Je vous propose un petit aperçu des nouveautés en février 2022 autour de la gouvernance, de la conformité et de la protection de données (MIP, etc.).

On retrouve notamment :

Etiquettes de confidentialité (Sensitivity Labels)

• Nouvelles directives Why choose MIP built-in labeling over the AIP add-in for Office apps si vous utilisez le client d'étiquetage unifié Azure Information Protection (AIP). Cette page comprend des informations sur la nouvelle Private Preview pour les applications Office avec de nouveaux paramètres pour les politiques d'étiquetage automatique :
  • Des paramètres supplémentaires pour les e-mails afin de prendre en charge l'application systématique d'une étiquette de sensibilité adaptée et d'appliquer le chiffrement aux e-mails reçus de l'extérieur de l'organisation.
  • Les exclusions pour des instances spécifiques (utilisateurs, groupes, sites) sont prises en charge en utilisant la nouvelle option Exclus lorsque la sélection par défaut de Tous est spécifiée pour Inclus.
• Les périphériques mobiles (iOS et Android) prennent en charge la coédition lorsque vous disposez des versions minimales et que vous choisissez de participer à cette Preview. Il faut mettre à jour la version l'app office ou Word/Excel/PowerPoint vers la version 16.0.14931+ sur Android ou 2.58.207+ sur iOS. Vous devez aussi activer la coédition sur le tenant et faire une demande pour la Public Preview : Consent to Enable co-authoring for files encrypted with sensitivity labels on mobile (microsoft.com)

• La prise en charge de la définition du type de lien de partage par défaut est étendue aux documents individuels dans SharePoint et OneDrive.
• Le centre d'administration de Teams prend désormais en charge les étiquettes de conteneur (étiquettes de sensibilité avec la portée des groupes et des sites).

 Gestion des enregistrements et de la rétention

• Les Adaptative Scopes pour les stratégies de rétention et les stratégies d'étiquettes de rétention sont maintenant disponibles en version finale (GA). Les instructions pour la configuration d'une Adaptative Scope incluent maintenant plus d'informations pour les portées de site SharePoint : Référence du billet de blog pour l'utilisation des propriétés de site personnalisées et comment utiliser la propriété de site SiteTemplate pour inclure ou exclure des types de sites spécifiques avec le constructeur de requêtes avancées.
• La recherche de politiques dans la solution de gouvernance de l'information est désormais disponible de manière générale (GA).
• Alternative PowerShell au paramètre de gestion des enregistrements qui permet aux utilisateurs de supprimer des éléments étiquetés dans SharePoint et OneDrive en utilisant AllowFilesWithKeepLabelToBeDeletedSPO et AllowFilesWithKeepLabelToBeDeletedODB à partir de Get-PnPTenant et Set-PnPTenant.

Advanced eDiscovery

• Gérer les modèles custodian communications dans Advanced eDiscovery - Les gestionnaires d'eDiscovery peuvent maintenant créer des modèles custodian communications qui peuvent être utilisés dans tous les cas Advanced eDiscovery de l'organisation.
• Gestion des agents d'émission dans Advanced eDiscovery - Les gestionnaires d'eDiscovery peuvent ajouter une liste d'agents d'émission qui peuvent être assignés aux custodian communications dans tous les cas Advanced eDiscovery de l'organisation.

Gestion de la conformité

• Une nouvelle fonctionnalité vous recommande les modèles d'évaluation premium qui sont les plus intéressant en fonction de l'industrie et la région du client.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Gartner vient de sortir un nouveau Magic Quadrant pour les plateformes de services de contenu.  Pour la 5^ème année consécutive, Microsoft ressort avec Hyland parmi les leaders du marché avec sa solution SharePoint.

Parmi les forces, on retrouve :

• Intégration de la suite de productivité : Les services de contenu fournis par Microsoft, sous-tendus principalement par SharePoint, sont étroitement intégrés dans la plupart des aspects de la suite et constituent le référentiel de contenu par défaut pour Microsoft 365.
• SaaS : Microsoft 365 est une plateforme SaaS qui bénéficie du cycle continu de développement et de mise à jour que cela implique. Il s'agit d'un service mature offrant de nombreuses options de résidence des données et des contrôles de confidentialité supplémentaires, tels que des clés de chiffrement gérées par le client.
• Un écosystème de partenaires tiers : Il est facile de trouver des ressources de mise en œuvre et de formation grâce au vaste réseau de partenaires de Microsoft. Ces partenaires fournissent des solutions et des services conçus pour améliorer Microsoft 365. Un programme de partenariat dédié aux services de contenu Microsoft 365 est en place et actif. De nombreux produits, notamment des adaptateurs d'intégration pour le cadre d'automatisation de Microsoft (Power Automate), peuvent être ajoutés directement à partir de la boutique d'applications Microsoft, ce qui favorise l'activité des développeurs citoyens.

Les faiblesses suivantes sont identifiées :

• Capture de contenu limitée : SharePoint Syntex offre des capacités de capture de contenu de base qui s'apparentent davantage à un service moderne de "desktop scanning" qu'aux capacités de capture avancées des concurrents de Microsoft, qui sont conçues pour répondre aux besoins de capture et de traitement de contenu importants et complexes d'une entreprise.
• Limites architecturales : SharePoint impose des limites de dimensionnement architectural qui ne sont pas présentes dans d'autres plateformes CSP de premier plan. La topologie de SharePoint, basée sur les sites, et les limites associées à ces sites, rendent plus difficile la conception de processus complexes, centrés sur le contenu. Cela est particulièrement vrai lorsqu'il s'agit de prendre en charge des cas d'utilisation transactionnels ou d'archivage de gros volumes nécessitant, par exemple, des milliards de documents. Bien qu'il ne s'agisse pas d'une limitation flagrante, elle nécessite une réflexion supplémentaire sur la conception, ce qui peut avoir un impact sur la convivialité.
• Étalement du contenu : Les clients indiquent régulièrement à Gartner que Microsoft 365 facilite la prolifération du contenu dans leurs organisations. Les partenaires de l'écosystème Microsoft ont également reconnu ce problème. Il existe un nombre croissant d'outils disponibles auprès de fournisseurs tiers (moyennant un coût supplémentaire) pour aider les administrateurs à gérer le cycle de vie des sites SharePoint et des canaux Teams. 

Lire la copie du rapport

Plus d’informations sur : Microsoft recognized as a Leader in the 2021 Gartner® Magic Quadrant for Content Services Platforms - Microsoft 365 Blog

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Defender for Containers ne protégeait auparavant que les charges de travail Kubernetes exécutées dans Azure Kubernetes Service. Microsoft a maintenant étendu la couverture de protection pour inclure les clusters Kubernetes compatibles avec Azure Arc.
• Le nouveau processus d’onboarding automatisé des environnements GCP vous permet de protéger les charges de travail GCP avec Microsoft Defender for Cloud. Defender for Cloud protège vos ressources avec les plans suivants :
  • Les fonctionnalités CSPM de Defender for Cloud s'étendent aux ressources GCP. Ce plan sans agent évalue les ressources GCP en fonction des recommandations de sécurité spécifiques à GCP, qui sont fournies avec Defender for Cloud. Les recommandations GCP sont incluses dans le score de sécurité, et les ressources seront évaluées pour leur conformité à la norme intégrée GCP CIS. La page d'inventaire des ressources de Defender for Cloud est une fonctionnalité multi-cloud qui vous aide à gérer les ressources sur Azure, AWS et GCP.
  • Microsoft Defender for servers apporte la détection des menaces et des défenses avancées à vos instances de calcul GCP. Ce plan comprend la licence intégrée pour Microsoft Defender for Endpoint, l'analyse d'évaluation de la vulnérabilité, etc.
• Preview du plan Microsoft Defender for Azure Cosmos DB, une couche de sécurité native d'Azure qui détecte toute tentative d'exploitation des bases de données des comptes Azure Cosmos DB. Microsoft Defender for Azure Cosmos DB détecte les injections SQL potentielles, les mauvais acteurs issus de la base de connaissances de Microsoft Threat Intelligence, les modèles d'accès suspects et l'exploitation potentielle de la base de données par le biais d'identités compromises ou d'initiés malveillants.
• Suite à l’annonce précédente pour GCP, Microsoft Defender for Containers a étendu sa protection contre les menaces, son analyse comportementale et ses politiques de contrôle d'admission intégrées à Kubernetes aux clusters standard de Google Kubernetes Engine (GKE). Vous pouvez facilement intégrer tout cluster GKE Standard existant ou nouveau dans l’environnement grâce aux capacités d'intégration automatique.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft vient de mettre à disposition la Technical Preview 2203 (5.0.9075.1000) de Microsoft Endpoint Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2111 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

Microsoft Endpoint Configuration Manager TP 2203 comprend les nouveautés suivantes :

Administration

• La console Configuration Manager propose désormais un thème sombre (Dark). Pour utiliser ce thème, sélectionnez la flèche en haut à gauche du ruban, puis choisissez Switch console theme. Sélectionnez à nouveau Switch console theme pour revenir au thème clair. L'utilisation d'un thème de console peut vous aider à distinguer facilement un environnement de test d'un environnement de production ou une hiérarchie d'une autre.

Déploiement de système d’exploitation

• Vous pouvez désormais configurer l'étape Enable BitLocker d'une séquence de tâches afin d’envoyer les informations de récupération BitLocker pour le volume du système d'exploitation dans Configuration Manager. Auparavant, vous deviez stocker les informations dans Active Directory ou attendre que le client Configuration Manager reçoive la stratégie de gestion BitLocker après la séquence de tâches. Cette nouvelle option permet de s'assurer que le périphérique est entièrement protégé par BitLocker lorsque la séquence de tâches se termine, et que vous pouvez récupérer le volume du système d'exploitation immédiatement. Pour l’utilise, vous devez soit créer et utiliser un certificat pour chiffrer la base de données de site pour la gestion BitLocker, soit activer l’option Allow recovery information to be stored in plain text sur la stratégie de gestion cliente BitLocker

PowerShell

• On retrouve différents changements sur les cmdlets PowerShell : https://docs.microsoft.com/en-us/mem/configmgr/core/get-started/2022/technical-preview-2203#bkmk_powershell

Plus d’informations sur : Technical preview 2203 - Configuration Manager | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Général] Vous pouvez utiliser l'application cloud Microsoft Intune et/ou Microsoft Intune Enrollment pour appliquer une politique d'accès conditionnel et d'acceptation des conditions d'utilisation d'Azure AD sur les appareils iOS et iPadOS pendant l'inscription automatisée des périphériques. Cette fonctionnalité est disponible lorsque vous sélectionnez Setup Assistant with modern authentication comme méthode d'authentification. Les deux applications cloud garantissent désormais que les utilisateurs acceptent les conditions d'utilisation lors de l'inscription et/ou de la connexion au portail de l'entreprise si la stratégie d'accès conditionnel l'exige.
• [Android] Vous pouvez créer des chartes d’utilisation pour les périphériques Android AOSP associés à des utilisateurs. Les chartes doivent être acceptés lors de l’enregistrement du périphérique avec le portail d’entreprise.
• [Windows] La page de configuration de la page d'état d'enregistrement (ESP) pour Windows et Windows Autopilot a été améliorée pour permettre la rechercher d'une application, voir si l'application est en ligne ou hors ligne ainsi que le numéro de version associée.

Gestion du périphérique

• [Windows 10/11] Grâce à Group Policy Analytics, vous pouvez importer vos objets de stratégie de groupe (GPO) pour voir les paramètres pris en charge par les fournisseurs MDM, y compris Microsoft Intune. Il indique également les paramètres dépréciés ou ceux qui ne sont pas disponibles dans les fournisseurs MDM. L'équipe produit Intune met à jour la logique de mappage. Lors de ces mises à jour, les paramètres obsolètes sont automatiquement réévalués. Auparavant, vous deviez réimporter vos GPOs.

• [Android] Support de l’action Play lost device sound pour initier des alertes audios sur les périphériques Android Enterprise Dedicated (COSU) afin de les localiser lorsqu’ils sont perdus ou volés.

Configuration du périphérique

• [Android] Vous pouvez utiliser le paramètre Connect Automatically sur les profils WiFi entreprise. Ceci concerne les périphériques Android Enterprise Fully Managed (COBO) ou Dedicated Devices (COSU).

• [iOS/iPadOS] Dans le cadre d'un profil d'inscription iOS/iPadOS lors de la configuration d’Automated Device Enrollment (ADE), vous pouvez désormais configurer les périphériques pour activer les données cellulaires. La configuration de cette option enverra une commande pour activer les plans de données cellulaires pour les périphériques cellulaires compatibles eSim. L’opérateur doit fournir des activations pour vos périphériques avant de pouvoir activer des plans de données à l'aide de cette commande. Ce paramètre s'applique aux appareils fonctionnant sous iOS/iPadOS 13.0 et plus qui s'inscrivent avec ADE.

• [iOS/iPadOS] Mise à jour de l’interface lors de la création d’une stratégie de configuration VPN à la demande. Vous pouvez créer une connexion on-demand VPN pour vos périphériques iOS/iPadOS (Devices > Configuration profiles > Create profile > iOS/iPadOS comme plateforme > VPN pour type de profil > Automatic VPN > On-demand VPN). L'interface utilisateur est mise à jour pour se rapprocher de la dénomination technique d'Apple.
• [macOS] De nouveaux paramétrages macOS dans le catalogue de paramétrages (Settings Catalog) incluant :
  • Domains > Email Domains
  • Printing > Printing
  • Profile Removal Password > Removal Password
  • Global HTTP Proxy

Sécurité du périphérique

• [Général] Vous pouvez utiliser Red Hat Enterprise Linux (RHEL) 8.5 avec Microsoft Tunnel. Microsoft a également mis à jour l'outil de préparation (mst-readiness) avec une nouvelle vérification de la présence du module ip_tables dans le noyau Linux. Par défaut, RHEL 8.5 ne charge pas le module ip_tables. Pour les serveurs Linux qui ne chargent pas le module, Microsoft a fourni des instructions pour les charger immédiatement et pour configurer le serveur Linux afin qu'il les charge automatiquement au démarrage.
• [Général] Le partenaire Mobile Threat Defense Zimperium est maintenant disponible dans les tenants GCC High.

• [Général] Vous pouvez désormais configurer le type de données d'inventaire des applications pour les appareils iOS/iPadOS appartenant à des particuliers qu'Intune envoie au partenaire tiers Mobile Threat Defense (MTD) choisi.

• [iOS/iPadOS] Public Preview des fonctionnalités du client Tunnel dans l’application Microsoft Defender for Endpoint pour iOS/iPadOS. Le client Tunnel existant reste disponible, mais sera finalement abandonné au profit de l'application Defender for Endpoint. Plus de détails sur : Migrate Microsoft Tunnel to the Microsoft Defender for Endpoint app for Microsoft Intune | Microsoft Docs

Supervision et Dépannage

• [Général] La page Remote Help dans le centre d'administration de Microsoft Endpoint Manager a été déplacée et est maintenant disponible directement sous Tenant administration au lieu Connectors and tokens.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Si vous avez passé les nouvelles certifications Bêta sur l’hybridation de Windows Server, Microsoft vient de mettre en ligne les résultats des certifications : Exam AZ-800: Administering Windows Server Hybrid Core Infrastructure et Exam AZ-801: Configuring Windows Server Hybrid Advanced Services. Ces certifications donnent accès au statut Windows Server Hybrid Administrator Associate. Ces certifications abordent des aspects historiques liés aux certifications Windows Server mais aussi de nouveaux aspects liés à Azure (Azure Site Recovery, Azure Arc, etc.)

Pour rappel, voici les différents éléments qui sont évalués pour l’AZ-800:

• Deploy and manage Active Directory Domain Services (AD DS) in on-
  premises and cloud environments (30–35%)
  • Deploy and manage AD DS domain controllers
  • Configure and manage multi-site, multi-domain, and multi-forest environments
  • Create and manage AD DS security principals
  • Implement and manage hybrid identities
  • Manage Windows Server by using domain-based Group Policies
• Manage Windows Servers and workloads in a hybrid environment (10–
  15%)
  • Manage Windows Servers in a hybrid environment
  • Manage Windows Servers and workloads by using Azure services
• Manage virtual machines and containers (15–20%)
  • Manage Hyper-V and guest virtual machines
  • Create and manage containers
  • Manage Azure Virtual Machines that run Windows Server
• Implement and manage an on-premises and hybrid networking
  infrastructure (15–20%)
  • Implement on-premises and hybrid name resolution
  • Manage IP addressing in on-premises and hybrid scenarios
  • Implement on-premises and hybrid network connectivity
• Manage storage and file services (15–20%)
  • Configure and manage Azure File Sync
  • Configure and manage Windows Server file shares
  • Configure Windows Server storage

Voici les différents éléments qui sont évalués pour l’AZ-801:

• Secure Windows Server on-premises and hybrid infrastructures (25–
• 30%)
  • Secure Windows Server operating system
  • Secure a hybrid Active Directory (AD) infrastructure
  • Identify and remediate Windows Server security issues by using Azure services
  • Secure Windows Server networking
  • Secure Windows Server storage
• Implement and manage Windows Server high availability (10–15%)
  • Implement a Windows Server failover cluster
  • Manage failover clustering
  • Implement and manage Storage Spaces Direct
• Implement disaster recovery (10–15%)
  • Manage backup and recovery for Windows Server
  • Implement disaster recovery by using Azure Site Recovery
  • Protect virtual machines by using Hyper-V replicas
• Migrate servers and workloads (20–25%)
  • Migrate on-premises storage to on-premises servers or Azure
  • Migrate on-premises servers to Azure
  • Migrate workloads from previous versions to Windows Server 2022
  • Migrate IIS workloads to Azure
  • Migrate an AD DS infrastructure to Windows Server 2022 AD DS
• Monitor and troubleshoot Windows Server environments (20–25%)
  • Monitor Windows Server by using Windows Server tools and Azure services
  • Troubleshoot Windows Server on-premises and hybrid networking
  • Troubleshoot Windows Server virtual machines in Azure
  • Troubleshoot Active Directory

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en février 2022.

Microsoft apporte les nouveautés suivantes :

• 20 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Embark, FENCE-Mobile RemoteManager SSO, カオナビ, Adobe Identity Management (OIDC), AppRemo, Live Center, Offishall, MoveWORK Flow, Cirros SL, ePMX Procurement Software, Vanta O365, Hubble, Medigold Gateway, クラウドログ,Amazing People Schools, Salus, XplicitTrust Network Access, Spike Email - Mail & Team Chat, AltheaSuite, Balsamiq Wireframes.
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • BullseyeTDP
  • GitHub Enterprise Managed User (OIDC)
  • Gong
  • LanSchool Air
  • ProdPad

• Public Preview de CloudKnox Permissions Management.CloudKnox était un leader dans le Cloud Infrastructure Entitlement Management (CIEM) permettant de gérer les permissions de n'importe quelle identité à travers tous les Cloud.La solutions permet d'obtenir une vue de tous les risques sur les permissions, d'automatiser l'accès avec le moins de privilèges, d'obtenir la détection d'anomalies pour accélérer la réponse sur l'incident.
• Public Preview de l'authentification basée sur des certificats pour Azure Active Directory (Azure AD CBA). Ceci permet de faire de l'authentification à facteurs multiples résistante au phishing en utilisant des cartes PIV/CAC

• Public Preview d’Azure AD Identity Protection pour l’étendre ses capacités principales de détection, d'investigation et de correction des risques liés à l'identité aux identités de charge de travail (Workload Identities). Cela permet aux entreprises de mieux protéger leurs applications, leurs principaux services et leurs identités gérées. Microsoft a également étendu l'accès conditionnel afin de pouvoir bloquer les identités de charge de travail à risque.. Plus d'infos sur : Extend the reach of Azure AD Identity Protection into workload identities - Microsoft Tech Community

• Public Preview des paramétrages d’accès au tenant pour la collaboration B2B. Ceci vous permet de contrôler la façon dont les utilisateurs de l’entreprise collaborent avec les membres d’entreprises Azure AD externes. Vous disposez désormais de paramètres de contrôle d'accès entrants et sortants granulaires qui fonctionnent par entrceprise, utilisateur, groupe et application. Ces paramètres vous permettent également de faire confiance aux demandes de sécurité des entreprises Azure AD externes, comme l'authentification à facteurs multiples (MFA), la conformité des périphériques et les périphériques hybrides joints à Azure AD.

• Public Preview permettant la création de révision des accès avec plusieurs étapes pour les réviseurs. Cela permet de créer des examens d'accès à Azure AD en plusieurs étapes séquentielles, chacune avec son propre ensemble d'examinateurs et de configurations. Le but est de satisfaire à des scénarios tels que : groupes indépendants de réviseurs atteignant le quorum, escalades vers d'autres réviseurs, et réduction de la charge en permettant aux réviseurs des étapes ultérieures de voir une liste filtrée. Pour l’instant, ceci n’est supporté que pour les révisions de groupes et d'applications.

• Identity Protection a ajouté deux nouvelles détections de Microsoft Defender for Cloud Apps, (anciennement MCAS). La détection d'accès massif à des fichiers sensibles détecte les activités anormales des utilisateurs, et l'ajout inhabituel d'informations d'identification à une application OAuth détecte les activités suspectes des principaux services.
• Il est maintenant possible d'exécuter des workflows personnalisés dans Azure AD Entitlement Management en utilisant Azure Logic Apps.
• Disponibilité Générale du rapport téléchargeable de l’historique de révision des accès. Avec Azure Active Directory (Azure AD) Access Reviews, vous pouvez créer un historique des révisions téléchargeable pour aider l’entreprise à mieux comprendre. Le rapport extrait les décisions qui ont été prises par les réviseurs lors de la création d'un rapport. Ces rapports peuvent être construits pour inclure des révisions d'accès spécifiques, pour une période spécifique, et peuvent être filtrés pour inclure différents types de révision et de résultats de révision.

On retrouve les modifications de service suivantes :

• Ce changement fournit aux utilisateurs qui se connectent à Azure Active Directory sur iOS, Android et les interfaces Web des informations sur l'accessibilité des services en ligne de Microsoft via un lien sur la page de connexion. Cela permet de s'assurer que les exigences de conformité de l'accessibilité numérique de la France sont respectées. Le changement ne sera disponible que pour les expériences en langue française.

• Microsoft a amélioré le délai d'activation des rôles dans Privileged Identity management (PIM) pour SharePoint Online. Désormais, lorsque vous activez un rôle dans PIM pour SharePoint Online, vous devriez être en mesure d'utiliser vos autorisations immédiatement dans SharePoint Online.

Plus d’informations sur : What’s new Azure AD

Microsoft vient de mettre à disposition une nouvelle version (1.2.2925) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction de la vulnérabilité CVE-2022-21990.
• Correction de la vulnérabilité CVE-2022-24503.
• Correction d'un problème où les mises à jour en arrière-plan pouvaient fermer les connexions distantes actives.

La version précédente 1.2.2925 apportait :

• Le client Desktop prend désormais en charge les raccourcis clavier Ctrl+Alt+flèche pendant les sessions de bureau.
• Amélioration des performances graphiques avec certains types de souris.
• Correction d'un problème qui provoquait le plantage aléatoire du client lorsque quelque chose mettait fin à une connexion RemoteApp.
• Amélioration de la journalisation du client, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.
• Mises à jour de Teams pour Azure Virtual Desktop, notamment les suivantes :
  • La fonctionnalité de flou en arrière-plan est déployée cette semaine pour Windows.
  • Correction d'un problème qui faisait que l'écran devenait noir pendant les appels vidéo Teams.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft a ajouté le FQDN du compte impliqué dans l'alerte au message envoyé au SIEM. Pour plus d'informations, voir Microsoft Defender for Identity SIEM log reference.

• Toutes les fonctionnalités de Microsoft Defender for Identity sont désormais disponibles sur le portail Microsoft 365 Defender. Ceci implique :
  • Toutes les évaluations de la gestion de la posture de sécurité de l’identité initialement accessibles dans Microsoft Defender for Cloud Apps, sont maintenant dans le Secure Score du portail.
  • La fonctionnalité de recherche universelle comprend les éléments de Microsoft Defender for Identity.
  • L’intégration de l’expérience d’administration et d’intégration de Microsoft Defender for Identity.
  • La corrélation des alertes et des incidents de Microsoft Defender for identity est intégrée aux autres alertes.
  • Defender for Identity est disponible dans Advanced Hunting.
  • L’Amélioration de l'expérience d'exclusion des alertes en ajoutant notamment une fonction de recherche utile. Microsoft a introduit des exclusions globales. Cela signifie que toute entité peut être exclue de toutes les alertes générées par Defender for Identity

• Cette version corrige des problèmes lors de l'installation du capteur sur Windows Server 2019 avec la KB5009557 installé, ou sur un serveur avec des permissions durcies sur l’EventLog.
• Les versions 2.172, 2.173, et 2.174 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft a communiqué un changement à partir de Mars 2022 (2203) concernant Microsoft Endpoint Manager (Intune). Les administrateurs vont pouvoir utiliser des guillemets dans les valeurs de détection du registre pour les applications Win32. Cela apporte une flexibilité supplémentaire et permet aux administrateurs de spécifier les valeurs de détection de registre exactes qu'ils souhaitent.

Le comportement actuel supprime les guillemets. Après le changement, les guillemets ne seront plus supprimés et peuvent avoir un impact sur vos règles de détection s'ils ne sont pas mis à jour.

Mettez à jour vos valeurs de détection pour supprimer les guillemets afin que vos règles de détection ne soient pas affectées. Après la version de service de mars 2203, vous pourrez alors utiliser des guillemets dans vos règles de détection, si cette flexibilité répond aux besoins de l’entreprise.

Microsoft a communiqué un changement à partir de Mars 2022 (2203) concernant Microsoft Endpoint Manager (Intune). Les administrateurs ne pourront pas auto attribuer les permissions pour la caméra, l’emplacement et le microphone pour Android Enterprise Work Profile. Si l'option d'octroi automatique est choisie pour le paramètre de restrictions de l'appareil " Default app permissions", les autorisations relatives à l'appareil photo, au microphone et à la localisation seront toujours demandées.

Les permissions sont inclues :

• Camera: CAMERA
• Location access (fine): ACCESS_FINE_LOCATION
• Location access (coarse): ACCESS_COARSE_LOCATION
• Location access (background): ACCESS_BACKGROUND_LOCATION
• Access media location: ACCESS_MEDIA_LOCATION
• Record audio: RECORD_AUDIO
• Record background audio: RECORD_BACKGROUND_AUDIO

En outre, si l'option d'octroi automatique est choisie pour les autorisations par le biais d'une stratégie de configuration des applications, les autorisations relatives à la caméra, au microphone et à la localisation seront toujours demandées. Pour les applications pour lesquelles ces autorisations sont déjà accordées automatiquement en raison de stratégies existantes, Microsoft ne demandera pas ces permissions de caméra, de microphone et de localisation pour ces applications.

Si les utilisateurs de périphériques précédemment ciblés par des politiques d'octroi automatique ont des applications qui nécessitent ces autorisations pour la première fois, ils seront invités à autoriser l'accès. Si vous utilisez une application Mobile Threat Detection qui nécessite des autorisations de localisation, après ce changement, les utilisateurs devront peut-être autoriser les autorisations de localisation lorsqu'ils y seront invités afin de maintenir la conformité du périphérique.

Vous devez donc informer les utilisateurs en ce sens.

L’équipe Compliance a publié un billet visant à créer une formation complète sur Compliance Manager allant jusqu’à un niveau d’expertise. On retrouve notamment :

• MSCM – Fundamentals [Niveau débutant]
  • MSCM Overview:  Introduction to Microsoft Compliance Manager
  • Getting started with MSCM
  •  Assessment Types and working with assessments (workflow and tracking)
  • Automated Compliance Scoring
  • Assigning Improvement Actions  & action types (RBAC)
  • MSCM Recommendation Wizard
  • Automation with MSCM
• MSCM – Intermediate [Niveau Associé]
  • Introduction to Templates:  Template library, premium templates, and universal templates
  • Creating an Assessment from a template
  • Importing Templates
  • Regulatory and Compliance updates
  • Improving Compliance Score
  • Skip to primary navigation
• Microsoft Compliance Manager – Advanced [Niveau Expert]
  • Extending Templates
  • Integration of Excel into MSCM and how to use it to modify templates
  • MSCM Scenario
  • Microsoft Compliance Manager Considerations & Wrap Up

Voici le lien pour faire la vérification des compétences : Knowledge Check - Microsoft Compliance Manager Advanced

Accéder à Microsoft Compliance Manager Ninja Training

Avec la fin du portail UserVoice, Microsoft a mis en place un nouveau portail pour donner des retours et des commentaires sur les solutions de conformité incluant Microsoft Information Protection (MIP) et Data Loss Prevention (DLP). Le portail vous permet aussi de voter pour donner plus de visibilité à certaines idées.

On retrouve donc les portails suivants :

• Microsoft Information Protection: https://aka.ms/MIP/Feedback
• Data Loss Prevention: https://aka.ms/DLP/Feedback
• Insider Risk Management: https://aka.ms/IRM/Feedback
• Communication Compliance: https://aka.ms/CC/Feedback

En avril 2022, Microsoft va réaliser une mise à jour dans le service de Microsoft Endpoint Manager (Intune) qui va impacter les notifications envoyées à destination d’iOS/iPadOS. Cette mise à jour va demander la mise à jour du portail d’entreprise en mars 2022. Veillez donc à ce que les utilisateurs mettent à jour le portail d’entreprise (en version 5.2203.0 ou plus) à cette date.

S’ils ne le font pas, ils ne recevront pas les messages envoyés par l’entreprise et ils recevront en lieu et place une notification les invitant à mettre à jour l’application. Une fois à jour, ils verront les notifications manquées dans la section Notification du portail d’entreprise.

Mise à jour de la Portail d'entreprise’application | Microsoft Docs

A partir du 11 mai 2022, Microsoft va réaliser une amélioration de la collecte de journaux d’applications Win32 va demander l’utilisation de Windows 10 1909 ou plus. Si vous utilisez la fonction sur des périphériques Windows 10 1903 ou inférieurs, vous ne pourrez plus utiliser l’action à distance Collect logs pou dépanner les échecs d’installation d’application.

Vous devez donc mettre à jour ces périphériques vers Windows 10 1909 ou plus.

Résolution des problèmes d’installations d’applications Win32 avec Intune - Intune | Microsoft Docs

Certains ont peut-être constaté un problème avec la découverte Active Directory des utilisateurs et des groupes associés dans Microsoft Endpoint Configuration Manager (MECM / SCCM). Le problème semble être présent depuis janvier 2022. Il semble que le correctif cumulatif pour Windows Server de janvier 2022 ait durcit l’usage du fallback de Kerberos à NTLM. Dans ce contexte, ceci a deux impacts :

Problème N°1 : Le premier concerne la découverte des groupes qui n’arrivent pas à lire le nom de domaine NETBIOS lors de l’utilisation d’espace de nom disjoints. Dans ce cas, tous les groupes découverts à partir du domaine change le domaine selon la première partie du FQDN.

Exemple: domaine AAA (Netbios), BBB.COM (FQDN).
Cas attendu : AAA\Group
Cas constaté: BBB\Group
Ceci peut avoir un impact sur vos règles d’évaluation de collections quand vous utilisez le nom netbios comme condition. Dans ce cas, vous pouvez vous retrouver avec des collections ne présentant pas les membres attendus.

En attendant une meilleure solution, vous pouvez mettre à jour les collections pour inclure à la fois les noms de domaine Netbios et DNS :
(SMS_R_System.ResourceDomainORWorkgroup like "NETBIOS NAME" or SMS_R_System.ResourceDomainORWorkgroup like "DNS NAME")

Problème N°2 : La découverte et la publication Active Directory n’arrive pas à se connecter à des domaines non trustés sous un compte de service. Dans ce cas de figure, vous recevez l’erreur "0x8007052E" ("The user name or password is incorrect") même si les identifiants sont corrects.

Pour contourner le problème, vous pouvez spécifier un contrôleur de domaine dans l’étendue de découverte en utilisant : LDAP://DomainController.DOMAIN.LAB/OU=Groups,DC=DOMAIN,DC=LAB au lieu de LDAP://OU=Groups,DC=DOMAIN,DC=LAB

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Mise à jour des expériences de chasse et d'investigation pour Microsoft Defender for Office 365 : Introduction du panneau de résumé des e-mails pour les expériences dans Defender for Office 365, ainsi que des mises à jour des expériences pour Threat Explorer et les détections en temps réel.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a mis à jour sa documentation pour Azure Active Directory Connect à l’occasion de la disponibilité générale d’un scénario qui était recherché par de nombreuses entreprises afin de permettre la synchronisation d’objets vers plusieurs tenants Azure AD. Ceci permet donc de couvrir :

• La synchronisation des utilisateurs et des groupes d’Active Directory vers plusieurs tenants Azure AD
• La synchronisation des mots de passe à travers plusieurs tenants
• La synchronisation des mêmes utilisateurs, groupes ou contacts à travers différents Cloud Azure.

Parmi les règles de base, on retrouve :

• La même ancre source peut être utilisée pour un seul objet dans des tenants différents (mais pas pour plusieurs objets dans le même tenant).
• Vous devrez déployer un serveur AADConnect pour chaque tenant Azure AD que vous souhaitez synchroniser - un serveur AADConnect ne peut pas synchroniser avec plus d'un tenant Azure AD.
• Il est possible d'avoir différentes portées de synchronisation et différentes règles de synchronisation pour différents tenants.
• Une seule synchronisation avec un tenant Azure AD peut être configurée pour réécrire dans Active Directory pour le même objet. Cela inclut la réécriture de périphériques et de groupes ainsi que les configurations Exchange Hybrid - ces fonctionnalités ne peuvent être configurées que dans un seul tenant. La seule exception ici est la réécriture de mot de passe.
• Il est possible de configurer la synchronisation du hash du mot de passe (Password Hash Sync) depuis Active Directory vers plusieurs tenants Azure AD pour le même objet utilisateur. Si la synchronisation des hachages de mots de passe est activée pour un tenant, la réécriture des mots de passe peut également être activée, et cela peut être fait sur plusieurs tenants : si le mot de passe est modifié sur un tenant, la réécriture du mot de passe le mettra à jour dans Active Directory, et la synchronisation des hachages de mots de passe mettra à jour le mot de passe dans les autres tenants.
• Il n'est pas possible d'ajouter et de vérifier le même nom de domaine personnalisé dans plus d'un tenant Azure AD, même si ces tenants se trouvent dans des environnements Azure différents.
• Il n'est pas possible de configurer des expériences hybrides telles que Seamless SSO et Hybrid Azure AD Join sur plus d'un tenant. Cela écraserait la configuration de l'autre tenant et la rendrait inutilisable.
• Vous pouvez synchroniser les objets de périphérique sur plus d'un tenant, mais un seul tenant peut être configuré pour faire confiance à un périphérique.
• Chaque instance d'Azure AD Connect doit être exécutée sur une machine reliée à un domaine.

Plus d’informations dans le documentation => Azure AD Connect: Supported topologies | Microsoft Docs

Microsoft a communiqué une nouvelle politique de retrait des versions d’Azure AD Connect remplacées via le centre de messages de Microsoft 365. Microsoft a donc annoncé le retrait des versions antérieures d’Azure Active Directory Connect Sync, 12 mois après la date où elles ont été remplacées par une nouvelle version. Cette stratégie entrera en vigueur à partir de mi-mars 2023 et ainsi toutes les versions publiées avant mi-mars 2022 seront retirées. Si vous utilisez une version retirée, elle peut se mettre à ne plus fonctionner de manière inopinée.

• 2.0.89.0
• 2.0.88.0
• 2.0.28.0
• 2.0.25.1
• 2.0.10.0
• 2.0.9.0
• 2.0.8.0
• 2.0.3.0

Il est à noter que cette annonce ne change pas les délais de retrait spécifiés pour les versions 1.X. Ces derniers sont toujours prévus au 31 août 2022. Pour rappel, ceci est dû au retrait des composants SQL Server 2012 et Azure AD Authentication Library (ADAL).

Microsoft recommande donc un suivi des publications de versions et une mise à jour à prévoir dans les 12 mois qui suivent ces dernières.

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft Defender for Resource Manager a été mis à jour avec de nouvelles alertes et une plus grande attention portée aux opérations à haut risque cartographiées selon la matrice ATT&CK® de MITRE. On retrouve :
  • Suspicious invocation of a high-risk 'Initial Access' operation detected
  • Suspicious invocation of a high-risk 'Execution' operation detected
  • Suspicious invocation of a high-risk 'Persistence' operation detected
  • Suspicious invocation of a high-risk 'Privilege Escalation' operation detected
  • Suspicious invocation of a high-risk 'Defense Evasion' operation detected
  • Suspicious invocation of a high-risk 'Credential Access' operation detected
  • Suspicious invocation of a high-risk 'Lateral Movement' operation detected
  • Suspicious invocation of a high-risk 'Data Collection' operation detected
  • Suspicious invocation of a high-risk 'Impact' operation detected
• De nouvelles recommandations pour activer les plans Microsoft Defender sur les Workspaces et plus particulièrement Microsoft Defender for servers et Microsoft Defender for SQL.
• Preview du provisionnement automatique de l’agent Log Analytics vers les machines Azure Arc.
• Dépréciation de la recommandation visant à classifier les données sensibles dans les bases de données SQL.
• L'alerte concernant la communication avec un domaine suspect a été étendue aux domaines connus liés à Log4Shell.
• Ajout du bouton " Copy alert JSON" dans le volet des détails de l'alerte de sécurité
• Dépréciation de la stratégie " Kubernetes cluster containers should only listen on allowed ports"
• Pour aider les utilisateurs à comprendre les menaces actives qui pèsent sur leurs environnements et à établir des priorités entre les alertes actives pendant le processus de remédiation, Microsoft a ajouté le workbook Active Alerts.
• Une recommandation de " System update" ajoutée au cloud government

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft vient de mettre à disposition la Technical Preview 2202 (5.0.9071.1000) de Microsoft Endpoint Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2111 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

Microsoft Endpoint Configuration Manager TP 2202 comprend les nouveautés suivantes :

Administration

• Désormais, lorsque vous supprimez une collection, vous pouvez examiner et supprimer ses collections dépendantes en même temps. Il peut y’avoir plusieurs raisons qu’il y ait une dépendance car elle est assignée à un utilisateur administratif, qu’elle est utilisée pour activer le Cloud Attach, etc. La fenêtre affiche donc la ou les raisons de pourquoi elle ne peut être supprimée.

• Les administrateurs peuvent désormais organiser les groupes de mises à jour logicielles et les packages en utilisant des dossiers. Ce changement permet de mieux catégoriser et gérer les mises à jour logicielles.

• Améliorations pour l'envoi de commentaires
  • Vous avez désormais la possibilité de connecter les commentaires que vous envoyez à Microsoft via la console Configuration Manager à un compte utilisateur Azure Active Directory (Azure AD) authentifié. L'authentification de l'utilisateur aidera Microsoft à garantir la confidentialité de vos commentaires et de vos données de diagnostic.
  • Le bouton de feedbacks est maintenant affiché dans des emplacements supplémentaires de la console. Les raccourcis clavier suivants pour ouvrir l'assistant de feedback ont également été ajoutés à d'autres emplacements de la console :
    • Envoyer un sourire : ALT + SHIFT + 7
    • Envoyer un froncement de sourcils : ALT + SHIFT + 8
• Un nouveau groupe a été ajouté à Management Insights. Le groupe Fonctionnalités dépréciées et non prises en charge contient les nouvelles règles suivantes :
  • Site system roles associated with deprecated or removed features: Cet insight vérifie les rôles de système de site installés pour les fonctionnalités dépréciées qui seront supprimées dans une prochaine version.
  • Check if the site uses the asset intelligence sync point role: Cet insight vérifie l'installation du rôle de point de synchronisation Asset Intelligence.
  • Configuration Manager client for macOS end of support: Cet insight liste les clients exécutant macOS. La prise en charge du client Configuration Manager pour macOS et de la gestion des clients Mac se termine le 31 décembre 2022.
  • Certificate registration point is no longer supported: Cet insight vérifie l'installation du rôle système de site du certificate registration point. Cette fonctionnalité n'est plus prise en charge à partir de mars 2022. Les versions de Configuration Manager publiées avant mars 2022 seront toujours en mesure d'installer et d'utiliser des certificate registration points.
  • Company resource access policies are no longer supported: Cet insight vérifie les politiques d'accès aux ressources de l'entreprise. Ces fonctionnalités ne sont plus prises en charge à partir de mars 2022. L'accès aux ressources de l'entreprise comprend la messagerie électronique, les certificats, le VPN, le Wi-Fi et les profils Windows Hello for Business. Les versions de Configuration Manager publiées avant mars 2022 pourront toujours utiliser les politiques d'accès aux ressources de l'entreprise.
• Les tableaux de bord, tels que les tableaux de bord Windows Servicing et Microsoft Edge Management, utilisent désormais le Runtime Microsoft Edge WebView2. Pour utiliser les tableaux de bord, installez l'extension de console WebView2 puis rouvrez la console.

Console d’administration

• Ajout d'un filtre de recherche aux onglets Produits et Classifications dans les propriétés Software Update Point Component.
• Vous pouvez désormais exclure des sous-conteneurs lorsque vous effectuez une découverte de système Active Directory et une découverte d'utilisateur Active Directory dans des domaines non fiables.
• Ajout d'une colonne Cloud Sync aux collections pour indiquer si la collection se synchronise avec Azure Active Directory
• Ajout de l'ID de la collection dans l'onglet de détails du résumé de la collection.
• Augmentation de la taille du volet Règles d'adhésion dans la page Propriétés des collections.
• Ajout d'une option View Script pour les étapes Run PowerShell Script lorsque l'action View est utilisée pour une séquence de tâches.:

Gestion du contenu

• Les administrateurs peuvent désormais pré-télécharger le contenu des mises à jour logicielles qui sont incluses dans les déploiements disponibles. Les déploiements obligatoires pré-téléchargent déjà le contenu par défaut. L'activation de ce nouveau paramètre réduit les temps d'attente d'installation pour les clients puisque les notifications d'installation ne seront pas visibles dans le Software Center tant que le contenu n'aura pas été entièrement téléchargé.

Gestion des applications

• Si vous déployez une application ou un groupe d'applications vers une collection d'utilisateurs basée sur un groupe de sécurité et que vous activez la désinstallation implicite, les modifications apportées au groupe de sécurité sont désormais prises en compte. Lorsque le site découvre la modification de l'appartenance au groupe, Configuration Manager désinstalle l'application pour l'utilisateur que vous avez retiré du groupe de sécurité.

Gestion des mises à jour logicielles

• Le temps disponible pour le logiciel (Software available time) et la date limite d'installation (Installation deadline) pour les déploiements créés par une règle de déploiement automatique (ADR) sont désormais calculés en fonction de l'heure à laquelle l'évaluation ADR est planifiée et commence. Auparavant, ces délais étaient calculés en fonction de la fin de l'évaluation ADR. Cette modification rend le temps disponible du logiciel (Software available time) et la date limite d'installation (Installation deadline) cohérents et prévisibles pour les déploiements.

Clients

• Sur la base des retours, cette version comporte deux nouveaux contrôles de santé du client :
  • Vérifier que l'espace disque n'est pas proche de sa capacité. Le client compare l'entrée WMI pour l'espace disque libre à l'espace disque total. Si l'espace restant est inférieur à 15 % de l'espace disque total, la vérification échoue.
  • Vérifier que le cache CCM n'est pas proche de sa capacité. Le client compare l'espace de cache restant à l'espace libre sur le lecteur avec le cache du client. Si l'espace restant sur le disque est inférieur à 1 % de la taille totale par défaut, ou si l'espace de cache restant est supérieur à l'espace disponible sur le disque, la vérification échoue.

PowerShell

• On retrouve différents changements sur les cmdlets PowerShell : https://docs.microsoft.com/en-us/mem/configmgr/core/get-started/2022/technical-preview-2202#bkmk_powershell

Plus d’informations sur : Technical preview 2201 - Configuration Manager | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en janvier 2022.

Microsoft apporte les nouveautés suivantes :

• 47 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Jooto, Proprli, Pace Scheduler, DRTrack, Dining Sidekick, Cryotos, Emergency Management Systems, Manifestly Checklists, eLearnPOSH, Scuba Analytics, Athena Systems Login Platform, TimeTrack, MiHCM, Health Note, Active Directory SSO for DoubleYou, Emplifi platform, Flexera One, Hypothesis, Recurly, XpressDox AU Cloud, Zoom for Intune, UPWARD AGENT, Linux Foundation ID, Asset Planner, Kiho, chezie, Excelity HCM, yuccaHR, Blue Ocean Brain, EchoSpan, Archie, Equifax Workforce Solutions, Palantir Foundry, ATP SpotLight and ChronicX, DigiSign, mConnect, BrightHR, Mural Identity, NordPass SSO, CloudClarity, Twic, Eduhouse Online, Bealink, Time Intelligence Bot, SentinelOne
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Autodesk SSO
  • Evercate
  • io
  • Plandisc
  • Swit
  • TerraTrue
  • TimeClock 365 SAML
• Disponibilité Générale de l’évaluation d’accès continue (CAE) qui permet d’inclure des événements de sécurité critiques et les mécanismes d’évaluation en temps réel pour l’accès conditionnel. Parmi les événements, on retrouve : les comptes désactivés, le changement de mot de passe, les changements d’emplacements, etc.

• Public Preview des attributs de sécurité personnalisés permettant de définir des attributs spécifiques à l'entreprise que vous pouvez attribuer aux objets Azure AD. Ces attributs peuvent être utilisés pour stocker des informations, catégoriser des objets ou appliquer un contrôle d'accès à granularité fine. Les attributs de sécurité personnalisés peuvent être utilisés avec le contrôle d'accès basé sur les attributs Azure. On peut les utiliser pour l’accès conditionnel contextualisé (utilisation de permissions spécifiques, etc.) ou pour généraliser des règles d’accès conditionnel selon un attribut (ex : Applications Finances) sans avoir à modifier toutes les règles manuellement.

• Disponibilité Générale de la personnalisation de la vue My Apps par défaut.
• Il est maintenant possible de télécharger une liste des appareils de votre entreprise dans un fichier .csv pour faciliter la création de rapports et la gestion.

• Les clés BitLocker sont des éléments de sécurité sensibles. La récupération de BitLocker garantit que lorsque les clés BitLocker sont lues, un journal d'audit est généré afin que vous puissiez savoir qui accède à ces informations pour des périphériques donnés.
• Amélioration de la gestion des utilisateurs du portail Azure Active Directory incluant :
  • Les propriétés des utilisateurs sont plus visibles, notamment l'identifiant de l'objet, le statut de synchronisation de l'annuaire, le type de création et l'émetteur de l'identité.
  • La recherche permet désormais la recherche par sous-chaîne et la recherche combinée de noms, d'emails et d'identifiants d'objets.
  • Filtrage amélioré par type d'utilisateur (membre, invité et aucun), statut de synchronisation de l'annuaire, type de création, nom de société et nom de domaine.
  • Nouvelles capacités de tri sur des propriétés comme le nom, le nom principal de l'utilisateur, l'heure de création et la date de suppression.
  • Un nouveau nombre total d'utilisateurs qui s'actualise en fonction des recherches ou des filtres.
• Dans le passé, Azure AD permettait uniquement de filtrer les groupes en fonction de leur affectation à une application. Désormais, vous pouvez également utiliser Azure AD pour filtrer les groupes inclus dans le jeton. Vous pouvez filtrer avec la correspondance de sous-chaîne sur les attributs display name ou onPremisesSAMAccountName de l'objet groupe sur le jeton. Seuls les groupes dont l'utilisateur est membre seront inclus dans le jeton. Ce jeton sera reconnu, qu'il s'agisse de l'ObjectID ou du onPremises SAMAccountName ou de l'identifiant de sécurité (SID). Cette fonction peut être utilisée conjointement avec le paramètre permettant d'inclure uniquement les groupes affectés à l'application, si vous le souhaitez, pour filtrer davantage la liste.

On retrouve les modifications de service suivantes :

• Les recommandations des réviseurs des examens d'accès Azure AD tiennent désormais compte des informations de connexion non interactives, ce qui améliore les recommandations originales basées uniquement sur les dernières connexions interactives. Les évaluateurs peuvent désormais prendre des décisions plus précises sur la base de la dernière activité de connexion des utilisateurs qu'ils évaluent.
• La détection des risques hors ligne d'Azure AD Threat Intelligence peut maintenant avoir une raison de risque qui aidera les entreprises dans leur enquête sur les risques. Si un motif de risque est disponible, il s'affichera en tant qu'information supplémentaire dans les détails du risque de cet événement de risque. L'information se trouve dans le rapport sur les détections de risques. Elles seront également disponibles via la propriété additionalInfo de l'API riskDetections.

Plus d’informations sur : What’s new Azure AD

Microsoft vient d’annoncer qu’à partir du 23 mai 2022, Outlook for Android ne sera plus supporté sur Android 7.1 ou antérieur. Les nouvelles versions nécessiteront donc Android 8.0 ou plus. Pour les périphériques concernés, il faudra prévoir la mise à jour vers Android 8.0 ou le remplacement du terminal.

Vous pouvez identifier vos terminaux concernés grâce à Microsoft Endpoint Manager et informer les utilisateurs de la procédure de mise à jour nécessaire ou remplacer leur terminal.

Je vous propose un petit aperçu des nouveautés en octobre 2021 autour de la gouvernance, de la conformité et de la protection de données (MIP, etc.).

On retrouve notamment :

Etiquettes de confidentialité (Sensitivity Labels)

• Preview des nouveaux rôles et groupes de rôles pour Microsoft Information Protection. On retrouve notamment : Information Protection, Information Protection Admins, Information Protection Analysts, Information Protection Investigators, Information Protection Readers.
• De nouvelles capacités de supervision pour les stratégies d’auto-labélisation (Auto-Labeling) pour notamment voir le processus de labélisation de fichiers pour OneDrive et SharePoint. Il est aussi possible de voir le résultat de la stratégie en utilisant l’explorateur de contenu.
• Microsoft est en cours de déploiement du label par défaut pour les documents existants pour la version Microsoft 365 Current Channel (Preview)
• Microsoft est en train de déployer la justification textuelle dans Office pour le Web.
• Microsoft a annoncé la coédition et l’audit pour Outlook pour la version Microsoft 365 2202+ Semi-Annual Enterprise Channel de Juillet.

Gestion de la confidentialité

• Microsoft 365 Privacy management devient Microsoft Priva.

Microsoft vient de mettre à disposition une nouvelle version (1.2.2860) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Amélioration de la stabilité de l'authentification Azure Active Directory.
• Correction d'un problème qui empêchait les utilisateurs d'ouvrir plusieurs fichiers .RDP à partir de différents pools d'hôtes.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64