UTC dans les solutions d'audit.
• Mises à jour de tous les événements enregistrés dans le journal d'audit pour les activités de Updates app dans Teams.
• Mises à jour des valeurs de type de retenue dans les journaux de diagnostic de la boîte aux lettres.
• Clarifications concernant la prise en charge des messages d'auto-chat dans la recherche de contenu dans Microsoft Teams.
• Mises à jour pour la nouvelle fonction Add Notes dans la visualisation des ensembles de révision et mises à jour pour l'expérience de l'utilisateur de l'ensemble de révision.
• Clarification concernant l'exigence d'un type d'information sensible personnalisé pour utiliser un GUID pour la recherche dans eDiscovery.
• Clarification concernant l'exclusion d'éléments partiellement indexés en utilisant une plage de dates dans une requête de recherche.
• Nouvelle section clarifiant le fait que seuls les types d'informations sensibles par défaut de Microsoft peuvent être recherchés par leur nom, avec un nouvel exemple.
• Nouvelle mise à jour pour les limites de visualisation et de pagination des jeux de révision.

Communication Compliance

• Nouvel article : Ajout d'un article comprenant une liste de bonnes pratiques pour aider à réduire le "bruit" des alertes
• Nouvel article : Ajout d'un article résumant les principes de confidentialité pour la conformité des communications.
• Clarification de la fonction Filtrer les envois d'e-mails et de la raison pour laquelle le rapport peut inclure des expéditeurs inattendus.
• Clarification sur le fait que la vue Traduction inclut les messages associés à la vue Conversation.

Microsoft Priva

• Clarifications sur les trois paramètres de fréquence des notifications par courriel pour les politiques et sur le moment où les courriels sont envoyés.
• Les demandes de droits des personnes concernées affichent désormais un nombre d'éléments d'enregistrement avec des étiquettes de conservation comme éléments prioritaires à examiner, ce qui signifie qu'ils ne peuvent pas être traités par le flux de travail de suppression.
• La page des rapports sur les demandes de droits des sujets précise que les demandes de suppression ont leur propre rapport, le rapport du journal d'exécution de l'action.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Un nouveau plan Defender for Storage est disponible, comprenant l'analyse des logiciels malveillants en temps quasi réel et la détection des menaces pour les données sensibles. Le stockage Cloud joue un rôle clé dans l'organisation et stocke de grands volumes de données précieuses et sensibles. Microsoft annonce un nouveau plan Defender for Storage. Si vous utilisez le plan précédent (maintenant renommé "Defender for Storage (classic)"), vous devrez migrer proactivement vers le nouveau planv afin d'utiliser les nouvelles fonctionnalités et les nouveaux avantages. Le nouveau plan comprend des fonctionnalités de sécurité avancées pour aider à protéger contre les téléchargements de fichiers malveillants, l'exfiltration de données sensibles et la corruption de données. Il propose également une structure tarifaire plus prévisible et plus souple pour un meilleur contrôle de la couverture et des coûts. Les nouvelles fonctionnalités du nouveau plan sont désormais disponibles en Public Preview :
  • Détection des événements d'exposition et d'exfiltration de données sensibles
  • Analyse en temps quasi réel des logiciels malveillants de type "blob on-upload" dans tous les types de fichiers
  • Détection d'entités sans identité à l'aide de jetons SAS
• Public Preview d’une posture de sécurité basée sur la connaissance des données. Microsoft Defender for Cloud aide les équipes de sécurité à être plus productives dans la réduction des risques et la réponse aux violations de données dans le cloud. Il leur permet de s'affranchir du bruit grâce au contexte des données et de hiérarchiser les risques de sécurité les plus critiques, afin d'éviter une violation de données coûteuse.
  • Découvrir automatiquement les ressources de données dans l'environnement cloud et évaluer leur accessibilité, la sensibilité des données et les flux de données configurés. -Découvrir en permanence les risques de violation des ressources de données sensibles, l'exposition ou les voies d'attaque qui pourraient mener à une ressource de données à l'aide d'une technique de déplacement latéral.
  • Détecter les activités suspectes qui peuvent indiquer une menace permanente pour les ressources de données sensibles.
• Amélioration de l'expérience de gestion des politiques de sécurité Azure par défaut
  • Une interface simple permet de meilleures performances et moins de sélection lors de la gestion des politiques de sécurité par défaut dans Defender for Cloud, y compris l'activation/désactivation, le refus, la définition des paramètres et la gestion des exemptions.
  • Une vue unique de toutes les recommandations de sécurité intégrées offertes par le Microsoft cloud security benchmark (anciennement Azure security benchmark). Les recommandations sont organisées en groupes logiques, ce qui facilite la compréhension des types de ressources couvertes et la relation entre les paramètres et les recommandations.
  • De nouvelles fonctionnalités telles que les filtres et la recherche ont été ajoutées.
• Disponibilité Générale de Defender CSPM (Cloud Security Posture Management) offrant tous les services disponibles dans le cadre des capacités CSPM fondamentales et ajoute les avantages suivants :
  • Analyse des chemins d'attaque et ARG API - L'analyse des chemins d'attaque utilise un algorithme basé sur un graphe qui analyse le graphe de sécurité du cloud pour exposer les chemins d'attaque et suggère des recommandations sur la meilleure façon de remédier aux problèmes qui interrompent le chemin d'attaque et empêchent une violation réussie. Vous pouvez également utiliser les chemins d'attaque de manière programmatique en interrogeant l'API Azure Resource Graph (ARG).
  • Cloud Security explorer pour exécuter des requêtes basées sur le graphique de sécurité du cloud, afin d'identifier de manière proactive les risques de sécurité dans vos environnements multicloud. En savoir plus sur l'explorateur de sécurité dans le nuage.
• Microsoft Defender for Cloud offre la possibilité de créer des recommandations et des normes personnalisées pour AWS et GCP à l'aide de requêtes KQL. Vous pouvez utiliser un éditeur de requêtes pour construire et tester des requêtes sur vos données. Cette fonctionnalité fait partie du plan Defender CSPM (Cloud Security Posture Management).
• Microsoft Defender for Cloud annonce que la version 1.0 du Microsoft cloud security benchmark (MCSB) est maintenant disponible (GA). La version 1.0 du MCSB remplace la version 3 de l'Azure Security Benchmark (ASB) en tant que politique de sécurité par défaut de Microsoft Defender for Cloud pour identifier les vulnérabilités de sécurité dans vos environnements cloud conformément aux cadres de sécurité communs et aux meilleures pratiques. MCSB version 1.0 apparaît comme la norme de conformité par défaut dans le tableau de bord de conformité et est activée par défaut pour tous les clients de Defender for Cloud.
• Nouvelle recommandation pour Azure SQL Server, le mode d'authentification d'Azure SQL Server devrait être Azure Active Directory Only (Preview). Cette recommandation désactive les méthodes d'authentification locales et autorise uniquement l'authentification Azure Active Directory, ce qui améliore la sécurité en garantissant que les bases de données Azure SQL ne sont accessibles qu'aux identités Azure Active Directory. 
• Nouvelle alerte dans Defender for Key Vault : Denied access from a suspicious IP to a key vault (KV_SuspiciousIPAccessDenied). Une tentative d'accès au coffre-fort des clés a été effectuée par une adresse IP qui a été identifiée par Microsoft Threat Intelligence comme une adresse IP suspecte. Bien que cette tentative ait échoué, elle indique que votre infrastructure pourrait avoir été compromise. Nous vous recommandons de poursuivre vos investigations.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• (Preview) Vous pouvez désormais intégrer les indicateurs de compromission (IOC) générés par Microsoft Defender Threat Intelligence (MDTI) dans Microsoft Sentinel grâce au connecteur de données Microsoft Defender Threat Intelligence.
• Preview de la solution Microsoft Defender Threat Intelligence correspondant à une collection de playbooks pour enrichir les entités (domaines, hôtes et IP) associées aux incidents Microsoft Sentinel. L'enrichissement utilise les données complètes de Threat Intelligence (TI) pour ajouter un score de risque, des étiquettes utiles, des informations d'analyste et des liens vers des articles de TI publiés. Qu'est-ce qui rend les données TI si complètes et si convaincantes ? Outre les ensembles de données TI traditionnels (DNS, reverse DNS, WHOIS, certificats SSL et sous-domaines), l'enrichissement MDTI utilise des ensembles de données TI avancés tels que les trackers, les composants Web, les paires d'hôtes et les cookies.

L'activation de cette solution permet à votre équipe de sécurité d'atteindre les objectifs suivants :

• accélérer les enquêtes
• accroître la visibilité
• répondre plus efficacement aux menaces
• maximiser l'impact de la réponse existante aux incidents de sécurité

• Preview de Microsoft Sentinel Solution for SAP® BTP : La solution Microsoft Sentinel pour SAP BTP surveille et protège votre système SAP Business Technology Platform (BTP) en collectant les audits et les journaux d'activité de l'infrastructure BTP et des applications basées sur BTP, et en détectant les menaces, les activités suspectes, les activités illégitimes, etc.
• (Preview) Vous pouvez désormais utiliser la solution Microsoft Sentinel pour les applications SAP® sur plusieurs espaces de travail dans différents scénarios. Cette fonctionnalité améliore la flexibilité pour les MSSP ou un SOC global ou fédéré, les exigences de résidence des données, la hiérarchie organisationnelle/la conception informatique, et un contrôle d'accès basé sur les rôles (RBAC) insuffisant dans un seul espace de travail. Un cas d'utilisation courant est le besoin de collaboration entre le centre d'opérations de sécurité (SOC) et les équipes SAP de l’entreprise.
• (Preview) Pour sécuriser le système SAP, SAP a identifié des paramètres liés à la sécurité dont il faut surveiller les modifications. Avec la règle d'analyse "SAP - (Preview) Sensitive Static Parameter has Changed", la solution Microsoft Sentinel pour les applications SAP® suit plus de 52 paramètres liés à la sécurité dans le système SAP et déclenche une alerte lorsque ces paramètres ne sont pas modifiés conformément à la politique.
• (Preview) Vous pouvez désormais diffuser les données des journaux d'audit de Google Cloud Platform (GCP) dans Microsoft Sentinel à l'aide du connecteur GCP Pub/Sub Audit Logs, basé sur notre plateforme Codeless Connector Platform (CCP). Le nouveau connecteur ingère les journaux de votre environnement GCP à l'aide de la fonctionnalité GCP Pub/Sub.
• Vous pouvez désormais activer les mises à jour automatiques pour l'agent du connecteur de données SAP. Vous pouvez choisir d'appliquer les mises à jour automatiques à tous les conteneurs existants ou à un conteneur spécifique.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Azure Active Directory, Permissions Management, etc.) en mars 2023.

Microsoft apporte les nouveautés suivantes :

Azure Active Directory

• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Acunetix 360
  • Akamai Enterprise Application Access
  • Ardoq
  • Torii
• Disponibilité Générale des méthodes d’authentification convergées permettant de gérer toutes les méthodes d'authentification utilisées pour MFA et SSPR dans une seule stratégies, de migrer hors des politiques MFA et SSPR existantes et de cibler les méthodes d'authentification sur des groupes d'utilisateurs au lieu de les activer pour tous les utilisateurs de votre tenant.
• Disponibilité Générale des Workbooks Provisioning Insights facilitant l'analyse et la compréhension de vos flux de travail de provisionnement dans un tenant donné. Cela inclut le provisionnement basé sur les solutions RH, la synchronisation dans le cloud, le provisionnement d'applications et la synchronisation entre tenant. Voici quelques questions clés auxquelles ce classeur peut aider à répondre :
  • Combien d'identités ont été synchronisées dans une période donnée ?
  • Combien d'opérations de création, de suppression, de mise à jour ou autres ont été effectuées ?
  • Combien d'opérations ont réussi, ont été ignorées ou ont échoué ?
  • Quelles sont les identités qui ont échoué ? Et à quelle étape ont-elles échoué ?
  • Pour un utilisateur donné, quels sont les locataires/applications pour lesquels il a été provisionné ou déprovisionné ?
• Public Preview de la nouvelle expériences My Groups sur https://www.myaccount.microsoft.com/groups. My Groups permet aux utilisateurs finaux de gérer facilement les groupes, notamment de trouver des groupes à rejoindre, de gérer les groupes qu'ils possèdent et de gérer les adhésions à des groupes existants. Basée sur les commentaires des clients, la nouvelle expérience My Groups prend en charge le tri et le filtrage des listes de groupes et de membres de groupes, une liste complète des membres de groupes dans les grands groupes et une page d'aperçu exploitable pour les demandes d'adhésion. Cette expérience remplacera l'expérience "My Groups" existante à l'adresse https://www.mygroups.microsoft.com en mai.
• Public preview permettant de personnaliser les jetons avec des fournisseurs de réclamations personnalisés. Un fournisseur de réclamations personnalisées vous permet d'appeler une API et de mapper des réclamations personnalisées dans le jeton pendant le flux d'authentification. L'appel à l'API est effectué une fois que l'utilisateur a relevé tous les défis d'authentification et qu'un jeton est sur le point d'être délivré à l'application.
• Les paramètres du Cloud Microsoft vous permettent de collaborer avec des organisations issues de différents Cloud Microsoft Azure. Avec les paramètres des Cloud Microsoft, vous pouvez établir une collaboration B2B mutuelle entre les Cloud suivants :
  • Microsoft Azure commercial et Microsoft Azure Government
  • Microsoft Azure commercial et Microsoft Azure China 21Vianet

Microsoft Entra Workload Identity

• Disponibilité Générale de Workload Identity Federation permettant aux développeurs d'utiliser des identités gérées pour leurs applications exécutées n'importe où et d'accéder aux ressources Azure sans avoir besoin de secrets. Les scénarios clés sont les suivants :
  • Accès aux ressources Azure à partir de pods Kubernetes exécutés dans n'importe quel cloud ou sur site.
  • Des flux de travail GitHub pour déployer vers Azure, sans secrets nécessaires
  • Accès aux ressources Azure à partir d'autres plateformes cloud prenant en charge l'OIDC, telles que Google Cloud Platform.

Microsoft Entra Verified ID

• L'API d'administration prend désormais en charge les jetons d'accès aux applications, en plus des jetons de porteur d'utilisateur.
• Introduction de la galerie des services de partenaires d'Entra Verified ID listant les partenaires de confiance qui peuvent aider à accélérer votre implémentation d'Entra Verified ID.
• Amélioration de l'expérience d'accueil de l'administrateur dans le portail d'administration basée sur les commentaires des clients.
• Mises à jour des échantillons dans github montrant comment afficher dynamiquement les réclamations VC.

Modifications de service:

• La fonctionnalité de correspondance des numéros de l'application Microsoft Authenticator est disponible depuis novembre 2022. Microsoft a précédemment annoncé qu’il supprimerait les contrôles d'administration et que qu’ils appliqueraient l'expérience de correspondance des numéros à l'échelle du tenant pour tous les utilisateurs des notifications push de Microsoft Authenticator à partir du 27 février 2023. Après avoir écouté les clients, Microsoft a prolongé la disponibilité des contrôles de déploiement pour quelques semaines supplémentaires. Les organisations peuvent continuer à utiliser les contrôles de déploiement existants jusqu'au 8 mai 2023 pour déployer la correspondance des numéros dans leurs entreprises. Les services Microsoft commenceront à appliquer l'expérience de correspondance des numéros pour tous les utilisateurs des notifications push de Microsoft Authenticator après le 8 mai 2023. Microsoft supprimera également les contrôles de déploiement pour la correspondance des numéros après cette date.
• Microsoft a annoncé précédemment son intention d'apporter le support IPv6 à Microsoft Azure Active Directory (Azure AD), permettant ainsi aux clients d'accéder aux services Azure AD via IPv4, IPv6 ou des points de terminaison à double pile. Microsoft rappelle l’introduction de la prise en charge d'IPv6 dans les services Azure AD selon une approche progressive à la fin du mois de mars 2023. Si vous utilisez l'accès conditionnel ou la protection de l'identité et que l'IPv6 est activé sur l'un de vos appareils, vous devez probablement prendre des mesures pour éviter tout impact sur vos utilisateurs. Pour la plupart des clients, IPv4 ne disparaîtra pas complètement de leur paysage numérique, c'est pourquoi Microsoft prévoit de ne pas d'exiger IPv6 ou de donner la priorité à IPv4 dans les fonctions ou services Azure AD. Microsoft continuera à partager des conseils supplémentaires sur l'activation d'IPv6 dans Azure AD sur ce lien : IPv6 support in Azure Active Directory.
• À partir de juillet 2023, Microsoft modernise les expériences des utilisateurs finaux des conditions d'utilisation suivantes avec un visualiseur PDF mis à jour, et Microsoft déplace les expériences de https://account.activedirectory.windowsazure.com à https://myaccount.microsoft.com :
  • Afficher les conditions d'utilisation précédemment acceptées.
  • Accepter ou refuser les conditions d'utilisation dans le cadre du processus de connexion.
  • Aucune fonctionnalité ne sera supprimée. La nouvelle visionneuse PDF ajoute des fonctionnalités et les changements visuels limités dans les expériences des utilisateurs finaux seront communiqués dans une prochaine mise à jour. Si votre organisation n'a autorisé que certains domaines, vous devez vous assurer que votre liste d'autorisation inclut les domaines "myaccount.microsoft.com" et "*.myaccount.microsoft.com" pour que les conditions d'utilisation continuent à fonctionner comme prévu.

Plus d’informations sur : What’s new Azure AD et What's new for Microsoft Entra Verified ID

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Les versions 248, et 249 apportent les changements suivants :

• Temps de chargement plus rapide pour les sessions protégées : Microsoft a apporté des améliorations significatives au temps de chargement des pages web protégées par des règles de session. Les utilisateurs finaux soumis à des règles de session, qu'ils soient sur un ordinateur de bureau ou un appareil mobile, peuvent désormais profiter d'une expérience de navigation plus rapide et plus transparente. Microsoft a constaté une amélioration de 10 à 40 %, en fonction de l'application, du réseau et de la complexité de la page web.
• Le connecteur Defender for Cloud Apps pour ServiceNow prend désormais en charge la version Tokyo de ServiceNow. Avec cette mise à jour, vous pouvez protéger les dernières versions de ServiceNow en utilisant Defender for Cloud Apps.
• Preview Une nouvelle bascule de redirection automatique vous permettra de déclencher la redirection automatique de Microsoft Defender for Cloud Apps vers Microsoft 365 Defender. Une fois le paramètre de redirection activé, les utilisateurs accédant au portail Microsoft Defender for Cloud Apps seront automatiquement redirigés vers le portail Microsoft 365 Defender. La valeur par défaut de la bascule est définie sur Désactivé, et les administrateurs devront explicitement opter pour la redirection automatique et commencer à utiliser exclusivement Microsoft 365 Defender. Vous avez toujours la possibilité de vous retirer des expériences Microsoft 365 Defender et d'utiliser Microsoft Defender for Cloud Apps standalone portal. Pour ce faire, il suffit de désactiver la bascule. Pour plus d'informations, voir Redirecting accounts from Microsoft Defender for Cloud Apps to Microsoft 365 Defender.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

• La prise en charge des scénarios de licences mixtes est maintenant en Public Preview ! Jusqu'à récemment, les scénarios de licences mixtes n'étaient pas pris en charge ; en cas d'abonnements multiples, l'abonnement fonctionnel le plus élevé avait la priorité pour votre tenant. Ces fonctionnalités vous permettent de :
  • Configurer votre tenant en mode mixte et étiqueter les périphériques pour déterminer quels appareils clients recevront les fonctionnalités et capacités de chaque plan (Microsoft appelle cette option mode mixte) ; OU,
  • d'utiliser les fonctionnalités et capacités d'un plan sur tous les périphériques clients.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Les étiquettes FQDN aident les clients à simplifier la création et la maintenance des règles nécessaires pour le trafic réseau sortant via les pare-feu Azure.

Provisionnement de périphériques

• Vous pouvez désormais créer un modèle pour créer automatiquement des noms uniques pour les nouveaux Cloud PCs.

Gestion des périphériques

• Vous pouvez désormais créer des points de restauration de PC cloud à la demande et les copier sur un compte Azure Storage. Pour plus d'informations, voir Create on-demand manual restore points for Cloud PCs et Share Cloud PC restore points to an Azure Storage Account.

Supervision et Dépannage

• Les autorisations requises pour la modification, la création et la suppression des opérations de connexion au réseau Azure (ANC) et de réessai du bilan de santé ont changé : vous devez désormais disposer des autorisations Intune Administrator, Windows 365 Administrator ou Global Administrator.

Gouvernement

• Vous pouvez utiliser le client web windows365.microsoft.com pour transférer des fichiers vers et depuis votre PC Windows 365 Gov Cloud.
• Les utilisateurs de Windows 365 Gov Cloud PC peuvent désormais choisir une résolution d'écran plus élevée lorsqu'ils se connectent à leur Cloud PC depuis https://windows365.microsoft.com.
• Windows 365 Enterprise a été évalué par un auditeur agréé par FedRAMP pour répondre aux exigences de FedRAMP dans les centres de données situés sur le territoire continental des États-Unis.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Sécurité de la collaboration pour Microsoft Teams : Avec l'utilisation accrue d'outils de collaboration tels que Microsoft Teams, la possibilité d'attaques malveillantes utilisant des URL et des messages a également augmenté. Microsoft Defender for Office 365 étend sa protection Safelinks avec des capacités accrues pour la purge automatique en zéro heure (ZAP), la quarantaine et le signalement par l'utilisateur final de messages potentiellement malveillants à leurs administrateurs. Parmi les fonctionnalités, on retrouve :
  • Signaler les messages et les fichiers suspects aux administrateurs et à Microsoft (facultatif)
  • Zero-Hour Auto Purge (ZAP)
  • Quarantine

Pour plus d'informations, voir la prise en charge de Microsoft Teams par Microsoft Defender for Office 365 (Preview).

• Protection intégrée : Protection des liens sécurisés au moment du clic activée pour le courrier électronique : Microsoft protège désormais par défaut les URL dans les messages électroniques au moment du clic dans le cadre de cette mise à jour des paramètres Safe Links (EnableSafeLinksForEmail) au sein de la stratégie de sécurité prédéfinie Protection intégrée. Pour en savoir plus sur les protections spécifiques des liens sécurisés dans la politique de protection intégrée, voir Paramètres de la politique des liens sécurisés.
• Notifications de mise en quarantaine activées dans les règles de sécurité prédéfinies : Si votre entreprise a activé ou va activer les politiques de sécurité prédéfinies Standard ou Strict, celles-ci seront automatiquement mises à jour pour utiliser la nouvelle politique de quarantaine DefaultFullAccessWithNotificationPolicy (notifications activées) partout où la politique DefaultFullAccessPolicy (notifications désactivées) était utilisée. Pour en savoir plus sur les notifications de quarantaine, voir Notifications de quarantaine. Pour plus d'informations sur les paramètres spécifiques des stratégies de sécurité prédéfinies, voir Microsoft recommendations for EOP and Defender for Office 365 security settings.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs