Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Azure Active Directory, Permissions Management, etc.) en octobre 2022.

Microsoft apporte les nouveautés suivantes :

• 15 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Unifii, WaitWell Staff App, AuthParency, Oncospark Code Interceptor, Thread Legal Case Management, e2open CM-Global, OpenText XM Fax and XM SendSecure, Contentkalender, Evovia, Parmonic, mailto.wiki, JobDiva Azure SSO, Mapiq, IVM Smarthub, Span.zone – SSO and Read-only, UISolutions, RecruiterPal, Broker groupe Achat Solutions, Philips SpeechLive, Crayon, Cytric, Notate, ControlDocumentario, Intuiflow, Valence Security Platform, Skybreathe® Analytics.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • LawVu
• Public Preview de Lifecycle Workflows dans Microsoft Entra Identity Governance. Cette nouvelle fonctionnalité de gouvernance des identités permet aux clients d'étendre le processus de provisionnement des utilisateurs et d'ajouter des fonctionnalités de gestion du cycle de vie des utilisateurs de niveau entreprise dans Azure AD afin de moderniser votre processus de gestion du cycle de vie des identités. Avec Lifecycle Workflows, vous pouvez :
  • Configurer et déployer en toute confiance des flux de travail personnalisés pour onboarder et offboarder les employés, en remplaçant vos processus manuels.
  • Automatiser les actions prêtes à l'emploi essentielles aux scénarios d'intégration et d'exclusion et obtenir des rapports détaillés.
  • Vous pouvez étendre les workflows via les intégrations Logic Apps avec des extensions de tâches personnalisées pour des scénarios plus complexes.

• Public Preview d’Authentication Strength (Authentification Forte) dans l’accès conditionnel permettant aux administrateurs de spécifier quelles méthodes d'authentification peuvent être utilisées pour accéder à une ressource. Pour plus d'informations, voir : Force d'authentification de l'accès conditionnel (aperçu). Vous pouvez utiliser des forces d'authentification personnalisées pour restreindre l'accès en exigeant des clés FIDO2 spécifiques à l'aide des Authenticator Attestation GUIDs (AAGUIDs), et appliquer cela par le biais de politiques d'accès conditionnel.
• Public Preview d’Authentication Strength (Authentification Forte) dans l’accès conditionnel pour les identités externes. Vous pouvez désormais exiger de vos invités partenaires commerciaux (B2B) sur tous les clouds Microsoft qu'ils utilisent des méthodes d'authentification spécifiques pour accéder à vos ressources avec des stratégies d’authentification forte d'accès conditionnel.
• Disponibilité générale de Windows Hello for Business en mode de déploiement de Cloud Kerberos Trust. Celui-ci correspond à un nouveau modèle de déploiement de Windows Hello for Business qui permet une expérience de connexion sans mot de passe. Avec ce nouveau modèle, Microsoft a rendu Windows Hello for Business beaucoup plus facile à déployer que les modèles de déploiement existants Key Trust et Certificate Trust en supprimant la nécessité de maintenir une infrastructure de clé publique (PKI) compliquée et les temps d'attente de synchronisation Azure Active Directory (AD) Connect.
• Disponibilité générale de la correspondance de numéros pour les notifications de Microsoft Authenticator permettant d’éviter les approbations accidentelles de notifications. Les administrateurs peuvent désormais exiger que les utilisateurs saisissent le numéro affiché sur l'écran de connexion lorsqu'ils approuvent une notification MFA dans l'application Microsoft Authenticator. Microsoft a également rafraîchi l'interface d'administration du portail Azure et les API Microsoft Graph pour faciliter la gestion des déploiements des fonctionnalités de l'application Authenticator par les clients. Dans le cadre de cette mise à jour, Microsoft a également ajouté la possibilité très demandée par les administrateurs d'exclure des groupes d'utilisateurs de chaque fonctionnalité. La correspondance des numéros sera activée pour tous les utilisateurs de l'application Microsoft Authenticator à partir du 27 février 2023.
• Disponibilité Générale du contexte additionnel dans les notifications Microsoft Authenticator afin de réduire les approbations accidentelles en montrant aux utilisateurs un contexte supplémentaire. Les clients peuvent améliorer les notifications avec les éléments suivants :
  • Contexte de l'application : Cette fonctionnalité permet d'indiquer aux utilisateurs l'application dans laquelle ils se connectent.
  • Contexte de la localisation géographique : Cette fonction indique aux utilisateurs l'endroit où ils se connectent en fonction de l'adresse IP de l'appareil auquel ils se connectent.

• Disponibilité générale permettant d’ajouter plusieurs domaines à la même configuration de fournisseur d'identité basée sur SAML/Ws-Fed pour vos utilisateurs externes.

• Public Preview des recommandations d'affiliation d'utilisateur à groupe pour les examens d'accès de groupe (Access Review). Cette fonctionnalité fournit des recommandations basées sur l'apprentissage automatique aux examinateurs des examens d'accès Azure AD pour rendre l'expérience d'examen plus facile et plus précise. La recommandation détecte l'affiliation de l'utilisateur avec d'autres utilisateurs au sein du groupe, et applique le mécanisme de notation que Microsoft a construit en calculant la distance moyenne de l'utilisateur avec les autres utilisateurs du groupe.
• Lors de la configuration de la réécriture des attributs d'Azure AD vers SAP SuccessFactors Employee Central, vous pouvez désormais spécifier la portée des utilisateurs à l'aide de l'affectation de groupe Azure AD.

On retrouve les modifications de service suivantes :

• Disponibilité Générale de l'agent Azure AD Provisioning vers la dernière version (1.1.977.0). Microsoft cessera de prendre en charge l'agent de provisionnement Azure AD avec les versions 1.1.818.0 et inférieures à partir du 1er février 2023. Si vous utilisez Azure AD Cloud Sync, veuillez vous assurer que vous disposez de la dernière version de l'agent.
• A partir d’octobre 2022, les limites du nombre de permissions API configurées pour l'enregistrement d'une application seront appliquées. Cette dernière ne devra pas dépasser 400 permissions pour l'ensemble des API. Les applications dépassant cette limite ne pourront pas augmenter le nombre d'autorisations pour lesquelles elles sont configurées. La limite existante du nombre d'API distinctes pour lesquelles des permissions sont requises reste inchangée et ne peut dépasser 50 API.
• À partir du 30 septembre 2024, les déploiements Azure Multi-Factor Authentication ne serviront plus les demandes d'authentification multifactorielle (MFA), ce qui pourrait entraîner l'échec des authentifications pour l’entreprise. Pour garantir des services d'authentification ininterrompus et rester dans un état de prise en charge, les entreprises doivent migrer les données d'authentification de leurs utilisateurs vers le service d'authentification multifactorielle Azure AD basé sur le cloud à l'aide du dernier utilitaire de migration inclus dans la dernière mise à jour du serveur d'authentification multifactorielle Azure AD.
• À partir du 30 septembre 2022, Microsoft exigera que tous les nouveaux tenants suivent une nouvelle configuration de consentement de l'utilisateur. Bien que cela n'ait pas d'impact sur les pas existants qui ont été créés avant le 30 septembre 2022, tous les nouveaux pas créés après le 30 septembre 2022 auront le paramètre par défaut " Enable automatic updates (Recommendation)" sous User consent Settings. Ce changement réduit le risque que des applications malveillantes tentent de tromper les utilisateurs en leur donnant accès aux données de votre organisation.

Plus d’informations sur : What’s new Azure AD

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Vous pouvez maintenant gérer les autorisations et les blocages dans la liste des autorisations/blocages du tenant :
  • Grâce à la gestion de l'expiration des autorisations (actuellement en Private Preview), si Microsoft n'a pas tiré de leçons de l'autorisation, elle prolongera automatiquement de 30 jours le délai d'expiration des autorisations qui vont bientôt expirer, afin d'éviter que les courriers électroniques légitimes ne soient à nouveau envoyés dans le courrier indésirable ou en quarantaine.
  • Les clients des environnements de cloud gouvernemental pourront désormais créer des entrées d'autorisation et de blocage pour les URL et les pièces jointes dans la liste d'autorisation/de blocage du tenant en utilisant l'URL d'administration et les soumissions de pièces jointes. Les données soumises par le biais de l'expérience de soumissions ne quitteront pas le tenant du client, satisfaisant ainsi les engagements de résidence des données pour les clients du cloud gouvernemental.
• Amélioration des alertes de clic d'URL : Avec le nouveau scénario de retour en arrière, l'alerte " A potentially malicious URL click was detected" inclura désormais tous les clics effectués au cours des 48 dernières heures (pour les e-mails) à partir du moment où le verdict de l'URL malveillante est identifié.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Public Preview de l’application Windows 365 permettant de se connecter à vos Cloud PCs Windows 365 et de les gérer. L'application offre une fonctionnalité similaire à celle du site Web windows365.microsoft.com pour accéder à vos Cloud PCs et les gérer. Pour plus d'informations, voir Installation de l'application Windows 365.

Provisionnement de périphériques

• Support des environnements US Government. Les organisations gouvernementales peuvent désormais utiliser les services Windows 365 d'abord dans les environnements US Government Community Cloud (GCC) High et ensuite dans les environnements GCC. Tous les services dépendants de Windows 365 doivent également être utilisés par l’entreprise dans l'environnement gouvernemental associé.

• Une nouvelle région Azure est désormais prise en charge pour le provisionnement des Cloud PCs Windows 365: UAE North.

Gestion des périphériques

• Disponibilité Générale de la restauration ponctuelle (point-in-time restore).

Supervision et Dépannage

• Un nouveau rapport d’utilisation des Cloud PCs est désormais disponible. Le rapport indique combien d'heures les utilisateurs ont été connectés à leurs Cloud PCs. Les informations pour les Cloud PCs individuels et les données agrégées sont également affichées.
• Un nouveau rapport sur les Cloud PCs présentant des problèmes de qualité de connexion est maintenant disponible. Le rapport sur les Cloud PCs avec des problèmes de qualité de connexion montre des informations sur le temps d'aller-retour, la bande passante disponible et le temps de connexion à distance. Les informations pour les Cloud PCs individuels et les données agrégées sont également affichées.

• Un nouveau contrôle a été ajouté aux contrôles de santé de la connexion réseau Azure : UDP connection server reachable.
• Disponibilité Générale de l'audit forensique des Cloud PCs

Partenaires

• Vous pouvez désormais utiliser Citrix HDX Plus avec les Cloud PCs de Windows 365 Enterprise.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft vient d’annoncer la Preview 2211 de l’interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center.

Parmi les nouveautés de cette Preview, on retrouve notamment les capacités :

• Migration d’Azure AD Graph vers Microsoft Graph. Microsoft Graph représente la meilleure surface d'API. Il offre un point de terminaison unifié unique pour accéder aux services Azure AD et aux services Microsoft 365 tels que Microsoft Teams et Microsoft Intune. L'utilisation de l'API Microsoft Graph a plus que doublé par rapport à Azure AD Graph, et au cours des deux dernières années, nous avons ajouté 167 nouvelles fonctionnalités. Microsoft Graph est également plus sûr et plus résilient qu'Azure AD Graph.
• Migration d'ADAL vers MSAL. MSAL est conçu pour permettre une solution sécurisée sans que les développeurs aient à se soucier des détails de mise en œuvre. Il simplifie et gère l'acquisition, la gestion, la mise en cache et le rafraîchissement des jetons, et utilise les meilleures pratiques en matière de résilience.
• Sur la gestion d’Azure Stack HCI, on retrouve :
  • La nouvelle page de propriétés dans les paramètres du gestionnaire de clusters regroupe les informations relatives au cluster, au système d'exploitation et au matériel sur une seule page avec une fonctionnalité de clic pour copier.

• Les pages de paramètres pour Windows Admin Center, Cluster Manager, Server Manager, and Computer Management contiennent désormais un champ de recherche pour améliorer la navigation. La fonction de recherche peut traiter des mots-clés non triviaux pour correspondre à d'autres éléments que le simple titre de la section.

• • Dans cette version, Microsoft introduit une fonctionnalité d'édition des paramètres de volume qui permettra de redimensionner les volumes et de changer le type de provisionnement de Fixed à Thin. La conversion du provisionnement Thin est une nouvelle fonctionnalité pour Azure Stack HCI 22H2 et est maintenant prise en charge dans le Windows Admin Center. Les clients peuvent convertir leurs volumes Fixed existants en volumes Thin et réaliser des économies d'espace avec peu ou pas de temps d'arrêt. Veuillez noter qu'une fois convertis en Thin, il n'est pas possible de revenir au provisionnement Fixed. La capacité de redimensionnement du volume remplacera la fonctionnalité "Expand" existante.
• Disponibilité Générale de la gestion du SDN avec notamment des améliorations comme :
  • Le tableau de bord SDN n'exige plus que l'utilisateur saisisse le nom d'une VM de contrôleur de réseau (NC) pour obtenir des informations sur la santé du déploiement SDN.  
  • Microsoft a également corrigé un certain nombre de problèmes liés aux rapports de santé SDN. Désormais, vous serez en mesure de voir des informations précises sur l'état de santé de toutes les ressources SDN. De plus, chaque alerte est plus exploitable avec la gravité, les détails et l'heure. 
  • Microsoft affiche maintenant les informations et les dates d'expiration des certificats SDN. Cela vous aidera à planifier les rotations de certificats en temps voulu et à éviter les perturbations.   
• Accessibilité : Support du zoom 400%.
• Support des infrastructures configurées avec Microsoft Defender Application Control (WDAC)
• Mise à jour du design graphique de Windows Admin Center
• Diverses corrections de bugs.

Plus d’informations sur : Windows Admin Center version 2211 is now in Public Preview! - Microsoft Community Hub

Télécharger Windows Admin Center 2211 Preview

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Les versions 237, 238, et 239 apportent les changements suivants :

• Public Preview de l'intégration native de toutes les fonctions de Microsoft Defender for Cloud Apps dans le portail Microsoft 365 Defender. Les SecOps et les administrateurs de la sécurité bénéficieront de ces avantages:
  • Gain de temps et réduction des coûts
  • Expérience d'investigation holistique
  • Données et signaux supplémentaires dans la chasse avancée
  • Protection intégrée dans toutes les charges de travail de sécurité

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Microsoft vient de publier une mise à jour (2.1.20.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière série de mises à jour (2.1.18.0, 2.1.19.0, 2.1.20.0) apportent les éléments suivants :

• Microsoft a corrigé un bug pour lequel le nouvel attribut employeeLeaveDateTime ne se synchronisait pas correctement dans la version 2.1.19.0. Notez que si l'attribut incorrect était déjà utilisé dans une règle, alors la règle doit être mise à jour avec le nouvel attribut et tous les objets dans l'espace connecteur AAD qui ont l'attribut incorrect doivent être supprimés avec la cmdlet "Remove-ADSyncCSObject", puis un cycle de synchronisation complet doit être exécuté.
• Microsoft a ajouté un nouvel attribut 'employeeLeaveDateTime' pour la synchronisation avec Azure AD. Pour en savoir plus sur la façon d'utiliser cet attribut pour gérer les cycles de vie de vos utilisateurs, veuillez vous référer à cet article.
• Microsoft a corrigé un bug où la réécriture du mot de passe Azure AD Connect s'arrêtait avec le code d'erreur "SSPR_0029 ERROR_ACCESS_DENIED".
• Microsoft a corrigé un bug à cause duquel la mise à niveau de la version 1.6 vers la version 2.1 restait bloquée dans une boucle à cause de l'énumération IsMemberOfLocalGroup.
• Microsoft a corrigé un bug à cause duquel l'assistant de configuration d'Azure AD Connect envoyait des informations d'identification incorrectes (format du nom d'utilisateur) lors de la validation si Enterprise Admin.

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Azure Active Directory Connect

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

• Disponibilité Générale de la détection et la remédiation de la protection du réseau C2. Les attaquants compromettent souvent des serveurs existants connectés à Internet pour en faire leurs serveurs de commande et de contrôle. Les attaquants peuvent utiliser les serveurs compromis pour dissimuler le trafic malveillant et déployer des bots malveillants qui sont utilisés pour infecter les terminaux. La détection et la remédiation de la protection réseau contribueront à réduire le temps nécessaire aux équipes chargées des opérations de sécurité (SecOps) pour repérer les menaces réseau malveillantes qui cherchent à compromettre les points finaux et y répondre.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Nouvelle alerte de santé pour vérifier que l'audit NTLM est activé, comme décrit dans la page des alertes de santé.
• Nouvelle alerte de sécurité : authentification anormale d'Active Directory Federation Services (AD FS) à l'aide d'un certificat suspect. Cette nouvelle technique est liée au tristement célèbre acteur NOBELIUM et a été baptisée "MagicWeb". Elle permet à un adversaire d'implanter une porte dérobée sur des serveurs AD FS compromis, ce qui lui permettra de se faire passer pour n'importe quel utilisateur du domaine et d'accéder ainsi à des ressources externes. Pour en savoir plus sur cette attaque, lisez cet article de blog.
• Defender for Identity peut désormais utiliser le compte LocalSystem sur le contrôleur de domaine pour effectuer des actions de remédiation (activer/désactiver un utilisateur, forcer l'utilisateur à réinitialiser son mot de passe), en plus de l'option gMSA qui était disponible auparavant. Ceci permet une prise en charge immédiate des actions de remédiation.

• Les versions 2.192, et 2.193 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity