Paul Jerimy a publié une page très intéressante regroupant toutes les certifications de la sécurité en les rassemblant par catégories, niveaux et spécialisation. On retrouve notamment les certifications orientées :

• Communication and Network Security
• IAM
• Security Architecture and Engineering incluant Cloud/SysOps, *nix, ICS/IoT
• Asset Security
• Security and Risk Management incluant la GRC
• Security and Testing
• Software Security
• Security Operations incluant Forensics, Incident Handling, Penetration Testing, Exploitation

C’est donc un bon moyen d’obtenir une feuille de route pour étoffer sa carrière.

Rendez-vous sur : Security Certification Roadmap - Paul Jerimy Media

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Entra ID, Permissions Management, etc.) en mai 2025.

Microsoft apporte les nouveautés suivantes :

Microsoft Entra ID (Azure Active Directory)

• Disponibilité Générale de l’analyse d’impact des stratégies d’accès conditionnel. Un graphique intégré dans le Centre d’administration affiche, pour chaque politique, l’effet sur les connexions récentes (autorisées, bloquées, mises en quarantaine, etc.). Les administrateurs visualisent immédiatement l’efficacité ou les effets de bord d’une stratégie, sans recourir à Log Analytics ou à des outils externes.

• Public Preview du support de l’« Application-Based Authentication » (ABA) dans Entra Connect Sync. Entra Connect crée désormais une application Microsoft Entra ID (single-tenant) dotée d’un certificat X.509 pour s’authentifier via le flux OAuth 2.0 client credentials, supprimant le mot de passe local stocké jusqu’ici. L’installeur .msi intégrant ABA est disponible exclusivement dans le Centre d’administration Microsoft Entra, volet « Microsoft Entra Connect ».

Microsoft Entra External ID

• Disponibilité Générale de l’authentification des utilisateurs auprès de fournisseurs d’identité SAML / WS-Fed. Vous pouvez désormais configurer un IdP SAML ou WS-Fed afin que les utilisateurs se connectent à vos applications avec leurs propres comptes. Le flux redirige l’utilisateur vers le fournisseur, puis le renvoie vers Microsoft Entra après une authentification réussie.
• Disponibilité Générale des extensions personnalisées Pre/Post Attribute Collection. Ces extensions permettent de modifier le parcours d’inscription en libre-service : pré-remplissage, validation, modification ou blocage de la création de compte selon vos règles métier.

Microsoft Entra Global Secure Access (Internet Access/Private Access)

• Preview de l'inspection TLS (Transport Layer Security) par Microsoft Entra Internet Access.
• Public Preview des journaux de déploiement pour Global Secure Access. Les journaux de déploiement fournissent une visibilité en temps réel sur la progression et le statut des modifications de configuration (redistribution des profils de transfert, mises à jour de réseaux distants, …). Ils publient des mises à jour, détectent les erreurs et facilitent le dépannage sur l’ensemble du réseau global.

Plus d’informations sur : What's new? Release notes - Microsoft Entra | Microsoft Learn et What's new for Microsoft Entra Verified ID 

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Général

• [Général] Microsoft Intune adopte un nouveau logo. L’icône sera progressivement déployée dans le centre d’administration Intune, l’application Portail d’entreprise et l’ensemble des applications associées au cours des prochains mois.

Enregistrement des périphériques

• [Android] Il est désormais possible de définir un modèle de nommage personnalisé pour les appareils Android (AOSP) « corporate-owned », qu’ils soient user-affiliated ou userless. Le modèle, disponible directement dans le profil d’inscription, peut combiner du texte libre et des variables prédéfinies (numéro de série, type d’appareil, nom d’utilisateur, etc.).

• [Android] Modification des rôles pour la gestion des limites d’inscription : les utilisateurs titulaires du rôle « Policy and Profile Manager » (ou des autorisations héritées de ce rôle) disposent désormais d’un accès en lecture seule aux stratégies de limite d’inscription. La création et la modification de ces stratégies nécessitent dorénavant le rôle « Intune Administrator ».

Gestion du périphérique

• [Android/iOS/macOS] Inventaire multiplateforme : Intune collecte désormais par défaut un jeu étendu de données pour les appareils Android (32 propriétés) et Apple (74 propriétés) afin de fournir une visibilité plus complète dans l’inventaire des périphériques. Ceci peut se faire via la création d'une stratégie de configuration Properties catalog.
• [Android] Sessions Remote Help non assistées : sur les appareils Zebra et Samsung inscrits comme « corporate-owned dedicated », l’écran est désormais masqué pendant l’assistance et l’utilisateur est averti s’il tente d’interagir avec l’appareil, renforçant ainsi la sécurité et la confidentialité.
• [Windows] Intune peut maintenant collecter les informations de l’entité SimInfo dans l’inventaire enrichi des appareils Windows, améliorant les possibilités de reporting et de diagnostic.

Configuration du périphérique

• [Windows] Support des profils DFCI pour les appareils NEC sous Windows 10/11. Les administrateurs peuvent désormais gérer les paramètres UEFI/BIOS de ces modèles directement depuis Intune (Appareils > Gérer les appareils > Configuration > Créer > Windows 10 et versions ultérieures > Modèles > Device Firmware Configuration Interface)

Sécurité du périphérique

• [Windows] Endpoint Privilege Management (EPM) prend en charge un nouveau type d’élévation « Deny ». Une règle définie sur Deny empêche l’exécution en contexte élevé d’un fichier spécifié, offrant une méthode supplémentaire pour bloquer les logiciels malveillants ou indésirables.

• [Android] Les stratégies de conformité peuvent désormais détecter si un appareil Android Enterprise (fully managed, dedicated ou COPE) est rooté et le marquer comme non conforme.

• [Linux] Nouveau profil « Microsoft Defender Global Exclusions (AV+EDR) » permettant de gérer, pour les appareils Linux pilotés par le scénario Defender for Endpoint, des exclusions communes aux moteurs Antivirus et EDR (par chemin, dossier ou processus).

Gestion des applications

• [Général] « 4CEE Connect » (4CEE Development) et « Mobile Helix Link for Intune » (Mobile Helix) sont désormais compatibles avec les stratégies de protection des applications.
• [visionOS] Les politiques APP s’étendent aux « Apple specialty devices ». Microsoft Edge (v136+), OneDrive (v16.8.4+) et Outlook (v4.2513.0+) peuvent être protégés via une configuration MAM spécifique (clé com.microsoft.intune.mam.visionOSAllowiPadCompatApps = Enabled).
• [Android] « Windows App » (Microsoft Corporation) devient une application protégée Intune.

• [iOS] « Microsoft Clipchamp » (Microsoft Corporation) rejoint la liste des applications protégées.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Lors de la mise à jour de Microsoft Configuration Manager vers la version 2503, il est nécessaire de mettre à jour les drivers ODBC. Le vérificateur de prérequis vous demande d’installer la mise à jour et vous propose un lien pour les télécharger.

• Vous installez les binaires ODBC fournis par le vérificateur
• Vous relancez le vérificateur
• Le vérificateur renvoie le même prérequis en erreur : [Failed]:Install the Microsoft ODBC driver 18 for SQL setup from https://go.microsoft.com/fwlink/?linkid=2220989.

En réalité, Microsoft a renseigné le mauvais lien dans la description de l’erreur. Vous devez utiliser :  https://download.microsoft.com/download/26bc9eb1-ba24-4b62-8274-bff0f935bb75/amd64/1033/msodbcsql.msi

Le véritable fichier fait 6.8MB par rapport 4.5MB. Il faut télécharger la version 18.5.1.

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Expérience Utilisateur

• Le portail utilisateur windows365.microsoft.com est en cours de dépréciation et est automatiquement redirigé vers Windows App (version web). Cette redirection deviendra définitive le 1ᵉʳ juin 2025 (les tenants Windows 365 Government ne sont pas concernés).

Sécurité du périphérique

• L’application Windows sur Android supporte maintenant la gestion des applications mobiles (MAM).

Supervision et Dépannage

• Rapport Cloud PC utilization: il est désormais possible de sélectionner des périodes agrégées de 28, 60 ou 90 jours pour analyser le temps de connexion, et d’identifier les Cloud PC qui n’ont encore jamais été utilisés.
• Rapport Cloud PC action status : la visualisation de la progression par lots sort de la Preview et est maintenant généralement disponible.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

En Avril 2025, Microsoft a introduit différents changements à Windows Autopilot permettant d’améliorer le comportement.

On retrouve notamment :

• Public Preview de la préparation des appareils (Device Preparation) Windows Autopilot en mode automatique pour Windows 365 Frontline en mode partagé (Shared Mode). Les administrateurs peuvent désormais choisir Automatique lors de la création d'une politique de préparation des périphériques Windows Autopilot afin de préparer une politique pour les Cloud PCs. La politique peut ensuite être incluse dans la politique de provisionnement des Cloud PCs pour s'assurer que la politique est assignée à tous les Cloud PCs après leur création. La nouvelle politique Automatique permet aux administrateurs de sélectionner jusqu'à 10 applications et jusqu'à 10 scripts qui sont livrés avant qu'un utilisateur n'accède au Cloud PC. Les déploiements peuvent ensuite être surveillés dans le rapport de déploiement de préparation des appareils Windows Autopilot. Ceci peut s’assurer que le PC a tous les logiciels et mises à jour avant que l’utilisateur se connecte.
• Microsoft a mis à jour le connecteur Intune pour Active Directory qui utilise le compte à faible privilège en version 6.2504.2001.8:
  • Mise à jour de la page de connexion pour utiliser WebView2, construit sur Microsoft Edge, au lieu de WebBrowser.
  • L'erreur MSA account <accountName> is not valid when signing in a été corrigée.
  • L'erreur Cannot start service ODJConnectorSvc on computer '.' peut maintenant être atténuée. Pour plus d'informations, voir la FAQ sur le dépannage.
  • Erreur System.DirectoryServices.DirectoryServicesCOMException (0x8007202F) : Une violation de contrainte s'est produite. peut maintenant être atténuée. Pour plus d'informations, voir la FAQ sur le dépannage.

Source : What's new in Autopilot | Microsoft Learn

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, DLP, etc.).

On retrouve notamment :

Général

• Mis à jour : L'article sur les modèles de facturation Microsoft Purview a été mis à jour pour les compteurs de sécurité des données réseau.

Data Security Posture Management

• Disponibilité générale (GA) de Data Security Posture Management (DSPM). La gestion de la posture de sécurité des données vous permet de surveiller rapidement et facilement les risques de données et d'utilisateurs à travers le cloud via des rapports dynamiques et une analyse des tendances.

Data Security Posture Management for AI

• En preview : Déploiement de la nouvelle recommandation pour étendre les informations relatives aux données sensibles dans les interactions des applications IA, qui crée une politique d'un clic utilisant la sécurité des données réseau pour détecter les types d'informations sensibles partagées avec des applications d'IA dans les navigateurs, applications, API, compléments, etc., utilisant une intégration Secure Access Service Edge ou Security Service Edge.
• En preview : Déploiement d'une nouvelle page Apps and Agents pour visualiser les applications d'IA et leurs agents utilisés dans votre organisation afin d'identifier et de gérer d'éventuels risques de sécurité des données.
• En preview : La nouvelle recommandation pour sécuriser les interactions des applications d'entreprise, qui crée une politique d'un clic pour capturer les prompts et réponses pour la conformité réglementaire à partir des apps IA connectées à Entra, du connecteur ChatGPT Enterprise et des applications construites sur les services Azure AI.
• Nouveau : La nouvelle recommandation pour sécuriser les données dans les applications et agents Azure AI, qui a établi des instructions de configuration pour surveiller les prompts et réponses pour les applications d'IA utilisant une ou plusieurs souscriptions Azure AI.

Security Copilot

• En preview : Les agents Security Copilot dans Microsoft Purview. Ces agents sont des processus alimentés par l'IA qui vous assistent dans des tâches spécifiques liées aux rôles. Cet article inclut les prérequis, les permissions et les procédures pour déployer et configurer les agents Microsoft Purview.

Classification des données

• Mis à jour : Nouvelles définitions de paramètres et capacités avancées de validateurs de checksums ajoutées aux validateurs de type d'informations sensibles TEGEX et vérifications supplémentaires.
• En preview : Création et déploiement de politiques de collecte avec son premier scénario sur la classification du trafic réseau. Voir la Référence de politiques de collecte.

Etiquettes de confidentialité (Sensitivity Labels)

• En preview : Les politiques d’étiquetage automatique pour SharePoint prennent désormais en charge les unités administratives. Lorsque vous sélectionnez une ou plusieurs unités administratives pour une politique d'auto-étiquetage qui inclut l'emplacement SharePoint, elle est automatiquement restreinte aux sites configurés pour les unités administratives sélectionnées.
• Nouveau : Trois nouveaux événements d'audit de l'étiquette de sensibilité pour vous aider à identifier les opérations d'étiquetage échouées : Échec de l'application de l'étiquette de sensibilité de fichier ; Échec du changement d'étiquette de sensibilité de fichier ; Échec de la suppression de l'étiquette de sensibilité de fichier. Ces événements peuvent être particulièrement utiles pour surveiller les politiques d'auto-étiquetage. Référez-vous au nouveau tableau pour une description des valeurs de propriété FailureReason pour ces activités.

Prévention de fuite de données (DLP)

• En preview, Microsoft propose Network Data Security pour permettre aux organisations d'ingérer et de classer le trafic réseau http et https provenant de solutions de sécurité réseau tierces. Grâce à cette fonctionnalité, vous pouvez identifier les éléments sensibles qui sont partagés dans le cadre de ces interactions :
  • Interactions avec l'IA générative par le biais de navigateurs, d'applications et de compléments, tels que Chat GPT, Gemini et Claude.
  • Fichiers téléchargés vers des fournisseurs de stockage en nuage non approuvés, notamment Dropbox, Box et Google Drive.
  • les courriels et les pièces jointes partagés avec des fournisseurs de services de messagerie en nuage, tels que Gmail
  • les formulaires soumis par l'intermédiaire de services de formulaires en ligne, notamment Google Forms
  • les messages publiés sur les réseaux sociaux par le biais de services courants tels que Facebook et X
• Deux articles expliquent comment utiliser un :
  • Outil de gestion des appareils mobiles pour les clients de Microsoft Defender for Endpoint.
  • Outil de gestion des appareils mobiles pour les clients sans Microsoft Defender for Endpoint.

Gestion des enregistrements et de la rétention

• (Preview) Déploiement d'emplacements de politique de conservation et d'un support élargi pour les Copilots et les applications d'IA. Les chats Teams ont été séparés des interactions Microsoft 365 Copilot, avec un emplacement dédié juste pour les chats Teams.
  • Microsoft Copilot experiences: Microsoft 365 Copilot, Security Copilot, Copilot in Fabric, Copilot Studio
  • Enterprise AI Apps: Microsoft Entra-connected AI apps, ChatGPT Enterprise, Azure AI Services
  • Other AI Apps: ChatGPT, Google Gemini, Microsoft Bing, DeepSeek
• En preview : La conservation pour l'emplacement des chats Teams inclut désormais Teams Facilitator pour les réunions de Teams et de questions/réponses pour les réunions. Auparavant, seules les notes générées par l'IA pour les chats étaient incluses.

Gestion des risques internes (Insider Risk Management)

• Nouvelles exigences de facturation à la consommation pour la gestion des risques internes afin de prendre en charge les indicateurs liés à l'IA générative.
• En preview : Nouveau support pour un agent Microsoft Security Copilot pour la gestion des risques internes. L'agent de triage des alertes de Microsoft Purview Insider Risk Management fournit une file d'attente d'alerte gérée par un agent où les alertes concernant les activités à haut risque sont identifiées et prioritaires sur le tableau de bord de l'agent de triage des alertes (preview). Pour plus d'informations, consultez les agents de Security Copilot dans l'aperçu de Microsoft Purview (preview).

Audit et Advanced eDiscovery

• Nouvelles exigences de facturation à la consommation (Pay-as-you-go) pour l'audit afin de prendre en charge la journalisation des audits pour certains types de données Copilot.
• Nouvel article eDiscovery qui décrit les exigences de facturation à la consommation pour le stockage de données non Microsoft 365 AI dans les cas de eDiscovery.
• Retrait d'eDiscovery : Les expériences et fonctionnalités suivantes dans eDiscovery sont retirées depuis le 26 mai 2025 :
  • Recherche de contenu dans l'expérience eDiscovery (classique)
  • eDiscovery (Standard) dans l'expérience eDiscovery (classique)
  • Paramètres liés à l'exportation dans les cmdlets PowerShell New-ComplianceSearchAction, Get-ComplianceSearchAction, et Set-ComplianceSearchAction

Communication Compliance

• Nouvelles exigences de facturation à la consommation pour la conformité de communication afin de prendre en charge les interactions génératives d'IA.

Data Governance

• Rôles et permissions de gouvernance des données mis à jour pour refléter les nouveaux rôles de Global Catalog Reader et Local Catalog Reader, qui remplacent le rôle de Data Catalog Reader.
• En preview : Des vérifications de duplication de noms pour les concepts métiers (produits de données, éléments de données critiques, termes de glossaire et OKR) avertiront les utilisateurs et proposeront un autre nom lors du processus de création ou d'édition.
• En preview : Observabilité des données pour les responsables et les propriétaires de produits de données afin de visualiser l'ensemble du catalog des termes de glossaire et des produits de données pour améliorer la gouvernance et réduire les problèmes de données.
• Disponibilité générale (GA) : Si votre source Snowflake fonctionne sur un réseau virtuel ou derrière un point de terminaison privé, vous pouvez maintenant utiliser l'évaluation de la qualité des données habilitée par le réseau virtuel de Microsoft Purview pour vous connecter et effectuer des évaluations de la qualité des données, y compris le profilage et le scanning basé sur des règles. Cette fonctionnalité est maintenant en GA et disponible dans toutes les régions.
• En preview : Si votre tenant Fabric Lakehouse fonctionne sur un réseau virtuel ou derrière un point d'extrémité privé, vous pouvez maintenant utiliser l'évaluation de la qualité des données habilitée par le réseau virtuel de Microsoft Purview. Cette fonctionnalité est maintenant en preview et prise en charge dans toutes les régions.
• Disponibilité générale (GA) : Les contrôles de santé des données dans le catalogue unifié (Unified Catalog) sont maintenant généralement disponibles (GA). Les contrôles de santé des données sont des mesures, des processus et des outils spécifiques mis en œuvre pour surveiller, maintenir et améliorer la qualité, la sécurité et la santé globale des données d'une organisation.
• Disponibilité générale (GA) : Le rapport sur la santé des données dans le Unified Catalog est maintenant généralement disponible (GA). Ce rapport complet évalue et résume la qualité des données dans votre écosystème de données et identifie les domaines nécessitant plus d'efforts pour améliorer la qualité des données.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Disponibilité Générale des cas d’usage Microsoft Sentinel dans le portail Defender. Tous les cas d’usage Microsoft Sentinel, y compris les déploiements multi-tenant et multi-workspace ainsi que le support de l’ensemble des clouds gouvernementaux et commerciaux, sont désormais disponibles en GA directement depuis le portail Defender.
• Les clients de Microsoft Sentinel qui ont activé UEBA dans le portail Defender disposent maintenant d’une nouvelle version de la table IdentityInfo, accessible dans la rubrique Advanced hunting du portail. Cette table unifiée regroupe le plus grand nombre de champs communs aux portails Defender et Azure, pour enrichir et accélérer vos investigations de sécurité.
• Preview de l’ajout à SOC Optimization (Preview)
  • AI MITRE ATT&CK tagging recommendations (Preview) : recours à l’intelligence artificielle pour suggérer automatiquement le balisage de vos détections selon les tactiques et techniques MITRE ATT&CK.
  • Risk-based recommendations (Preview) : propositions de contrôles ciblés pour combler les lacunes de couverture liées à des cas d’usage pouvant générer des risques opérationnels, financiers, réputationnels, de conformité ou juridiques.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft a annoncé la disponibilité générale de Defender for AI Services, offrant une protection à l’exécution pour les services Azure AI. Cette protection couvre des menaces propres aux charges de travail IA : jailbreak, abus de wallet, exposition de données, schémas d’accès suspects, etc. Les détections s’appuient sur Microsoft Threat Intelligence, Azure AI Prompt Shields ainsi que des modèles de machine learning et d’IA.
• Microsoft Security Copilot est désormais en GA dans Defender for Cloud. Cet assistant IA accélère la remédiation des risques : résumés générés automatiquement, actions correctives, scripts de remédiation et e-mails de délégation guident les administrateurs tout au long du processus, réduisant le temps d’investigation et facilitant la compréhension contextuelle des risques.
• (Disponibilité Générale) Microsoft a rendu la personnalisation des filtres d’analyse de logiciels malveillants « on-upload » dans Defender for Storage. Les utilisateurs peuvent désormais définir des règles d’exclusion basées sur les préfixes ou suffixes de chemin de blob ainsi que sur la taille des blobs. En excluant, par exemple, des journaux ou des fichiers temporaires, vous éviterez des analyses inutiles et réduirez les coûts.
• (Public Preview) La fonctionnalité Active User aide les administrateurs sécurité à identifier rapidement et à assigner des recommandations aux utilisateurs les plus pertinents, en se basant sur l’activité récente du plan de contrôle. Pour chaque recommandation, jusqu’à trois utilisateurs actifs sont proposés au niveau de la ressource, du groupe de ressources ou de l’abonnement. L’administrateur peut sélectionner un utilisateur, attribuer la recommandation et fixer une date d’échéance, déclenchant une notification et accélérant ainsi les workflows de remédiation.
• (Disponibilité Générale) Microsoft enrichit le tableau de bord de sécurité des données avec le nouveau tableau de bord Data and AI Security. Il offre une vue unifiée sur l’ensemble des ressources de données et d’IA, leur couverture de protection et leurs risques associés ; il met en avant les problèmes critiques, découvre les données sensibles et recense l’empreinte des charges de travail IA (services, conteneurs, ensembles de données, modèles…).
• À compter du 1ᵉʳ juin 2025, Defender CSPM commencera la facturation des ressources Azure Database for MySQL Flexible Server et Azure Database for PostgreSQL Flexible Server dans les abonnements où Defender CSPM est activé. Ces ressources sont déjà protégées ; aucune action n’est requise, mais votre facture pourrait augmenter.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

L’actualité autour de l’Intelligence Artificielle (AI) est riche et je vous propose un petit tour d’horizon des dernières annonces autour de Microsoft Security Copilot.

Agents

• En preview : Les agents Security Copilot dans Microsoft Purview. Ces agents sont des processus alimentés par l'IA qui vous assistent dans des tâches spécifiques liées aux rôles. Cet article inclut les prérequis, les permissions et les procédures pour déployer et configurer les agents Microsoft Purview.

Nouveaux et Modifications de Plugins

• Disponibilité Générale du connecteur Copilot Studio: Ce connecteur aide les utilisateurs à soumettre des invites en langage naturel pour créer une nouvelle enquête Security Copilot via Copilot Studio. Une fois l'enquête terminée, le résultat de l'évaluation est renvoyé au flux de travail.
• Public Preview du connecteur Censys : Ce plugin permet aux utilisateurs de Security Copilot d'enrichir leurs investigations en utilisant les informations sur les menaces de la plateforme Censys.
• Public Preview du connecteur HP Workforce Experience Platform : Il permet aux utilisateurs d'interroger les données relatives à leur flotte et d'obtenir des réponses rapidement et efficacement. Ce plugin peut répondre à des questions sur la garantie des PC, l'état de préparation à Windows 11, la consommation de ressources. Il peut également répondre à des questions sur l'âge, la stabilité et la santé des appareils, la sécurité, les écrans bleus et les performances des applications, y compris les blocages et les pannes.

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office.

• Dans les environnements cloud gouvernementaux, l'option Take action remplace la liste déroulante Message actions dans l'onglet Email (vue) de la zone de détails des vues Tous les emails, Malware ou Phish dans Threat Explorer (Explorer) :
  • Le personnel SecOps peut désormais créer des entrées de blocage au niveau du tenant sur les URL et les fichiers via la liste d'autorisation/blocage du tenant directement à partir de Threat Explorer.
  • Pour 100 messages ou moins sélectionnés dans Threat Explorer, le personnel SecOps peut effectuer plusieurs actions sur les messages sélectionnés à partir de la même page. Par exemple :
    • Purger les messages électroniques ou proposer des mesures correctives pour les messages électroniques.
    • Soumettre les messages à Microsoft.
    • Déclencher des enquêtes.
    • Créer des entrées de blocage dans la liste des autorisations/blocages des tenants.
• Les actions sont contextuellement basées sur le dernier emplacement de livraison du message, mais le personnel SecOps peut utiliser le bouton Show all response actions pour autoriser toutes les actions disponibles.
• Pour 101 messages ou plus sélectionnés, seules les options de purge d'email et de proposition de remédiation sont disponibles.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• (Preview) Dans l’Advanced Hunting, vous pouvez désormais afficher toutes les règles définies par l'utilisateur, qu'il s'agisse de règles de détection personnalisées ou de règles d'analyse, dans la page Règles de détection. Cette fonctionnalité apporte également les améliorations suivantes :
  • Vous pouvez désormais filtrer pour chaque colonne (en plus de la fréquence et de l'étendue de l'organisation).
  • Pour les organisations à de multiples workspaces qui ont intégré plusieurs espaces de travail à Microsoft Defender, vous pouvez désormais afficher la colonne ID du workspace et filtrer par workspace.
  • Vous pouvez désormais afficher le volet des détails même pour les règles d'analyse.
  • Vous pouvez désormais effectuer les actions suivantes sur les règles d'analyse : Activer/désactiver, Supprimer, Modifier.
• (Preview) Vous pouvez désormais mettre en évidence les réalisations de vos opérations de sécurité et l'impact de Microsoft Defender à l'aide du résumé de sécurité unifié. Le résumé de sécurité unifié est disponible dans le portail Microsoft Defender et rationalise le processus de génération de rapports de sécurité pour les équipes SOC, en économisant le temps habituellement consacré à la collecte de données à partir de diverses sources et à la création de rapports.
• Les utilisateurs du portail Defender qui ont intégré Microsoft Sentinel et activé l'analyse du comportement des utilisateurs et des entités (UEBA) peuvent désormais tirer parti de la nouvelle table IdentityInfo unifiée dans l’Advanced Hunting. Cette dernière version inclut désormais le plus grand nombre possible de champs communs aux portails Defender et Azure.
• (Preview) Les tables de schéma d’Advanced Hunting suivantes sont désormais disponibles pour vous aider à examiner les événements Microsoft Teams et les informations connexes :
  • La table MessageEvents contient des détails sur les messages envoyés et reçus au sein de votre organisation au moment de la livraison
  • La table MessagePostDeliveryEvents contient des informations sur les événements de sécurité qui se sont produits après la livraison d'un message Microsoft Teams dans votre organisation
  • La table MessageUrlInfo contient des informations sur les URL envoyées par les messages Microsoft Teams dans votre organisation.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• La nouvelle page Applications de Microsoft Defender XDR fournit un inventaire unifié de toutes les applications SaaS et OAuth connectées dans votre environnement. Cette vue permet de rationaliser la découverte des applications, la surveillance et l'évaluation des risques.
• Dans le cadre du processus de convergence en cours dans les charges de travail Microsoft Defender, les agents SIEM de Microsoft Defender for Cloud Apps seront obsolètes à partir de novembre 2025. Pour assurer la continuité et l'accès aux données actuellement disponibles via les agents SIEM de Microsoft Defender for Cloud Apps, nous recommandons de passer aux API prises en charge suivantes :
  • Pour les alertes et les activités, voir : Microsoft Defender XDR Streaming API.
  • Pour les événements de connexion de Microsoft Entra ID Protection, voir la table IdentityLogonEvents dans le schéma d’Advanced Hunting.
  • Pour l'API Microsoft Graph Security Alerts, voir : List alerts_v2v
  • Pour visualiser les données d'alertes de Microsoft Defender for Cloud Apps dans l'API d'incidents Microsoft Defender XDR, voir API d'incidents Microsoft Defender XDR et le type de ressource d'incidents.
• La page du catalogue des applications Cloud a été remaniée pour répondre aux normes de sécurité. La nouvelle conception comprend une navigation améliorée, ce qui vous permet de découvrir et de gérer plus facilement vos applications Cloud.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.

• Disponibilité Générale de la prise en charge des serveurs Linux basés sur ARM64 pour les distributions suivantes : Ubuntu, RHEL, Debian, SUSE Linux, Amazon Linux et Oracle Linux. Toutes les fonctionnalités du produit qui sont prises en charge sur les appareils AMD64 sont maintenant prises en charge sur les serveurs Linux basés sur ARM64.
• Preview la fonctionnalité permettant de contenir les adresses IP associées aux appareils qui ne sont pas découverts ou qui ne sont pas intégrés à Defender for Endpoint. Le fait de contenir une adresse IP empêche les attaquants de propager leurs attaques à d'autres appareils non compromis.
• Deux nouvelles règles de réduction de surface d’attaque (ASR) sont en disponibilité générale :
  • Block rebooting machine in Safe Mode: Cette règle empêche l'exécution de commandes visant à redémarrer les machines en mode sans échec.
  • Block use of copied or impersonated system tools: Cette règle bloque l'utilisation de fichiers exécutables identifiés comme des copies d'outils système Windows. Ces fichiers sont soit des copies, soit des imposteurs des outils système originaux.
• Dans la version de mai du client Defender for Endpoint pour macOS (Build: 101.25042.0002 | Release version: 20.125042.2.0), La commande mdatp health -details edr inclut maintenant les infos Entra ID. On retrouve aussi des corrections de bugs et performances.
• Dans la version de mai du client Defender for Endpoint pour Linux (Build: 101.25032.0010 | Release version: 30.125032.0010.0), on retrouve :
  • Suppression de la dépendance externe de MDE Netfilter et de libpcre du paquet MDE.
  • La correction du script Python exécutant des binaires non vérifiés avec des privilèges de niveau racine pour identifier les processus Java utilisant des versions obsolètes de log4j (CVE-2025-26684) a été résolue.
  • Ajout d'un mécanisme de détection pour CVE-2025-31324 affectant le composant "Visual Composer" du serveur d'application SAP NetWeaver..
  • Autres améliorations de stabilité et corrections de bugs.
• Dans la version de mai du Client Defender for Endpoint pour Android (1.0.7714.0101), on retrouve :
  • À partir du 19 mai 2025, les analystes des centres d'opérations de sécurité (SOC) peuvent désormais visualiser les éléments suivants en tant qu'événements et non plus en tant qu'alertes :
    • Connexion ou déconnexion à des réseaux sans fil ouverts
    • Téléchargement/installation/suppression de certificats auto-signés
  • Ces événements peuvent être visualisés dans l'onglet Timeline de la page d'un appareil.
• Dans la version de janvier du client Defender for Endpoint pour iOS (1.1.65280104). À partir du 19 mai 2025, lorsqu'un utilisateur se connecte à un réseau sans fil ouvert sur un appareil mobile, une alerte n'est plus générée sur le portail Microsoft Defender. Au lieu de cela, cette activité est ajoutée en tant qu'événement et visible sous la Timeline de l'appareil.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Le nouveau capteur Defender for Identity peut désormais être installé sur vos contrôleurs de domaine sans qu’un onboarding Defender for Endpoint ne soit requis. Ceci entendre une activation simplifiée et des scénarios de déploiement beaucoup plus flexibles.
• La page « Activation » présente maintenant l’ensemble des serveurs de votre inventaire, y compris ceux qui ne sont pas encore éligibles au nouveau capteur Defender for Identity. Ceci vous permet d’identifier immédiatement les serveurs non éligibles afin de les mettre à jour puis de les onboarder pour renforcer la protection des identités.
• D’ici mi-mai 2025, la collecte à distance des membres du groupe « Administrateurs locaux » via SAM-R sera désactivée. Ces informations permettaient d’alimenter les graphes de parcours de mouvement latéral, qui ne seront donc plus mis à jour. Une méthode alternative est actuellement à l’étude. Le changement est automatique et aucune action n’est requise.
• Un nouveau problème de santé détecte désormais les incohérences de configuration réseau sur les capteurs exécutés sous VMware.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Microsoft a republié l’ensemble des kits de déploiement et d’évaluation (ADK) de Windows en cours de support, pour résoudre un problème de vulnérabilité. Par ailleurs, aucun changement n'a été apporté à la composition du kit. Veillez à installer la dernière version de l'ADK pour rester à jour. Si vous devez continuer à utiliser cette version de l'ADK, veillez à réinstaller la version de l'ADK en cours d'exécution sur vos appareils.

Lorsqu'un bundle s'exécute sous l'utilisateur SYSTEM, Burn utilise GetTempPathW qui pointe vers un répertoire non sécurisé C:\Windows\Temp pour déposer et charger plusieurs binaires. Les utilisateurs standard peuvent détourner le binaire avant qu'il ne soit chargé dans l'application, ce qui entraîne une élévation des privilèges.

Pour les télécharger, rendez-vous à cette adresse.

Microsoft vient de mettre à disposition une nouvelle version (1.2.6277) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction d'un problème où Microsoft Teams demandait des autorisations de redirection après une mise à jour.
• Correction d'un problème qui provoquait un blocage lors de la connexion à une session distante.
• Correction d'un problème qui empêchait le partage d'applications dans Microsoft Teams.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Avec la disponibilité générale, Microsoft vient de publier une mise à jour (1.5.4287.0) du connecteur Microsoft Entra private network. Microsoft Entra private network est anciennement le connecteur Azure AD Application Proxy. La nouvelle marque met l'accent sur le connecteur en tant qu'infrastructure commune permettant d'accéder à n'importe quelle ressource du réseau privé. Le connecteur est utilisé à la fois pour Microsoft Entra Private Access et Microsoft Entra Application Proxy. Le nouveau nom apparaît dans les composants de l'interface utilisateur.

La dernière mise à jour (1.5.4287.0) apporte les éléments suivants :

• Le connecteur prend désormais en charge le routage du trafic sortant vers des destinations dans Microsoft Entra Private Access par le biais d'un proxy direct, ce qui améliore le contrôle du réseau.
• Le connecteur comprend un nouvel outil de diagnostic pour aider à résoudre les problèmes de configuration.
• Corrections de bugs et améliorations mineures.

Plus d’informations sur les fonctionnalités et les différences : Microsoft Entra private network connector version release notes - Global Secure Access | Microsoft Learn

Télécharger Microsoft Entra private network connector

Microsoft a publié une mise à jour (2.5.3.0) à Microsoft Entra Connect. Microsoft Entra Connect est anciennement Azure Active Directory Connect - AADC, DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière mise à jour (2.5.3.0) apporte les éléments suivants :

• Modern Authentication activé permettant aux clients de configurer l'authentification basée sur l'application pour une sécurité accrue (Public Preview).
• Mise à jour de l'agent de santé (Health Agent) fourni vers la version 4.5.2520.0
• Déplacement du centre de téléchargement vers le portail Azure pour les téléchargements
• Les informations d'identification de l'administrateur sont désormais requises lors du basculement du mode staging via PowerShell avec SSPR activé.
• Les informations d'identification de l'administrateur sont désormais requises lors de l'activation, de la désactivation ou de la suppression de la configuration SSPR via PowerShell.

Cette mise à niveau doit être faite manuellement via le lien du centre d'administration Microsoft Entra.

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Entra Connect