[Azure AD] Les nouveautés d’Azure Active Directory en juillet 2021

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en juillet 2021.

Microsoft apporte les nouveautés suivantes :

• Microsoft fait l’acquisition de CloudKnox Security afin de compléter son catalogue Azure AD avec des capacités de Cloud Infrastructure Entitlement Management. Attendez-vous à voir arriver prochainement des fonctionnalités de Privileged Access Management (PAM)
• De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
  • Clebex
  • Exium
  • SoSafe
  • Talentech
  • Thrive LXP
  • Vonage
  • Zip
  • TimeClock 365
• Disponibilité Générale d’une nouvelle expérience de configuration d’Authenticator pour ajouter un compte Azure Active Directory en se connectant directement à l’application.  Les utilisateurs n'ont plus besoin de scanner un QR Code et peuvent utiliser un Pass d'accès temporaire (TAP) ou un mot de passe + SMS (ou une autre méthode d'authentification) pour configurer leur compte dans l'application Authenticator.
• Microsoft introduit Separation of Duties en Public Preview dans Azure AD Entitlement Management. Cette fonction permet de s’assurer qu’un utilisateur ne reçoit pas une combinaison de permissions qui peut résulter à un risque exposé et à un mauvais usage.
• Disponibilité Générale pour configurer un manager comme un examinateur dans les packages d’accès d’Azure AD Entitlement Management.

• Public Preview du rappel des méthodes d’authentification pour télécharger Microsoft Authenticator. Cette stratégie permet aux administrateurs d'améliorer la sécurité en incitant les utilisateurs à adopter l'application Microsoft Authenticator. Avant cette fonctionnalité, il n'y avait aucun moyen pour un administrateur de pousser ses utilisateurs à configurer l'application Authenticator.
• Sur Azure AD B2B, les flux utilisateurs pour les identités externes ont été simplifiés à quelques clics :
  • Disponibilité Générale d’une fonctionnalité permettant aux utilisateurs externes de s'inscrire en libre-service dans Azure Active Directory en utilisant des comptes Microsoft.
  • Disponibilité Générale d’une fonctionnalité permettant aux utilisateurs externes de s'inscrire en libre-service dans Azure Active Directory à l'aide de leur courriel et de leur code d'accès à usage unique.
• La détection de jetons anormaux est en disponibilité générale dans Identity Protection. Cette fonction permet de détecter la présence de caractéristiques anormales dans le jeton, telles que le temps d'activité et l'authentification à partir d'une adresse IP inconnue.
• Disponibilité Générale des fonctions d’enregistrement ou de jointure de périphérique dans l’accès conditionnel. Cette action utilisateur permet de contrôler les stratégies d'authentification à facteurs multiples (MFA) pour l'enregistrement des périphériques Azure AD. Actuellement, cette action utilisateur vous permet uniquement d'activer l'authentification multifactorielle en tant que contrôle lorsque les utilisateurs enregistrent ou rejoignent des périphériques à Azure AD. Les autres contrôles qui dépendent de l'inscription des périphériques Azure AD ou qui ne sont pas applicables à celle-ci continuent d'être désactivés par cette action utilisateur.
• Public Preview des stratégies de méthode d'authentification des applications dans MS Graph permettant aux administrateurs informatiques d'imposer la durée de vie des informations d'identification secrètes des mots de passe des applications ou de bloquer complètement l'utilisation des secrets. Les stratégies peuvent être appliquées à l'ensemble d'un tenant en tant que configuration par défaut et elles peuvent être étendues à des applications ou des services spécifiques.
• Public Preview d’une nouvelle fonctionnalité qui permet l’envoi des utilisateurs à risque et les journaux de détection des risques à Azure Monitor, Storage Accounts ou Log Analytics en utilisant les paramètres de diagnostic.
• Public Preview du type de ressource onPremisesPublishing comprenant désormais la propriété "isBackendCertificateValidationEnabled" qui indique si la validation du certificat SSL backend est activée pour l'application dans Azure Active Directory. Pour toutes les nouvelles applications Application Proxy, la propriété sera définie à true par défaut. Pour toutes les applications existantes, la propriété sera définie sur false.

Outre ces éléments, je voulais revenir sur plusieurs annonces de juin que j’avais loupé :

• Public Preview de la possibilité de mettre une revue des accès (Access Review) pour les Service Principals.
• Public Preview du contexte de l’authentification de l’accès conditionnel (Conditional Access). Le contexte d'authentification permet aux applications de déclencher l'application de politiques lorsqu'un utilisateur accède à des données ou à des actions sensibles. Vous pouvez ainsi exiger une authentification à facteurs multiples, un périphérique conforme ou même une localisation par GPS.

On retrouve les modifications de service suivantes :

• Le 12 juillet 2021, les clients Azure AD B2B et B2C qui configurent une nouvelle connexion Google ID dans leurs applications personnalisées pour inviter des utilisateurs externes ou activer l'inscription en libre-service verront ces restrictions appliquées immédiatement. Par conséquent, les utilisateurs finaux verront apparaître un écran d'erreur qui bloque leur connexion Gmail si l'authentification n'est pas déplacée vers une vue web du système.
• Il y a environ deux mois, Microsoft a annoncé que l'exception pour les WebViews embarqués pour l'authentification Gmail expirerait dans la seconde moitié de 2021. Récemment, Google a précisé que la date était le 30 septembre 2021.
• Dans le passé, les utilisateurs pouvaient créer des groupes de sécurité et des groupes Microsoft 365 dans le portail Azure. Désormais, les utilisateurs auront la possibilité de créer des groupes à travers les portails Azure, PowerShell et l'API. Les clients sont tenus de vérifier et de mettre à jour les nouveaux paramètres ont été configurés pour leur organisation.
• Dans le portail My Apps, la collection qui s'appelait " All Apps" a été renommée pour s'appeler "Apps". À mesure que le produit évolue, "Apps" est un nom plus approprié pour cette collection par défaut.
• Correction de bugs dans My Apps.

Plus d’informations sur : What’s new Azure AD