Microsoft a publié des simulations guidées qui permettent de se former sur des cas d’usages spécifiques liés à Microsoft Intune. On retrouve notamment :

• Deploying Windows 11 with Autopilot Guided Simulation (regale.cloud)
• Upgrade from Windows 10 to Windows 11 Guided Simulation (regale.cloud)
• Get Started with Remote Help (regale.cloud)
• Universal Print Guided Simulation (regale.cloud)
• Windows Autopatch (regale.cloud)

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender XDR (anciennement Microsoft 365 Defender). Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• Microsoft Defender XDR Unified role-based access control (RBAC) est en disponibilité générale. Unified (RBAC) permet aux administrateurs de gérer les permissions des utilisateurs à travers différentes solutions de sécurité à partir d'un emplacement unique et centralisé. Cette offre est également disponible pour les clients GCC Moderate.
• Microsoft Defender Experts for XDR vous permet désormais d'exclure les appareils et les utilisateurs des actions de remédiation entreprises par les experts de Microsoft et d'obtenir à la place des conseils de remédiation pour ces entités.
• La file d'attente des incidents du portail Microsoft Defender a mis à jour les filtres et la recherche, et a ajouté une nouvelle fonction qui vous permet de créer vos propres ensembles de filtres.
• Vous pouvez désormais attribuer des incidents à un groupe d'utilisateurs ou à un autre utilisateur.
• "Defender Boxed" est de retour ! Pendant le mois de janvier, vous pouvez recevoir votre résumé SOC personnalisé via Defender Boxed.
  Allez sur le portail Defender et ouvrez la page des incidents.

Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

Microsoft vient d’annoncer que les prochains PCs Windows 11 intégreront nativement une nouvelle touche sur le clavier pour lancer Copilot. Cette touche sera située entre Alt gr et Ctrl. Ces nouvelles touchent devraient apparaître sur toutes les nouvelles références dans l’année.

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Disponibilité Générale de Defender for Servers au niveau de la ressource. Il est désormais possible de gérer Defender for Servers sur des ressources spécifiques au sein de votre abonnement, ce qui vous donne un contrôle total sur votre stratégie de protection. Grâce à cette capacité, vous pouvez configurer des ressources spécifiques avec des configurations personnalisées qui diffèrent des paramètres configurés au niveau de l'abonnement.
• L'expérience des connecteurs multicloud classiques est supprimée et les données ne sont plus acheminées vers les connecteurs créés par le biais de ce mécanisme. Ces connecteurs classiques étaient utilisés pour connecter les recommandations d'AWS Security Hub et de GCP Security Command Center à Defender for Cloud et les AWS EC2 embarqués à Defender for Servers.
• Le classeur Coverage vous permet de savoir quels plans Defender for Cloud sont actifs sur quelles parties de vos environnements. Ce classeur peut vous aider à vous assurer que vos environnements et abonnements sont entièrement protégés. En ayant accès à des informations détaillées sur la couverture, vous pouvez également identifier les zones qui pourraient avoir besoin d'une autre protection et prendre des mesures pour y remédier.
• L'évaluation des vulnérabilités (VA) pour les images de conteneurs Linux dans Azure container registries alimentés par Microsoft Defender Vulnerability Management est publiée dans Azure Government et Azure exploité par 21Vianet. Cette nouvelle version est disponible sous les plans Defender for Containers et Defender for Container Registries.

• Public Preview du support des images Windows dans le cadre de l'évaluation des vulnérabilités (VA) alimentée par Microsoft Defender Vulnerability Management pour Azure container registries et les services Azure Kubernetes.
• L'évaluation de la vulnérabilité des conteneurs effectuée par Trivy est maintenant déprécié pour être non supporté d'ici le 13 février. Cette fonctionnalité est désormais obsolète et restera disponible pour les clients existants qui l'utilisent jusqu'au 13 février. Microsoft encourage les clients qui utilisent cette fonctionnalité à passer à la nouvelle évaluation des vulnérabilités des conteneurs AWS fournie par Microsoft Defender Vulnerability Management d'ici le 13 février.
• Preview des nouvelles fonctionnalités de posture de conteneur sans agent pour AWS.
• L'effet Deny est utilisé pour empêcher le déploiement de ressources qui ne sont pas conformes à la norme Microsoft Cloud Security Benchmark (MCSB). Une modification des effets de la stratégie nécessite la dépréciation des versions actuelles de la politique. Pour vous assurer que vous pouvez toujours utiliser l'effet Deny, vous devez supprimer les anciennes stratégies et attribuer les nouvelles stratégies à leur place.
• Disponibilité Générale du support de PostgreSQL Flexible Server pour le plan Defender for open-source relational databases.
• L'évaluation des vulnérabilités de conteneurs par Microsoft Defender Vulnerability Management prend désormais en charge Google Distroless
• Preview de l'alerte Defender for Storage : Malicious blob was downloaded from a storage account. L'alerte indique qu'un blob malveillant a été téléchargé à partir d'un compte de stockage. Les causes potentielles peuvent être un logiciel malveillant qui a été téléchargé sur le compte de stockage et qui n'a pas été supprimé ou mis en quarantaine, permettant ainsi à un acteur de la menace de le télécharger, ou un téléchargement involontaire du logiciel malveillant par des utilisateurs ou des applications légitimes.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Merill Fernando (Principal Product Manager – Microsoft Entra) donne toujours des bonnes astuces. Au gré de discussions avec certains clients, je me rends compte que certaines capacités de Microsoft Entra ID (Azure AD) sont encore méconnues de certains. Microsoft Entra ID est un annuaire (Cloud) à l’image d’Active Directory. On y retrouve des objets comme des utilisateurs, des périphériques, etc. Contrairement à l’imaginaire collectif, Microsoft Entra ID permet bien d’ajouter un certain nombre d’attributs ou propriétés personnalisées. On retrouve plusieurs mécanismes :

• Les Extension Attributes 1-15 comme on a pu les connaître sur Active Directory
• Les propriétés d’extensions personnalisées (AAD Extensions) représente une extension d’annuaire qui peut être utilisée pour ajouter une propriété personnalisée aux objets d’annuaire sans nécessiter de magasin de données externe.
• Les extensions de schéma vous permettent de définir un schéma pour étendre et ajouter des données personnalisées fortement typées à un type de ressource.
• Les extensions ouvertes (également appelées extensions de type ouvert et anciennement Office 365 extensions de données), une option d’extensibilité qui offre un moyen simple d’ajouter directement des propriétés non typées à une ressource dans Microsoft Graph.
• Les attributs de sécurité personnalisés sont des attributs spécifiques à l'entreprise (paires clé-valeur) que vous pouvez définir et attribuer aux objets Microsoft Entra. Ces attributs peuvent être utilisés pour stocker des informations, classer des objets ou appliquer un contrôle d’accès affiné sur des ressources Azure spécifiques.

Merill propose un article et un tableau récapitulatif de ces mécanismes, de leurs utilisations, et des cibles (Devs, IT Admins, etc.) : Azure AD and Microsoft Graph Extensions and Attributes - merill.net

Depuis toujours, les fonctions qui proposent de mettre à jour dynamiquement des éléments (collections, groupes, etc.) ont fait l’objet de problématiques de performance. Les groupes dynamiques de Microsoft Entra ID (AAD) ne font pas exception à la règle. Microsoft a mis en ligne des bonnes pratiques au travers d’un article issu des demandes de support et d’incidents reçues par Microsoft. Parmi les grands concepts :

• Minimiser l’usage de l’opérateur Match
• Eviter l’utilisation de nombreux opérateur OR dans la même requête
• Eviter les critères redondants

A ces bonnes pratiques listées, vous pouvez aussi ajouter le fait d’éviter au maximum l’opérateur contain.

Plus d’informations sur : Create simpler and faster rules for dynamic groups - Microsoft Entra ID | Microsoft Learn

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Disponibilité Générale de la découverte de plus de 400 applications d'IA générative.
• Les adresses IP utilisées pour l'accès au portail et les connexions aux agents SIEM ont été mises à jour. Veillez à ajouter les nouvelles adresses IP à la liste d'autorisation de votre pare-feu afin que le service reste pleinement fonctionnel.
• Microsoft a aligné la période d'attente pour les analyses initiales après avoir connecté une nouvelle application à Defender for Cloud Apps. Les connecteurs d'applications suivants ont tous une période d'attente d'analyse initiale de sept jours. Dropbox, Salesforce, ServiceNow, Okta
• Passage en disponibilité générale de la prise en charge du SaaS security posture management (SSPM) pour Google Workspace
• (Preview) Defender for Cloud Apps a amélioré sa prise en charge du SSPM en incluant les applications suivantes : Atlassian, Dropbox, NetDocuments, Workplace, Zendesk

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Gartner a publié le résultat de l’étude 2023 sur l’Access Management. Microsoft est toujours leader (depuis 7 ans) avec Microsoft Entra mais est au coude à coude avec Okta et Ping Identity.

Parmi les forces :

• Microsoft a obtenu les meilleures notes dans cette étude pour la viabilité globale, l'exécution du marketing, le modèle d'entreprise et l'exécution des ventes/la tarification. L’entreprise a augmenté sa base installée pour atteindre le nombre impressionnant de 700 000 clients payants.
• La tarification globale de Microsoft est inférieure à la moyenne du marché. En particulier, le prix des cas d'utilisation CIAM de Microsoft est bien en dessous de la moyenne des fournisseurs de ce Magic Quadrant.
• Microsoft a obtenu le score le plus élevé des fournisseurs évalués pour la compréhension du marché. Cela s'explique en partie par ses premiers pas dans le domaine de l'identité des machines et de la prise en charge des DCI, mais aussi par les améliorations qu'il apporte à des capacités AM plus établies.
• Microsoft a obtenu la meilleure note en matière de rapports sur les menaces et d'ITDR. Il propose des recommandations Microsoft Entra et une capacité de mesure SPM avec des scores de sécurité. Microsoft Entra est une pièce maîtresse de la stratégie globale de cybersécurité de l'éditeur, qui est étroitement intégrée à Microsoft 365 et à Azure dans son ensemble.

Parmi les faiblesses :

• Microsoft Entra External Identities (pour B2C et B2B) manque encore de maturité par rapport aux solutions des autres leaders. La plupart des flux CIAM complexes nécessitent une personnalisation poussée et l'aide de services professionnels.
• Les grands exercices de rebranding comme Microsoft Entra tendent à créer une confusion sur les caractéristiques et les fonctionnalités de chaque produit. Cette confusion est apparente dans les demandes des clients de Gartner, en particulier avec Azure AD External Identities, dont les fonctionnalités B2C seront remplacées par une nouvelle plateforme CIAM appelée Microsoft Entra External ID.
• Les fonctions AM spécifiques de Microsoft Entra ID - telles que Entra ID Protection - nécessitent une licence supplémentaire. Compte tenu de la prévalence des attaques contre l'infrastructure d'identité, de nombreuses organisations devront prendre en compte les coûts supplémentaires.
• Microsoft a obtenu le score le plus bas parmi tous les Leaders pour la personnalisation et l'extensibilité. Malgré un catalogue décent d'intégrations d'identités portables centralisées, Microsoft Entra ID nécessite une personnalisation importante pour fournir des flux d'utilisateurs communs et des méthodes alternatives de MFA pour l'onboarding. L'intégration avec des outils non Microsoft pour l'accès adaptatif externe ou l'autorisation fine (FGA) est complexe.

Vous pouvez accéder au rapport sur : Gartner Reprint

Source : Microsoft is a Leader in 2023 Gartner Magic Quadrant for Access Management | Microsoft Security Blog

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview d'une nouvelle zone et tableau de bord autour de l'identité dans Microsoft 365 Defender. On y retrouve notamment :
  • Un tableau de bord qui affiche des graphiques et des widgets pour vous aider à surveiller les activités de détection et de réponse aux menaces liées à l'identité.
  • Health issues : Désormais déplacé de la zone Settings > Identities, il répertorie tous les problèmes de santé actuels liés à Defender for Identity et à des capteurs spécifiques.
  • Tools correspond à  des liens vers des informations et des ressources utiles pour travailler avec Defender for Identity, y compris des liens vers la documentation, en particulier sur l'outil de planification de la capacité, et le script Test-MdiReadiness.ps1.
• Preview de l’évaluation de la posture de sécurité par le capteur AD CS sur vos modèles de certificats et vos autorités de certification.
  • Actions recommandées pour les modèles de certificats:
    • Empêcher les utilisateurs de demander un certificat valable pour des utilisateurs arbitraires sur la base du modèle de certificat (ESC1)
    • Modifier un modèle de certificat trop permissif avec une EKU privilégiée (EKU quelconque ou pas d’EKU) (ESC2)
    • Modèle de certificat d'agent d'inscription mal configuré (ESC3)
    • Modifier un modèle de certificat mal configuré ACL (ESC4)
    • Modifier le propriétaire des modèles de certificats mal configurés (ESC4)
  • Actions recommandées pour l'autorité de certification :
    • Modifier les paramètres de l'autorité de certification vulnérable (ESC6)
    • Modifier l'ACL de l'autorité de certification mal configurée (ESC7)
    • Renforcer le chiffrement de l'interface d'enrôlement des certificats RPC (ESC8)
• Les versions 2.221, 2.222, et 2.223, et 2.224 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity