[Azure AD] Les nouveautés d’Azure Active Directory en Août 2019

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Août 2019.

Microsoft apporte les nouveautés suivantes :

• 26 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Civic Platform, Amazon Business, ProNovos Ops Manager, Cognidox, Viareport's Inativ Portal (Europe), Azure Databricks, Robin, Academy Attendance, Priority Matrix, Cousto MySpace, Uploadcare, Carbonite Endpoint Backup, CPQSync by Cincom, Chargebee, deliver.media Portal, Frontline Education, F5, stashcat AD connect, Blink, Vocoli, ProNovos Analytics, Sigstr, Darwinbox, Watch by Colors, Harness, EAB Navigate Strategic Care
• De nouvelles applications permettent le provisionnement par la création, la mise à jour et la suppression d’utilisateurs : Oracle Fusion ERP, Envoy, Proxyclick, Federated Directory, Zoom, Smartsheet, 4me, Dialpad, Peakon, Comeet Recruiting Software, Leapsome, Figma.
• Les rôles personnalisés (disponibles avec Azure AD P1 ou P2) peuvent maintenant aider à obtenir un accès granulaire, en permettant de créer des définitions de rôles avec des permissions spécifiques, puis d'affecter ces rôles à des ressources spécifiques. Vous pouvez créer des rôles personnalisés en utilisant les permissions pour gérer les enregistrements d'applications, puis en assignant le rôle à une application spécifique.

• Public Preview de nouveaux journaux de provisionnement pour vous aider à surveiller et dépanner le déploiement du provisionnement des utilisateurs et des groupes. Ces nouveaux fichiers journaux contiennent des informations sur les fichiers :
  • Quels groupes ont été créés avec succès dans ServiceNow
  • Quels rôles ont été importés d'Amazon Web Services (AWS)
  • Quels employés n'ont pas été importés de Workday
• Disponibilité Générale des nouveaux rapports de sécurité pour les administrateurs Azure AD. Ceci inclut les fonctionnalités suivantes :
  • Filtrage et tri avancés
  • Actions en masse, telles que l’annulation du risque utilisateur
  • La confirmation d'entités compromises ou sûres
  • L’état de risque couvrant : At risk, Dismissed, Remediated, et Confirmed compromised
  • Nouvelles détections liées aux risques

• Disponibilité Générale des identités gérées assignées par l'utilisateur pour les machines virtuelles et les Virtual Machine Scale Sets Dans ce cadre, Azure peut créer une identité dans le locataire d'Azure AD en qui l'abonnement en cours d'utilisation a confiance, et peut être attribuée à une ou plusieurs instances de service Azure.
• Les utilisateurs qui ont enregistré une application mobile auprès de l’entreprise peuvent maintenant réinitialiser leur mot de passe en approuvant une notification de l'application Microsoft Authenticator ou en entrant un code depuis leur application mobile ou leur token matériel.
• Mise à jour des modules PowerShell Azure AD et Azure AD Preview avec :
  • Un nouveau paramètre -filter ajouté à Get-AzureADDirectoryRole.
  • De nouvelles cmdlets dans le module AzureADPreview pour assigner des rôles personnalisés.
• Les journaux d'activité d'Azure AD dans Azure Monitor sont maintenant disponibles pour les entreprises hébergées dans Azure Governement. Vous pouvez maintenant envoyer les logs d'Azure AD à un compte de stockage ou à un Event Hub pour les intégrer aux outils SIEM, comme Sumologic, Splunk, et ArcSight.
• Il est maintenant possible d’accéder à votre serveur de rapport On-Premises depuis l’application PowerBI Mobile avec le service Azure Active Directory Application Proxy.
• Ajout de fournisseurs d’identité OpenID Connect personnalisés à Azure Active Directory B2C.
• Il est maintenant possible d’utiliser le token d’accès d’un fournisseur d’identité dans votre application au travers du token Azure AD B2C.

On retrouve les modifications de service suivantes :

• Dépréciation des packs de contenu Power BI. Ceci concerne aussi le pack de contenu Power BI Azure AD. Microsoft recommande l’utilisation du Workbooks Azure AD. D’autres Workbooks sont prévus notamment pour l’accès conditionnel, les éléments basés sur le consentement des applications, etc.
• Correction : A partir de la version 5.0.0.0-preview de la bibliothèque d'authentification AD d'Azure (ADAL.NET), les développeurs d'applications doivent sérialiser un cache par compte pour les applications Web et les API Web. Dans le cas contraire, certains scénarios utilisant le flux à la source, ainsi que certains cas d'utilisation spécifiques de UserAssertion, peuvent entraîner une augmentation du privilège. Pour éviter cette vulnérabilité, ADAL.NET ignore maintenant la bibliothèque d'authentification Microsoft pour le cache partagé dotnet (MSAL.NET) pour les scénarios on behalf of.
• Amélioration de l’interface de construction des règles de groupes dynamique dans le portail Azure AD. Cette amélioration du design vous permet de créer des règles avec jusqu'à cinq expressions au lieu d'une seule.
• Microsoft a introduit une nouvelle permission pour les applications Microsoft Graph, AccessReview.ReadWrite.Membership, qui permet aux applications de créer et de récupérer automatiquement les commentaires d'accès pour les adhésions de groupe et les affectations d'applications.
• Le 25 septembre 2019, Microsoft désactivera l'ancienne expérience d'informations de sécurité non améliorées pour l'enregistrement et la gestion des informations de sécurité des utilisateurs et Microsoft activera uniquement la nouvelle version améliorée. Cela signifie que les utilisateurs ne pourront plus utiliser l'ancienne expérience.
• À compter du 2 septembre 2019, les demandes d'authentification utilisant la méthode POST seront validées plus strictement selon les normes HTTP. Plus précisément, les espaces et les guillemets doubles (") ne seront plus supprimés des valeurs des formulaires de demande. Ces changements ne devraient pas briser les clients existants et permettront de s'assurer que les demandes envoyées à Azure AD sont traitées de façon fiable à chaque fois.

Plus d’informations sur : What’s new Azure AD