Avec les récentes nouveautés autour de Microsoft Intune, il est primordial de se tenir informer des avancées. Microsoft organise pour cela un événement Tech Community Live le 20 mars prochain qui abordera notamment :

• Securely manage macOS with Intune de 15h30 à 16h30 (Heure Française)
• Windows management with Intune de 16h30 à 17h30 (Heure Française)
• Enterprise App Management, Advanced Analytics in Intune Suite de 17h30 à 18h30 (Heure Française)
• Microsoft Cloud PKI in Intune Suite de 18h30 à 19h30 (Heure Française)

Source : Tech Community Live: Microsoft Intune – RSVP now | Microsoft Intune Blog

Ceci est une bonne nouvelle pour toutes les personnes qui passent des certifications Microsoft puisqu’à partir de ce jour, l’interface a été revue afin d’offrir un aspect et une sensation plus rationalisés, de l'introduction au rapport de score.

Les points forts de cette nouvelle interface utilisateur sont les suivants :

• La possibilité d'activer et de désactiver l'horloge de l'examen.
• Une barre d'outils de menu d'examen extensible sur le côté de l'écran, offrant plus d'espace pour la question et minimisant le défilement.
• Un nouveau menu déroulant d'outils, comprenant
  • Les détails de la question d'examen, offrant un décompte rapide des questions répondues, non répondues, marquées pour révision et marquées pour commentaire.
  • La progression de l'examen, qui offre un indicateur visuel de la partie de l'examen que vous avez terminée et de celle qu'il vous reste à faire.
• Une conception qui minimise le défilement vertical et horizontal.
• Un placement plus logique des cases "Réviser plus tard" et "Laisser un commentaire".
• Une « carte du métro » qui montre où vous en êtes dans l'examen.
• Une barre de progression de l'examen pour chaque question afin que vous sachiez exactement combien de sections et de questions il vous reste.
• Un écran de révision amélioré, avec une vue filtrée qui affiche les questions auxquelles vous avez répondu, celles auxquelles vous n'avez pas répondu, celles qui sont marquées pour révision ou celles qui sont marquées pour commentaire. Le mode révision comporte des étiquettes qui vous rappellent les éléments que vous êtes en train de réviser.
• Une modernisation des options de couleurs, y compris le mode sombre.
• L’ajout de l'historique des calculs à la calculatrice.

Vous pouvez obtenir un aperçu de ces changements.

Source : Reimagining the Microsoft Certification exam UI experience - Microsoft Community Hub

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Windows Autopatch.

Il y a de nouvelles fonctionnalités ce mois :

• Preview du résultat de réussite défini par l'entreprise. Auparavant, les mesures de réussite du déploiement étaient basées sur un calendrier statique de 21 jours. Cela signifie que Windows Autopatch vise à maintenir au moins 95 % des appareils éligibles sur la dernière mise à jour de qualité de Windows 21 jours après sa publication. Avec cette amélioration, le succès des déploiements de Windows Autopatch sera basé sur les anneaux que vous aurez définis. Microsoft introduit également de nouvelles colonnes dans la partie publication, ainsi que dans les rapports de mise à jour de la qualité et des fonctionnalités de Windows, afin d'indiquer le pourcentage d'achèvement des mises à jour de la qualité et des fonctionnalités. Les appareils qui sont à jour resteront dans l'état "En cours" dans les rapports jusqu'à ce que vous receviez la mise à jour cumulative mensuelle actuelle ou une alerte. Si une alerte est reçue, l'état passera à "Pas à jour".
• Cette version modifie le cycle de rafraîchissement des rapports Windows Autopatch. Le cycle d'actualisation fait référence au temps qui s'écoule entre le moment où une modification est apportée et celui où elle est reflétée dans les rapports et les autres composants UX. Ce délai passera de toutes les 24 heures à toutes les 30 minutes. Cette amélioration prend en charge les nombreux flux de données que Windows Autopatch utilise pour fournir l'état actuel des mises à jour pour tous les appareils inscrits dans Windows Autopatch.

Microsoft a réalisé des maintenances sur le service afin d'améliorer les performances globales de Windows Autopatch.

Plus d’informations sur : What's new 2024 - Windows Deployment | Microsoft Learn

En février 2024, Microsoft a introduit différents changements à Windows Autopilot permettant d’améliorer le comportement.

On retrouve notamment :

• Après de nombreux mois (années !), voici la disponibilité Générale du mode Self-Deploying. Le mode Self-Deploying de Windows Autopilot vous permet de déployer des appareils Windows avec peu ou pas d'interaction avec l'utilisateur. Dès que l'appareil se connecte au réseau, le processus de provisionnement de l'appareil démarre automatiquement : l'appareil rejoint Microsoft Entra ID, s'inscrit dans Intune et synchronise toutes les configurations basées sur l'appareil qui lui sont destinées. Ce mode est très pratique pour les usages en mode Kiosk.
• Là aussi après de nombreuses années, voici la disponibilité générale du mode de déploiement par pré-provisionnement appelé aussi White Glove. Ce mode est utilisé par les entreprises qui veulent s'assurer que les appareils sont prêts pour l'entreprise avant que l'utilisateur n'y accède. Avec le préapprovisionnement, les administrateurs, les partenaires ou les OEM peuvent accéder à un flux de techniciens à partir de l'expérience Out-of-box (OOBE) et lancer la configuration de l'appareil. Ensuite, l'appareil est envoyé à l'utilisateur qui termine le provisionnement dans la phase utilisateur. Le préapprovisionnement fournit la majeure partie de la configuration à l'avance afin que l'utilisateur final puisse accéder plus rapidement à son poste de travail.

Source : What's new in Autopilot | Microsoft Learn

Microsoft a fait une revue de sécurité pour Microsoft Edge v122 et a déterminé qu'il n'y a pas de paramètres de sécurité supplémentaires à appliquer. La configuration recommandée reste la version 117 de Microsoft Edge.

Il existe 4 nouveaux paramètres machines et 4 nouveaux paramètres utilisateurs dont vous pouvez voir les différences avec la version 121.

Plus d’informations sur : Security review for Microsoft Edge version 122 - Microsoft Community Hub

Télécharger Security Compliance Toolkit

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft Defender for Cloud commencera à appliquer la vérification du plan Defender Cloud Security Posture Management (DCSPM) pour DevOps à partir du 7 mars 2024. Si vous avez le plan Defender CSPM activé sur un environnement cloud (Azure, AWS, GCP) dans le même tenant que celui dans lequel vos connecteurs DevOps sont créés, vous continuerez à recevoir un code premium pour les capacités DevOps cloud sans frais supplémentaires. Si vous n'êtes pas un client Defender CSPM, vous avez jusqu'au 7 mars 2024 pour activer Defender CSPM avant de perdre l'accès à ces fonctionnalités de sécurité.
• Une nouvelle version de l'agent Defender pour Defender for Containers est disponible. Elle inclut des améliorations de performance et de sécurité, la prise en charge des nœuds d'architecture AMD64 et ARM64 (Linux uniquement), et utilise Inspektor Gadget comme agent de collecte de processus au lieu de Sysdig. La nouvelle version n'est prise en charge que par les versions 5.4 et supérieures du kernel Linux ; si vous disposez de versions plus anciennes du kernel Linux, vous devez donc procéder à une mise à jour. La prise en charge d'ARM 64 n'est disponible qu'à partir d'AKS V1.29.

• L'expérience actualisée de gestion des politiques de sécurité, initialement publiée en Preview pour Azure, étend sa prise en charge aux environnements multi-cloud (AWS et GCP) :
  • Gestion des normes de conformité réglementaire dans Defender for Cloud dans les environnements Azure, AWS et GCP.
  • Même expérience de l'interface cross cloud pour créer et gérer les recommandations personnalisées de Microsoft Cloud Security Benchmark (MCSB).
  • L'expérience mise à jour est appliquée à AWS et GCP pour créer des recommandations personnalisées avec une requête KQL.

• Les fonctionnalités de détection des menaces d'Azure Kubernetes Service (AKS) dans Defender for Containers sont désormais entièrement prises en charge dans les clouds commerciaux, Azure Government et Azure China 21Vianet.
• L'évaluation de la vulnérabilité des conteneurs réalisée par Trivy a été retirée. Les clients qui utilisaient cette évaluation doivent passer à la nouvelle évaluation des vulnérabilités des conteneurs AWS réalisée par Microsoft Defender Vulnerability Management.
• La spécification du format d'image Open Container Initiative (OCI) est désormais prise en charge par l'évaluation des vulnérabilités, assurée par Microsoft Defender Vulnerability Management pour les Cloud AWS, Azure et GCP.
• Preview de 4 quatre recommandations pour le type de ressource Azure Stack HCI :
  • (Preview) Azure Stack HCI servers should meet Secured-core requirements
  • (Preview) Azure Stack HCI servers should have consistently enforced application control policies Au minimum, appliquez la stratégie de base Microsoft WDAC en mode imposé sur tous les serveurs Azure Stack HCI. Les stratégies Windows Defender Application Control (WDAC) appliquées doivent être cohérentes entre les serveurs d'un même cluster.
  • (Preview) Azure Stack HCI systems should have encrypted volumes : Utilisez BitLocker pour chiffrer le système d'exploitation et les volumes de données sur les systèmes HCI Azure Stack.
  • (Preview) Host and VM networking should be protected on Azure Stack HCI systems Protégez les données sur le réseau de l'hôte Azure Stack HCI et sur les connexions réseau des machines virtuelles.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, etc.).

On retrouve notamment :

Général

• Rapports, livres blancs et artefacts mis à jour dans le portail d’approbation des services avec une nouvelle catégorie de ressources en matière d'IA.

Etiquettes de confidentialité (Sensitivity Labels)

• Disponibilité générale (GA) : Les applications mobiles Teams prennent désormais en charge les éléments de calendrier correspondant à des réunions protégées
• Preview : les étiquettes de confidentialité pour les groupes et les sites disposent de nouvelles options déployées pour prendre en charge la visibilité des équipes privées et les contrôles de partage de canaux pour les invitations à d'autres équipes.
• Déploiement : La page Encryption lors de la configuration d'un label de confidentialité est renommée Access Control. Aucune modification n'est apportée aux paramètres existants pour le chiffrement.

Gestion des enregistrements et de la rétention

• Lors du déploiement, vous pouvez désormais modifier la période de conservation d'une étiquette de rétention existante lorsque la période de conservation est basée sur le moment où les éléments ont été étiquetés.

Gestion des risques internes

• Insider Risk Management étend sa détection aux environnements multicloud en proposant des indicateurs de risque prêts à l'emploi dans Azure, AWS et les applications SaaS, notamment Box, Dropbox et Google Drive. Les organisations peuvent utiliser ces nouveaux indicateurs dans leurs politiques de vol et de fuite de données. Microsoft Purview Insider Risk Management met en corrélation différents signaux afin d'identifier les risques potentiels liés aux initiés, qu'ils soient malveillants ou involontaires, tels que le vol de propriété intellectuelle, les fuites de données et les violations de la sécurité. Insider Risk Management permet aux clients de créer des politiques basées sur leurs propres politiques internes, leur gouvernance et leurs exigences organisationnelles. Les utilisateurs sont pseudonymisés par défaut, des contrôles d'accès basés sur les rôles et des journaux d'audit sont en place pour garantir la confidentialité au niveau de l'utilisateur. La Preview est prévue pour Mars 2024.
• Mise à jour pour préciser que la gestion des risques internes crée une seule alerte agrégée par utilisateur.
• Mise à jour : Créer et gérer des stratégies de gestion du risque internes pour préciser que vous devez avoir le rôle Insider Risk Management ou the Insider Risk Management Admins pour accéder à la l’état de santé de la stratégie.

Communication Compliance

• Mise à jour : Créer et gérer des politiques de conformité en matière de communication pour préciser que la correction des messages des équipes n'est pas prise en charge si un utilisateur signale un message qui a été envoyé avant qu'il ne soit ajouté à un chat.

Gestion de la conformité

• Mise à jour de la liste des régulations de Compliance Manager avec les ajouts récents suivants :
  • India Digital Personal Data Protection Act
  • ISO/IEC 27001:2022
  • Microsoft Cloud Security Benchmark v1
  • Directive de l'OTAN AC/322-D(2021)0032
  • Directive NIS2 (EU) 2022/2555 du Parlement européen et du Conseil.

Data Map & Data Catalog

• La labelisation avec Data Map supporte 3 sources de données supplémentaires : Dataverse, Azure Databricks et Snowflake.
• (Preview) Les types d'informations sensibles peuvent désormais être appliqués au niveau des colonnes dans les ressources de données structurées Azure ou tierces.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Général

• [Général] La Cloud PKI de Microsoft est enfin disponible dans tous les tenants. Elle permet de simplifier le déploiement de certificats sur les périphériques avec une architecture à deux niveaux et différents scénarios dont la capacité de provisionner une PKI complètement Cloud ou d’utiliser une autorité de certification racine pour créer l’autorité intermédiaire dans Microsoft Intune (BYOCA). Il n’est ainsi plus nécessaire de déployer de serveurs, la Cloud PKI est une solution SaaS qui gère pour vous le service de génération et de distribution de clés via le service NDES. Elle peut être utilisable pour Windows, Android, iOS/iPadOS, et macOS. Vous pouvez obtenir plus d’informations sur ce service via la vidéo suivant : Tour d'horizon - Cloud PKI - Découvrez la Cloud PKI intégrée à Microsoft Intune (youtube.com)
• [Général] Dans les Cloud gouvernementaux, il y a une nouvelle expérience de gestion des appareils dans le centre d'administration Intune. L'interface utilisateur de la zone Device est désormais plus cohérente, avec des contrôles plus performants et une structure de navigation améliorée qui vous permet de trouver plus rapidement ce dont vous avez besoin.
• [Général] Le volet de personnalisation permet désormais de sélectionner les groupes à exclure lors de l'attribution des stratégies.

Enregistrement des périphériques

• [Windows] Le mode de déploiement pré provisionné (White Glove) est enfin en disponibilité générale.
• [Windows] Le mode de déploiement Self-Deploying est enfin en disponibilité générale.
• [Windows] Le paramètre Only fail selected blocking apps in technician phase est disponible pour être configuré dans les profils ESP (Enrollment Status Page). Ce paramètre n'apparaît que dans les profils ESP pour lesquels des applications de blocage ont été sélectionnées.

• [macOS] Vous pouvez maintenant configurer les paramètres du compte principal local pour les Mac qui s'inscrivent à Intune via Apple Automated Device Enrollment (ADE). Ces paramètres, pris en charge sur les appareils fonctionnant sous macOS 10.11 ou une version ultérieure, sont disponibles dans les profils d'inscription nouveaux et existants sous le nouvel onglet Account Settings.

• [macOS] Le paramètre await final configuration est en disponibilité générale pour permettre de verrouiller l'expérience à la fin de l'assistant d'installation afin de s'assurer que les stratégies de configuration des appareils critiques sont installées sur les appareils.

Gestion du périphérique

• [Windows] L’administrateur peut réaliser des actions en masse sur les stratégies de mise à jour des pilotes Windows afin de les approuver, suspendre ou refuser en même temps, ce qui efforts.

• [Windows] Mise à jour de l’Intune Management Extension pour prendre en charge les fonctionnalités étendues et les corrections de bugs du .NET Framework 4.7.2 ou une version plus récente. Si un client Windows continue d'utiliser une version antérieure de .NET Framework, l’Intune Management Extension continuera de fonctionner.
• [Android AOSP] Sur les appareils Android (AOSP), Intune tente de vérifier les nouvelles tâches et notifications toutes les 15 minutes environ dès lors que le périphérique utilise l'application Intune version 24.02.4 ou plus récente.

Configuration du périphérique

• [Windows] Vous pouvez utiliser des filtres sur les stratégies Endpoint Privilege Management (EPM) pour affecter une stratégie en fonction des règles que vous avez créées. Un filtre vous permet de réduire la portée de l'affectation d'une politique, par exemple en ciblant les appareils ayant une version spécifique du système d'exploitation ou un fabricant spécifique.
• [Windows] Vous pouvez importer jusqu’à 20 fichiers de modèles administratifs ADMX et ADML personnalisés dans Microsoft Intune contre 10 auparavant.
• [Windows] Un nouveau paramètre de restrictions est disponible dans le catalogue de paramétrages (Settings Catalog) pour permettre de désactiver Copilot dans Windows au niveau de l’utilisateur : Windows AI > Turn Off Copilot in Windows (User)

• [Windows] Le paramètre Enable delivery of organizational messages (User) n’est plus applicable à des versions Windows Insider mais à Windows 11 22H2 avec les dernières mises à jour. Les messages organisationnels permettent aux administrateurs d'envoyer des messages aux utilisateurs sur des expériences Windows 11 sélectionnées. Par défaut, cette stratégie est désactivée. Si vous activez cette stratégie, ces expériences afficheront le contenu réservé par les administrateurs.
• [iOS/iPadOS] De nouveaux paramètres de restrictions sont disponibles dans le catalogue de paramétrages (Settings Catalog) avec notamment :
  • Allow Live Voicemail
  • Force Classroom Unprompted Screen Observation
  • Force Preserve ESIM On Erase

• [macOS] De nouveaux paramètres de restrictions et de chiffrement sont disponibles dans le catalogue de paramétrages (Settings Catalog) avec notamment :
  • Full Disk Encryption > FileVault > Force Enable In Setup Assistant
  • Restrictions > Force Classroom Unprompted Screen Observation

• [Android] Nouveau paramétrage pour gérer la présentation d’adresses MAC aléatoires pour la connexion à une réseau WiFi. À partir d'Android 10, lors de la connexion à un réseau, les appareils présentent une adresse MAC aléatoire au lieu de l'adresse MAC physique. L'utilisation d'adresses MAC aléatoires est recommandée pour la protection de la vie privée, car il est plus difficile de suivre un appareil par son adresse MAC. En revanche, les adresses MAC aléatoires mettent à mal les fonctionnalités qui reposent sur une adresse MAC statique, notamment le contrôle d'accès au réseau (NAC).

Gestion des applications

• [Général] Les applications protégées suivantes sont désormais disponibles pour Microsoft Intune :
  • Cinebody par Super 6 LLC
  • Bob HR by Hi Bob Ltd
  • ePRINTit SaaS by ePRINTit USA LLC
  • Microsoft Copilot by Microsoft Corporation

• [Android] Il y a 6 nouvelles permissions qui peuvent être configurées sur une application Android via les stratégies de configuration d’applications :
  • Allow background body sensor data
  • Media Video (read)
  • Media Images (read)
  • Media Audio (read)
  • Nearby Wifi Devices
  • Nearby Devices

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• J’en parlais le mois dernier de la disponibilité Générale des tâches d’incidents, qui vous aident à normaliser vos pratiques d'investigation et de réponse aux incidents afin de gérer plus efficacement le flux de travail lié aux incidents.

• Preview de la solution Microsoft Sentinel pour Microsoft Power Platform vous permettant de surveiller et de détecter les activités suspectes ou malveillantes dans votre environnement Power Platform. La solution recueille les journaux d'activité des différents composants de Power Platform et les données d'inventaire. Elle analyse ces journaux d'activité pour détecter les menaces et les activités suspectes telles que les activités suivantes :
  • Exécution de Power Apps à partir de zones géographiques non autorisées
  • Destruction suspecte de données par les Power Apps
  • Suppression massive de Power Apps
  • Attaques par hameçonnage rendues possibles par les Power Apps
  • Activité des flux Power Automate par les employés qui quittent l'entreprise
  • Ajout de connecteurs Microsoft Power Platform dans l'environnement
  • Mise à jour ou suppression des politiques de prévention des pertes de données de Microsoft Power Platform

• Vous pouvez désormais ingérer (en Preview) des journaux à partir du Google Security Command Center, en utilisant le nouveau connecteur basé sur Google Cloud Platform (GCP) Pub/Sub.
• CrowdStrike Falcon Data Replicator V2 Data Connector est maintenant disponible. Le connecteur s'appuie sur un backend Azure Function pour interroger et ingérer les logs CrowdStrike FDR à grande échelle. Voici quelques-uns des avantages offerts par ce nouveau connecteur de données V2 :
  • Amélioration de la mise à l'échelle en fonction du volume de données - maintien de la performance de l'ingestion à un niveau élevé.
  • Plus d'ingestion de données avec le plan de consommation, ce qui permet d'optimiser les coûts.
  • Normalisation du temps d'ingestion au modèle de données ASIM, permettant aux clients d'utiliser diverses solutions normalisées et le contenu associé (analyse, chasse, classeurs).
  • L'analyse des requêtes est plus rapide car les données sont réparties dans plusieurs tables en fonction de la catégorie d'événement (réseau, authentification, fichier, DNS, etc.).
  • Les données secondaires de CrowdStrike (comme appinfo, assetinfo, userinfo, etc.) peuvent également être ingérées.
  • Il supporte l'ingestion de logs bruts en plus des logs normalisés (à des fins de conformité si nécessaire).
• Les nouveaux connecteurs de données prenant en charge l'AMA seront disponibles dans le Content Hub de Sentinel en juin 2024.
  • Pour les sources de données qui utilisent actuellement l'agent MMA, de nouveaux connecteurs prenant en charge AMA seront disponibles dans le Microsoft Sentinel Content Hub.
  • Ces connecteurs s'appuieront sur les DCR pour l'ingestion des journaux.
  • Une nouvelle étiquette "Recommandé" sera visible pour mettre en évidence les nouveaux connecteurs dans le Content Hub.
  • Les anciens connecteurs seront étiquetés "Deprecated".
  • Compatibilité ascendante totale pour les solutions mises à jour : Parsers, Analytic Rules, Workbooks, etc.
  • Tous les changements dans les modèles de contenu seront disponibles avec les mises à jour des solutions, de sorte que tous les clients devront mettre à jour les solutions concernées pour obtenir ces nouveaux modèles déployés dans le Content Hub lorsqu'ils seront disponibles.
• Les événements DNS Windows via le connecteur AMA sont désormais disponibles (GA)
• Les connecteurs de données AWS et GCP prennent désormais en charge les clouds gouvernementaux Azure.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Azure Active Directory, Permissions Management, etc.) en janvier 2024.

Microsoft apporte les nouveautés suivantes :

Microsoft Entra ID (Azure Active Directory)

• 39 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Presswise, Stonebranch Universal Automation Center (SaaS Cloud), ProductPlan, Bigtincan for Outlook, Blinktime, Stargo, Garage Hive BC v2, Avochato, Luscii, LEVR, XM Discover, Sailsdock, Mercado Eletronico SAML, Moveworks, Silbo, Alation Data Catalog, Papirfly SSO, Secure Cloud User Integration, AlbertStudio, Automatic Email Manager, Streamboxy, NewHotel PMS, Ving Room, Trevanna Tracks, Alteryx Server, RICOH Smart Integration, Genius, Othership Workplace Scheduler, GitHub Enterprise Managed User - ghe.com,Thumb Technologies, Freightender SSO for TRP (Tender Response Platform), BeWhere Portal (UPS Access), Flexiroute, SEEDL, Isolocity, SpotDraft, Blinq, Cisco Phone OBTJ, Applitools Eyes.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Alohi
  • Insightly SAML
  • Starmind
• Les stratégies d'accès conditionnel peuvent désormais être filtrées en fonction de l'acteur, des ressources cibles, des conditions, du contrôle de l'octroi et du contrôle de la session. L'expérience de filtrage granulaire peut aider les administrateurs à découvrir rapidement les stratégies contenant des configurations spécifiques.

• Microsoft a mis en place une nouvelle détection de risque pour les utilisateurs premium dans Identity Protection, appelée Suspicious API Traffic. Cette détection est signalée lorsque Identity Protection détecte un trafic Graph anormal de la part d'un utilisateur. Un trafic API suspect peut suggérer qu'un utilisateur est compromis et qu'il effectue une reconnaissance dans son environnement.
• Public Preview - La stratégie de réauthentification vous permet d'exiger des utilisateurs qu'ils fournissent à nouveau leurs informations d'identification de manière interactive, généralement avant d'accéder à des applications critiques et d'effectuer des actions sensibles. Combinée au contrôle de la fréquence d'ouverture de session de l'accès conditionnel, vous pouvez exiger la réauthentification pour les utilisateurs et les ouvertures de session à risque, ou pour l'inscription à Intune. Cette option est disponible dans les contrôles de session comme suit :

• Public Preview d'un nouveau rapport permettant de suivre l'utilisation des licences Microsoft Entra. Microsoft Entra License Utilization Insights permet de voir combien de licences Entra ID P1 et P2 vous avez et l'utilisation des caractéristiques clés correspondant au type de licence. La Public Preview se focalise sur l'accès conditionnel et l'utilisation de l'accès conditionnel basé sur le risque, mais les autres fonctionnalités seront ajoutés dans la disponibilité générale. Ce dernier se trouve dans Monitoring & Health - Usage & Insights - License Utilisation :

• Disponibilité générale d’Identity Protection et des mécanismes de remédiation aux risques sur l'application mobile Azure. Les administrateurs peuvent ainsi répondre aux menaces potentielles avec facilité et efficacité. Cette fonction inclut des rapports complets, offrant un aperçu des comportements à risque tels que les comptes d'utilisateurs compromis et les ouvertures de session suspectes.

• Nouveau Workbook permettant d'évaluer l'impact des stratégies d'accès basées sur le risque de Microsoft Entra Identity Protection.

Microsoft Entra Verified ID

• Nouvel article présentant le concept d’un service d'assistance vérifié sur la façon d'identifier les appelants qui cherchent de l'aide en utilisant Entra Verified ID.
• L'annulation de la date d'expiration lors de l'émission pour le flux d'attestation idTokenHint nécessite que le contrat ait le flag allowOverrideValidityOnIssuance fixé à true..

Modifications de service

• À partir du 31 mars 2024, toutes les détections et tous les utilisateurs de Microsoft Entra ID Identity Protection présentant un risque "faible" et datant de plus de six mois seront automatiquement supprimés. Cette mesure permettra aux clients de se concentrer sur les risques plus pertinents et de disposer d'un environnement d'investigation plus propre.
• Le connecteur Windows Azure Active Directory pour Forefront Identity Manager (FIM WAAD Connector) de 2014 a été supprimé en 2021. La prise en charge standard de ce connecteur prendra fin en avril 2024. Les clients doivent supprimer ce connecteur de leur déploiement MIM sync, et utiliser à la place un mécanisme de provisionnement alternatif.

Plus d’informations sur : What’s new Azure AD et What's new for Microsoft Entra Verified ID 

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for IoT. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Public preview des règles de suppression des alertes à partir du portail Azure vous permettant de
  • Configurer les alertes à supprimer en spécifiant un titre d'alerte, une adresse IP/MAC, un nom d'hôte, un sous-réseau, un capteur ou un site.
  • Définir chaque règle de suppression pour qu'elle soit active en permanence ou uniquement pendant une période prédéfinie, par exemple pendant une fenêtre de maintenance spécifique.

Si vous utilisez actuellement des règles d'exclusion sur la console de gestion sur site, Microsoft vous recommande de les migrer vers des règles de suppression sur le portail Azure.

• Lorsque la licence d'un ou de plusieurs de vos sites OT est sur le point d'expirer, une note est visible en haut de Defender for IoT dans le portail Azure, vous rappelant de renouveler vos licences. Pour continuer à bénéficier de la valeur de sécurité de Defender for IoT, sélectionnez le lien dans la note pour renouveler les licences concernées dans le centre d'administration Microsoft 365.

Réseaux OT

• Microsoft a mis à jour la stratégie de détection de Defender for IoT afin de déclencher automatiquement des alertes en fonction de l'impact commercial et du contexte du réseau, et de réduire les alertes de faible valeur liées à l'informatique (IT). Les organisations où des capteurs sont déployés entre les réseaux OT et IT sont confrontées à de nombreuses alertes, liées au trafic OT et IT. La quantité d'alertes, dont certaines ne sont pas pertinentes, peut provoquer une lassitude et affecter les performances globales.
• L'ID de l'alerte dans la colonne Id de la page Alertes du portail Azure affiche désormais le même ID d'alerte que la console du capteur.
• Le profil matériel L60 n'est plus pris en charge et est supprimé de la documentation. Les profils matériels requièrent désormais un minimum de 100 Go (le profil matériel minimum est désormais L100).
• Des champs génériques standard supplémentaires ont été ajoutés aux OID SNMP MiB.

Intégrations

• Microsoft prend désormais en charge ces protocoles :
  • HART-IP
  • FANUC FOCAS
  • Dicom
  • ABB NetConfig
  • Rockwell AADvance Discover
  • Rockwell AADvance SNCP/IXL
  • Schneider NetManage
  .

 Plus d’informations sur : What's new in Microsoft Defender for IoT - Microsoft Defender for IoT | Microsoft Learn

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Les pages de détails des périphériques incluent maintenant des descriptions de périphériques provenant de l’attribut Description d’Active Directory.

• On retrouve les nouvelles alertes suivantes :
  • Account Enumeration reconnaissance (LDAP) (external ID 2437)(Preview)
  • Directory Services Restore Mode Password Change (external ID 2438)(Preview)

• La page Advanced Settings de Defender for Identity est désormais renommée Adjust alert thresholds et offre une expérience rafraîchie avec une flexibilité accrue pour ajuster les seuils d'alerte. Microsoft a par exemple supprimé l’option Remove learning period et rajouté une option Recommended test mode pour permettre de baisser le niveau du seuil et augmenter le nombre d’alertes. La colonne Sensitivity Level est renommée Threshold level avec de nouvelles valeurs par défaut.

• Les versions 2.228, 2.229, et 2.230 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• Disponibilité Générale de l'expérience de gestion multi-tenant dans Microsoft Defender XDR. Ce scénario permet de couvrir les besoins des Managed Security Service Providers (MSSP) ou des entreprises avec plusieurs tenants pour chacune des filiales. La fonctionnalité permet d'obtenir une vue des alertes et incidents unique à travers tous les tenants.
• Microsoft Defender Threat Intelligence (MDTI) a obtenu les certifications ISO 27001, ISO 27017 et ISO 27018.
• (GA) Le mode sombre (Dark Mode) est désormais disponible dans le portail Microsoft Defender. Dans le portail Defender, en haut à droite de la page d'accueil, sélectionnez Dark mode. Sélectionnez Light mode pour revenir au mode de couleur par défaut.
• (GA) L'attribution de la gravité aux incidents, l'attribution d'un incident à un groupe et l'option Go hunt à partir du graphique de l'histoire de l'attaque sont maintenant en disponibilité générale.
• (Preview) Les règles de détection personnalisées dans l'API de sécurité Microsoft Graph sont désormais disponibles. Vous pouvez créer des règles de détection personnalisées d’Advanced Hunting spécifiques à votre entreprise pour surveiller de manière proactive les menaces et prendre des mesures.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Mise à jour de Configuration Analyzer avec :
  • De nouvelles recommandations :
    • Safe links Policy: Create Custom safe links policy.
    • Outlook: Configure External tag in Outlook.
    • Anti Phishing Policy: Enable First contact safety tips.
    • DKIM: Configure DKIM and SPF for your domains.
    • Built-in Protection Policy: Remove Built-in protection exclusions.
  • En cliquant sur une recommandation, vous ouvrirez désormais une fenêtre contextuelle contenant de brefs détails sur les raisons de la recommandation ainsi que des liens ciblés vers des documents à consulter pour en savoir plus.       
  • Un nouveau bouton Export devrait apparaître lorsque vous sélectionnez une ou plusieurs recommandations. En cliquant sur le bouton Export, vous téléchargez les recommandations sélectionnées sous la forme d'un fichier CSV qui peut être partagé avec vos partenaires externes qui n'ont pas accès à votre environnement.

Pour rappel, cet outil vous aide à trouver et à corriger les stratégies de sécurité qui sont moins sûres que les paramètres recommandés. Il vous permet de comparer vos stratégies actuelles avec les stratégies prédéfinies standard ou strictes, d'appliquer des recommandations pour améliorer votre posture de sécurité et de consulter l'historique des modifications apportées à vos stratégies.

• Les administrateurs peuvent identifier s'ils soumettent un élément à Microsoft pour un deuxième avis ou s'ils soumettent le message parce qu'il est malveillant et qu'il a été manqué par Microsoft. Avec ce changement, l'analyse par Microsoft des messages soumis par les administrateurs (courriel et Microsoft Teams), des URL et des pièces jointes aux courriels est davantage rationalisée et aboutit à une analyse plus précise.
• Réponse aux attaques basées sur les codes QR : Les équipes de sécurité pourront désormais voir les URLs extraites des codes QR avec "QR code" comme source d'URL dans l'onglet Email Entity URL, et "QRCode" dans la colonne "UrlLocation" du tableau EmailUrlInfo dans Advanced Hunting. Les utilisateurs peuvent également filtrer les courriels contenant des URL intégrées dans des codes QR à l'aide du filtre "Source URL" dans l'Explorateur de menaces, qui prend désormais en charge l'option "Code QR".
• Microsoft lance deux modules d’entrainement au phishing par QR Code dans Attack Simulation Training via un partenariat avec Fortra Terranova Security :
  • Mailicious Printed QR Codes
  • Malicious Digital QR Codes
• Microsoft ajoute plusieurs langues pour arriver à 37 langues supportées pour les modules suivants : Teams Phishing, Understanding App Consent Request, Double Barrel Phishing Attack, et Stegosploit

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

• Afin de renforcer les mesures de sécurité au sein des entreprises, Microsoft a modifié le délai d'expiration du script d'offboarding obtenu via le portail Microsoft Defender XDR de 30 à 3 jours.
• Deux nouvelles règles ASR sont désormais en Preview :
  • Block rebooting machine in Safe Mode (preview): Cette règle empêche l'exécution de commandes visant à redémarrer des machines en mode sans échec.
  • Block use of copied or impersonated system tools (preview) : Cette règle bloque l'utilisation de fichiers exécutables identifiés comme des copies d'outils système Windows. Ces fichiers sont soit des doublons, soit des imposteurs des outils système d'origine.
• Dans la version de janvier du client Defender for Endpoint pour macOS (Build: 101.23122.0005 | Release version: 20.123122.5.0), on retrouve des corrections de la prise en charge des périphériques Bluetooth pour le contrôle des périphériques et des corrections de bugs et de performances.
• Dans la version de janvier du client Defender for Endpoint pour Linux (Build: 101.23122.0002 | Release version: 30.123122.0002.0),
  • Microsoft Defender pour Endpoint sur Linux supporte maintenant officiellement les distros Mariner 2, Rocky 8.7 et plus, Alma 9.2 et plus. Si vous avez déjà Defender for Endpoint fonctionnant sur l'une de ces distros et que vous rencontrez des problèmes avec les anciennes versions, veuillez mettre à jour vers la dernière version de Defender for Endpoint.
  • Mise à jour de la version du moteur par défaut à 1.1.23100.2010, et de la version des signatures par défaut à 1.399.1389.0.
  • Améliorations générales de la stabilité et des performances.
  • Corrections de bugs

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Universal Print.

Les fonctionnalités suivantes sont ajoutées :

• Ajout du support de l'impression à partir de macOS en Public Preview, ce qui constitue un pas de plus vers la réalisation de l'objectif consistant à rendre l'impression possible à partir de toutes les applications et de tous les appareils.

Plus d’informations sur : What's new in Universal Print | Microsoft Learn

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Disponibilité Générale des modes Windows 365 Boot Shared et Dedicated.

Expérience Utilisateur

• Disponibilité Générale de la gestion par l'utilisateur des paramètres de l'ordinateur local via son ordinateur Windows 365 Boot.
• Disponibilité Générale de la détection et la notification des problèmes de configuration du réseau ou de l'application par Windows 365 Boot.
• Disponibilité Générale de la prise en charge par Windows 365 Boot de la personnalisation de la page d'ouverture de session.
• Disponibilité Générale des informations d'affichage permettant la différentiation des tâches Windows pour le PC Cloud ou le PC local dans Windows 365 Switch
• Disponibilité Générale de la possibilité pour les utilisateurs de se déconnecter en toute transparence de leur Cloud PC sans quitter leur bureau local avec Windows 365 Switch.
• Disponibilité Générale des informations sur l'état de la connexion et le délai d'attente sur l'écran de connexion pour Windows 365 Switch avec les PC Windows 365 Frontline Cloud.

Sécurité du périphérique

• Preview d’une nouvelle option de fréquence d'ouverture de session de 15 minutes. Ceci fait appel aux règles d’accès conditionnel et notamment l’option : Conditional access > Session > Sign-in frequency > Every time.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

• Sysmon v15.14 : Cette mise à jour de Sysmon résout un crash de service lors d'un changement de configuration et un rare crash du système

• Autoruns for Windows v14.11

Microsoft vient de publier un guide des principes directeurs de NIS2. La Network and Information Security Directive 2 (NIS2) est la continuation et l'expansion de la précédente directive de l'Union européenne (UE) sur la cybersécurité introduite en 2016. Avec la NIS2, l'UE élargit le socle initial de mesures de gestion des risques de cybersécurité et d'obligations de déclaration pour inclure davantage de secteurs et d'organisations critiques. L'établissement d'un socle de mesures de sécurité pour les fournisseurs de services numériques et les opérateurs de services essentiels a pour but d'atténuer le risque de cybermenaces et d'améliorer le niveau général de cybersécurité dans l'UE. Il introduit également une plus grande responsabilité, par le biais d'obligations de déclaration renforcées et de sanctions ou pénalités accrues. Les organisations ont jusqu'au 17 octobre 2024 pour améliorer leur niveau de sécurité avant d'être légalement obligées de se conformer aux exigences de la NIS2.

Télécharger NIS2 guiding principles guide 

Microsoft vient de publier une mise à jour (2.3.6.0) à Microsoft Entra Connect. Microsoft Entra Connect est anciennement Azure Active Directory Connect - AADC, DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière mise à jour (2.3.6.0) apporte les éléments suivants :

• Amélioration de la détection de la mise à niveau automatique. La mise à niveau automatique ne réessayera plus si elle détecte que la machine ne répond pas aux exigences du système d'exploitation ou de l'environnement d'exécution .NET.

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Azure Active Directory Connect

Microsoft semble préparer deux nouvelles règles de réduction de surface d’attaque (Attack Surface Reduction) proposées dans Windows :

Block rebooting machine in Safe Mode permet d’auditer, d’avertir, ou de bloquer le redémarrage en mode sans échec.

Block use of copied or impersonated system tools permet d’auditer, d’avertir, ou de bloquer les exécutables qui usurpent l'identité ou sont des copies d'outils système et de binaires trouvés sur la machine.

Ces éléments sont déjà visibles dans les stratégies de règles de réduction de surface d’attaque (ASR) de Microsoft Intune. Néanmoins, nous ne connaissons pas les prérequis des versions ou mises à jour nécessaires pour Windows.

Vous le savez surement cela fait plusieurs années que l’Europe impose des modifications aux entreprises qui jouirait d’une position dominante. On se souvient des versions N de Windows sans Media Player, etc. Le 15 décembre 2020, L’Europe annonçait le Digital Markets Act (DMA) pour réguler le modèle économique des GAFAMs. Après de longs mois de négociations, l’Europe vient d’imposer à Microsoft un nouveau changement qui permettra aux utilisateurs finaux de la zone économique européenne d'avoir la possibilité de désinstaller le navigateur Microsoft Edge. De plus, Microsoft Edge ne s'appuiera plus sur les politiques de groupe de diagnostic Windows dans les domaines concernés par le Digital Markets Act. Il utilisera à la place la stratégie de groupe Microsoft Edge, DiagnosticData, pour la collecte de données de diagnostic.

La version Edge 122 introduira également une nouvelle stratégie, UrlDiagnosticDataEnabled, pour permettre plus de contrôle sur la collecte de données facultative. Cette politique permet à l’entreprise d'envoyer des données de diagnostic facultatives pour contribuer aux améliorations et à la stabilité critiques du produit, mais en évitant de partager les URL des pages visitées et l'utilisation par page.

Les versions Windows 10 22H2 et Windows 11 23H2 seront conformes à cette directive.

Microsoft vient de mettre à disposition une nouvelle version (1.2.5126) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction de la régression qui provoquait un problème d'affichage lorsqu'un utilisateur sélectionnait des moniteurs pour sa session.
• Microsoft a apporté les améliorations d'accessibilité suivantes :
  • Expérience de lecteur d'écran améliorée.
  • Contraste plus élevé pour la couleur d'arrière-plan du menu déroulant des commandes à distance de la barre de connexion.
• Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et de flux.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Suite à l’accompagnement d’un client sur son projet de configuration et d’implémentation de Delivery Optimization sur Windows 10 et Windows 11. Pour rappel, Delivery Optimization est un téléchargeur HTTP fiable avec une solution gérée par le cloud qui permet aux appareils Windows de télécharger des packages à partir de sources alternatives si souhaité comme d’autres appareils sur le réseau et/ou un serveur de cache dédié en plus des serveurs traditionnels basés sur Internet appelés ‘sources HTTP’. Delivery Optimization peut être utilisé pour réduire la consommation de bande passante en partageant le travail de téléchargement de ces packages entre plusieurs appareils.

L’objectif de ce client était de configurer les Group IDs utilisés pour l’échange entre clients ainsi que le serveur de cache connecté (MCC). Pour cela, nous souhaitions suivre avec le rapport Windows Updates for Business et notamment la partie Delivery Optimization.

Nous avons constaté que seule une toute petite partie des clients remontait dans cette partie du rapport (environ 100 contre 8000 machines) alors que le statut des mises à jour logicielles remontait correctement.
Après vérification des prérequis, tout est opérationnel.

Une première piste correspondait au fait que le client avait désactivé les mécanismes d’optimisation (P2P, MCC) proposés par Delivery Optimization via l’option DOMode définie à 100. En creusant avec l’équipe qui supporte le rapport, les machines remontent dans les conditions :

• Les données sont générées/agrégées pour les 28 derniers jours pour les appareils actifs.
• Pour que les données relatives à Delivery Optimization soient enregistrées dans le rapport, l'appareil doit avoir effectué une action Delivery Optimization au cours de la fenêtre mobile de 28 jours. Cela inclut les informations relatives à la configuration de l'appareil.

Ceci signifie que les machines ne remonteront que si le client est configuré dans le mode Delivery Optimization :

• HTTP Only (0)
• LAN (1 – par défaut)
• Group (2)
• Internet (3)

Les modes Simple (99) et Bypass (100) ne génèrent pas de données.

La documentation a été mis à jour en ce sens.

Voici une bonne nouvelle pour tous les utilisateurs qui ont des comptes Microsoft 365 avec des licences ne permettant pas l’accès au client lourd (E1, Business Basic, etc.). Auparavant, le nouveau client Outlook faisait une vérification des licences pour l’ensemble des comptes Microsoft 365. Ce comportement n’est pas celui de l’ancien client Outlook qui ne faisait qu’une vérification du compte principal. Ceci pouvait poser problème pour certaines typologies de profils (Consultants, etc.) qui ajoutait parfois des comptes emails pour les clients pour qui ils travaillaient.

Microsoft a réalisé le changement depuis le 10 février. Cette amélioration garantit que Outlook classique pour Windows et le nouveau Outlook pour Windows prennent en charge les mêmes scénarios.

Plus d'informations sur : How licensing works for work and school accounts in the new Outlook for Windows (microsoft.com)