Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office.

• Defender pour Office 365 est désormais capable de détecter et de classer les attaques de bombardement de courrier (mail bombing). Le mail bombing est une attaque par déni de service distribué (DDoS) qui consiste généralement à abonner les destinataires à un grand nombre de newsletters et de services légitimes. Le volume de courriels entrants qui en résulte en quelques minutes vise à submerger la boîte aux lettres du destinataire et les systèmes de sécurité de la messagerie, et agit comme un précurseur de logiciels malveillants, de ransomwares ou d'exfiltration de données. Le bombardement de courrier est désormais une valeur technologique de détection disponible dans l'Explorateur de menaces, la page de l'entité Email et le panneau de synthèse Email. Le bombardement de courrier est également une valeur DetectionMethods disponible dans Advanced Hunting.
• La réponse aux soumissions alimentée par l'IA introduit des explications génératives de l'IA pour les soumissions de courriels d'administration à Microsoft. Pour plus d'informations, voir Définitions des résultats des soumissions.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• (Public Preview) Defender for Containers : détections DNS basées sur Helm, simplifiant l’installation sur des clusters Kubernetes existants et fournissant de nouvelles détections de menaces DNS (domaines malveillants, tunneling, résolutions suspectes) directement au niveau du plan de données du cluster. En outre, on retrouve des optimisations majeures avec une meilleure efficacité mémoire et diminution de la consommation CPU sur les clusters de grande taille.
• (Public Preview) Defender for Storage introduit des balises d'indexation optionnelles pour les analyses à la demande et au téléchargement. Avec cette nouvelle fonctionnalité, les utilisateurs peuvent choisir de publier les résultats dans les balises d'index du blob lorsqu'un blob est analysé (par défaut) ou de ne pas utiliser les balises d'index. Les balises d'index peuvent être activées ou désactivées au niveau de l'abonnement et du compte de stockage via le portail Azure ou l'API.
• (Public Preview) Defender for Cloud étend désormais ses capacités de découverte d'API et de posture de sécurité pour inclure les API hébergées dans Azure Function Apps et Logic Apps, en plus de sa prise en charge existante des API publiées dans Azure API Management. Cette amélioration permet aux équipes de sécurité d'avoir une vue complète et continuellement mise à jour de la surface d'attaque des API de leur organisation. Les principales fonctionnalités sont les suivantes
  • Inventaire centralisé des API : Découvrir et cataloguer automatiquement les API dans les services Azure pris en charge.
  • Évaluations des risques de sécurité : Identifier et prioriser les risques, y compris l'identification des API dormantes qui peuvent justifier une suppression, ainsi que les API non cryptées qui pourraient exposer des données sensibles.

Ces fonctionnalités sont automatiquement disponibles pour tous les clients de Defender for Cloud Security Posture Management (DCSPM) qui ont activé l'extension API Security Posture Management.

• (Public Preview) La surveillance de l'intégrité des fichiers sans agent (FIM) complète la solution FIM basée sur l'agent Microsoft Defender for Endpoint, et introduit la prise en charge de la surveillance personnalisée des fichiers et du registre. La solution FIM sans agent permet aux entreprises de surveiller les modifications de fichiers et de registres dans leur environnement sans déployer d'autres agents. Elle offre une alternative légère et évolutive tout en maintenant la compatibilité avec la solution existante basée sur l'agent. Les principales fonctionnalités sont les suivantes :
  • Surveillance personnalisée : Répondez aux exigences spécifiques de conformité et de sécurité en définissant et en surveillant des chemins d'accès aux fichiers et des clés de registre personnalisés.
  • Expérience unifiée : Les événements provenant de FIM avec ou sans agent sont stockés dans la même table d'espace de travail, avec des indicateurs de source clairs.
• (Public Preview) Microsoft a mis à jour la fonction d'analyse de code sans agent afin d'inclure des fonctionnalités clés qui étendent à la fois la couverture et le contrôle. Ces mises à jour comprennent :
  • La prise en charge des référentiels GitHub, en plus d'Azure DevOps
  • La sélection personnalisable de l'analyseur - sélectionnez les outils (par exemple, Bandit, Checkov, ESLint) à exécuter
  • La configuration granulaire de la portée - incluez ou excluez des organisations, des projets ou des référentiels spécifiques

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.

• Public Preview de l'isolation séléctive (Selective Isolation) permettant d'exclure des processus, des adresses IP ou des services spécifiques des actions d'isolation réseau unilatéral. Cela permet aux fonctions essentielles (par exemple, la remédiation ou la surveillance à distance) de continuer en cas de violation, tout en limitant l'exposition plus large du réseau.
  Cette fonctionnalité est disponible sur Windows et macOS.
• En outre on retrouve le support de la distribution Alma Linux et Rocky Linux (en canal Insider Slow). La version minimale de l'agent doit être 101.25022.0002.
• Dans la version de juin du client Defender for Endpoint pour macOS (Build: 101.25052.0012 | Release version: 20.125052.12.0), on retrouve aussi des corrections de bugs et performances.
• Dans la version de juin du client Defender for Endpoint pour Linux (Build: 101.25042.0003 | Release version: 30.125042.0003.0), on retrouve :
  • Le déploiement du paquet Defender for Endpoint dans la production se fait progressivement. A partir du moment où les notes de version sont publiées, cela peut prendre jusqu'à une semaine pour que le paquet soit poussé vers toutes les machines de production.
  • Suppression de la dépendance externe de uuid-runtime du paquet Defender for Endpoint
  • Autres améliorations de stabilité et corrections de bugs.
• Dans la version de juin du Client Defender for Endpoint pour Android (1.0.7824.0102), on retrouve principalement des corrections de bugs.
• Dans la version de juin du client Defender for Endpoint pour iOS (1.1.66120101). On retrouve principalement des corrections de bugs.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Forrester a publié son rapport 2025 sur les plateformes Zero Trust. Microsoft ressort avec Palo Alto Networks et Check Point Software Technologies parmi les leaders du marché.

Forrester met en avant que Microsoft est évangéliste sur ces notions de Zero Trust depuis 2020 et étend sa vision avec Security Copilot :

• Stratégie. La vision prospective de Microsoft met l'accent sur une architecture de sécurité proactive utilisant des agents d'intelligence artificielle innovants. Sa feuille de route s'aligne bien sur cette vision, mais manque de transparence sur les perspectives à long terme des produits. L'écosystème de partenaires de l'éditeur est l'un des plus matures de cette évaluation et possède l'envergure nécessaire pour aider les clients à construire des architectures Zero Trust à l'échelle mondiale. Sa communauté se distingue par une éducation, une formation, une collaboration et des conseils complets en matière de Zero Trust. La tarification de Microsoft est cependant plus complexe que celle des autres fournisseurs de cette évaluation.
• Capacités. Les solides capacités de gestion des identités de Microsoft permettent une application efficace de l'accès au moindre privilège et facilitent les contrôles de sécurité des données et la gestion des terminaux. Sa gestion centralisée et sa visibilité sont comparables à celles de la concurrence. Les capacités de déploiement prennent en charge le cloud et le site via des agents ou des connecteurs, principalement axés sur l'adaptabilité au cloud avec des options d'hébergement sur site limitées. Microsoft excelle dans la consolidation et l'intégration des outils, ce qui permet de réduire les coûts et les frais généraux.
• Commentaires des clients. Les clients louent l'intégration profonde et multiplateforme de l'éditeur et la simplicité de sa plateforme, soulignant qu'elle apporte une réelle valeur ajoutée à l'entreprise sans qu'il soit nécessaire d'assembler différentes solutions. Cependant, ils souhaitent une assistance plus efficace et plus rentable, ainsi que des feuilles de route plus transparentes incluant des plans pour les fonctionnalités ou capacités en fin de vie (EOL).
• L'avis de Forrester. Les entreprises axées sur le Cloud et ne dépendant que très peu de l'infrastructure sur site devraient envisager Microsoft.

Lire le rapport de Forrester

Plus d’informations sur : ​​Forrester names Microsoft a Leader in the 2025 Zero Trust Platforms Wave report | Microsoft Security Blog

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Renommage de la Codeless Connector Platform (CCP) en Codeless Connector Framework (CCF). Le nouveau nom reflète l’évolution de la plateforme et évite toute confusion avec d’autres services orientés « platform ». La facilité d’usage et la flexibilité restent inchangées.
• L’ensemble des articles de référence sur les connecteurs a été fusionné en un tableau unique et exhaustif. Sélectionnez un connecteur dans le tableau pour afficher ses détails.
• Public Preview des Summary rule templates pour déployer des règles récapitulatives pré-construites adaptées aux scénarios de sécurité courants ; elles permettent :
  • l’agrégation et l’analyse efficaces de gros volumes de données,
  • la réduction du temps de configuration,
  • l’application systématique des bonnes pratiques, même sans expertise approfondie.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Disponibilité Générale du nouveau type de données « Behaviors » dans Microsoft Defender for Cloud Apps. Ce format enrichit considérablement la précision de la détection de menaces : les alertes basées sur de simples anomalies génériques sont réduites, et seules celles dont les schémas correspondent à de véritables scénarios de sécurité sont remontées. Les équipes SecOps peuvent exploiter ces données dans Advanced Hunting pour leurs investigations, créer des détections personnalisées plus pertinentes et bénéficier de l’ajout automatique des comportements contextuels aux incidents.
• Nouveau modèle de détection dynamique des menaces (Dynamic Threat Detection). Ce moteur s’adapte en continu à l’évolution du paysage de menaces visant les applications SaaS, sans nécessiter de mises à jour manuelles de politiques ou de reconfigurations. Plusieurs politiques d’anomalies héritées ont déjà été migrées vers ce modèle adaptatif, offrant une couverture plus intelligente et réactive. Ce fonctionnement dynamique garantit que votre organisation reste protégée par une logique de détection toujours à jour.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

En Juin 2025, Microsoft a introduit différents changements à Windows Autopilot permettant d’améliorer le comportement.

On retrouve notamment :

• Windows Autopilot prend désormais en charge les applications du catalogue d'applications d'entreprise. Microsoft Intune Enterprise App Management permet aux administrateurs informatiques de gérer facilement les applications de l'Enterprise App Catalog. Avec la version 2506 d'Intune, vous pouvez désormais sélectionner les applications du catalogue d'applications d'entreprise comme applications bloquantes dans le profil de la page d'état d'inscription (ESP). Cela vous permet de vous assurer que ces applications sont livrées avant que l'utilisateur ne puisse accéder au bureau. Ceci s’applique à Windows Autopilot (v1) et Device Preparation (v2).

Source : What's new in Autopilot | Microsoft Learn

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Général

• [Général] L’Agent de remédiation des vulnérabilités est actuellement en Public Preview limité et disponible uniquement pour un groupe restreint de clients. Lorsque cet agent est exécuté, il utilise les données de Microsoft Defender Vulnerability Management pour identifier et fournir des conseils de remédiation concernant les vulnérabilités sur vos appareils gérés. Vous pouvez exécuter l'agent et afficher ses résultats depuis le centre d’administration Intune, où vous verrez des suggestions prioritaires pour la remédiation, incluant des informations clés telles que les CVE associés, la gravité, l'exploitabilité, les systèmes affectés, l’exposition organisationnelle, l'impact commercial et des conseils de remédiation.

Enregistrement des périphériques

• [Windows] Ajout d'applications du catalogue des applications d'entreprise (EAM) à la liste des applications bloquées dans Windows Autopilot et Device Preparation. La gestion des applications d'entreprise via Windows Autopilot permet aux administrateurs informatiques de gérer facilement les applications provenant du catalogue des applications d'entreprise.
• .

Gestion du périphérique

• [Android] Avec Android 16, l'orientation de l'écran n'est plus obligatoire sur les appareils avec des paramètres d'affichage de 600dp ou plus. Cette modification impacte l'écran d'accueil géré (MHS) sur les appareils avec des facteurs de forme plus grands, tels que les tablettes.

Configuration du périphérique

• [iOS/iPadOS/macOS] Nouveaux paramètres disponibles dans le catalogue des paramètres Apple :
  • Idle Reboot Allowed (iOS/iPadOS)
  • Allow Device Identifiers In Attestation (macOS)
  • La catégorie Microsoft Edge a été mise à jour avec des centaines de nouveaux paramètres.
• [Android] Nouveau paramètre « Block Bluetooth » dans le catalogue des paramètres Android Enterprise : Lorsque ce paramètre est activé, le Bluetooth est désactivé sur le périphérique.

Sécurité du périphérique

• [Général] Intune prend en charge deux nouveaux attributs pour les paramètres de nom de sujet dans les profils de configuration de périphériques SCEP et PKCS. Il s'agit des attributs suivants : G={{ GivenName }} et SN={{SurName}}. À partir du 16 juillet, vous devez utiliser ces attributs dans le format du nom du sujet si vous utilisez une autorité de certification (AC) publique tierce intégrée à l'API SCEP d'Intune pour émettre des certificats S\MIME (chiffrement ou signature) ancrés à une AC racine publique. Après cette date, une autorité de certification publique n'émettra ni ne signera les certificats S\MIME qui omettent ces attributs.

Gestion des applications

• [iOS/iPadOS] Les applications protégées suivantes sont désormais disponibles pour Microsoft Intune :
  • Datasite for Intune par Datasite (iOS)
  • Mijn InPlanning par Intus Workforce Solutions (iOS)
  • Nitro PDF Pro par Nitro Software, Inc. (iOS)
  • SMART TeamWorks par SMART Technologies ULC (iOS)
• [Windows] Prise en charge des applications Win32 par les systèmes ARM64: Lors de l'ajout d'une application Win32 à Intune, vous pouvez désormais sélectionner une option pour vérifier et installer l'application sur les appareils Windows fonctionnant sous systèmes d'exploitation ARM64.

Supervision et Dépannage

• [Général] Microsoft Intune déploie le nouveau service de reporting des politiques (PRS) V3, apportant une génération de rapports plus rapide, une meilleure fiabilité et une meilleure cohérence des données.
• [Général] Une nouvelle colonne, Attest Status, est ajoutée dans le rapport Windows hardware attestation afin d'améliorer la visibilité sur les erreurs d'attestation. Cette colonne montre les messages d'erreur reçus pendant le processus d'attestation, facilitant ainsi l'identification des problèmes tant côté service que client, incluant les erreurs WinINet, les erreurs de requête HTTP et d'autres échecs liés à l'attestation.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview de la prise en charge du scoping par domaine Active Directory: La fonctionnalité de Scope Access fait désormais partie du mécanisme URBAC (User Role-Based Access Control) de la suite XDR. Vous pouvez maintenant limiter précisément la surveillance de Defender for Identity à un ou plusieurs domaines AD :
  • Optimiser les performances : focus sur les actifs critiques, réduction du bruit.
  • Affiner la visibilité : couverture MDI adaptée à des domaines, sites ou groupes spécifiques.
  • Respecter les périmètres opérationnels : délégation simplifiée pour les analystes SOC, les administrateurs identité ou les équipes régionales.
• Defender for Identity s’ouvre à l’écosystème Okta et corrèle désormais les sign-in cloud avec les activités on-premises. L’intégration permet de détecter :
  • Connexions suspectes et escalades de privilèges.
  • Attributions de rôles à risque.
  • Mauvais usages potentiels des privilèges Okta.

• En complément de la découverte automatique, vous pouvez créer vos propres règles pour identifier les comptes de service selon vos critères (nommage, appartenance à des OU, droits spécifiques, etc.). Résultat : un inventaire plus fiable et une détection d’anomalies mieux ciblée.

• Mise à jour du module PowerShell Defender for Identity en version 1.0.0.4
  • Ajout de la gestion des domaines distants.
  • Nouveau paramètre SensorType pour la cmdlet Test-MDISensorApiConnection.
  • Gestion complète des permissions du conteneur Deleted Objects (Get/Set/Test).
  • Audit des Delegated Managed Service Accounts (dMSA) intégré à DomainObjectAuditing.
  • Correctifs multiples : systèmes d’exploitation non anglais, doublons d’identités dans DomainObjectAuditing, détection du service AD Web Services, parsing des permissions Deleted Objects, améliorations de fiabilité générales.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Universal Print.

On retrouve les nouveautés suivantes :

• Disponibilité Général de la fonctionnalité Universal Print anywhere (pull print) permettant de récupérer l’impression via un QRCode par exemple.

Plus d’informations sur : What's new in Universal Print | Microsoft Learn

Microsoft vient de publier une mise à jour (2.20.56) au client Global Secure Access de Microsoft Entra. Global Secure Access est le client utilisé par Microsoft Entra Internet Access et Private Access.  Ces services sont la solution Security Service Edge de Microsoft.

La dernière mise à jour (2.20.56) apporte les éléments suivants :

• Le nouveau programme d'installation du client Global Secure Access pour Windows sur Arm peut être téléchargé sur le portail.
• Une nouvelle interface utilisateur client avec l'état des canaux, une section de dépannage et des paramètres. Pour ouvrir l'interface, double-cliquez sur l'icône Global Secure Access dans la barre d'état système.
• La collecte de données télémétriques est activée.
• La nouvelle interface utilisateur comprend un lien vers la politique de confidentialité de Microsoft afin de se conformer à la politique de collecte de données télémétriques.
• Le client prend en charge les caractères non ASCII dans le nom du système d'exploitation.
• L'outil de diagnostic avancé a été amélioré sur le plan de l'accessibilité.
• Le client Global Secure Access nettoie les règles NRPT (Name Resolution Policy Table) lorsqu'il démarre en mode "Accès privé désactivé".
• Le client prend en charge les enregistrements DNS qui pointent vers une IP dans la plage d'adresses 127.0.0.0/8.
• .NET Runtime est mis à niveau vers la version 8.0.14.
• OneAuth passe à la version 5.6.0..
• Améliorations et corrections de bogues pour les diagnostics avancés.
• Diverses améliorations et corrections de bogues.

Plus d’informations sur les fonctionnalités et les différences : Global Secure Access client for Windows version release notes - Global Secure Access | Microsoft Learn

Le client est téléchargeable depuis le portail Microsoft Entra en naviguant dans Global Secure Access > Connect > Client download