[Azure AD] Les nouveautés d’Azure Active Directory en Mai 2020

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Mai 2020.

Microsoft apporte les nouveautés suivantes :

• On retrouve un nouveau rôle RBAC Hybrid Identity Administrator dans Azure Active Directory permettant de configurer le Cloud Provisioning Azure AD Connect.

• 36 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Moula, Surveypal, Kbot365, TackleBox, Powell Teams, Talentsoft Assistant, ASC Recording Insights, GO1, B-Engaged, Competella Contact Center Workgroup, Asite, ImageSoft Identity, My IBISWorld, insuite, Change Process Management, Cyara CX Assurance Platform, Smart Global Governance, Prezi, Mapbox, Datava Enterprise Service Platform, Whimsical, Trelica, EasySSO for Confluence, EasySSO for BitBucket, EasySSO for Bamboo, Torii, Axiad Cloud, Humanage, ColorTokens ZTNA, CCH Tagetik, ShareVault, Vyond, TextExpander, Anyone Home CRM, askSpoke, ice Contact Center
• On retrouve 5 nouveaux connecteurs de provisionnement dans la galerie d’application Azure AD pour automatiser la création, la mise à jour et la suppression des comptes utilisateurs : 8x8, Juno Journey, MediusFlow, New Relic by Organization, Oracle Cloud Infrastructure Console
• Disponibilité Générale du mode "Report-only" pour l'accès conditionnel à Azure AD afin de vous permettre d'évaluer le résultat d'une stratégie sans avoir à appliquer des contrôles d'accès. Au cours des derniers mois, Microsoft a constaté une forte adoption du mode Report-only, avec plus de 26 millions d'utilisateurs déjà concernés par une stratégie de Report-only. Avec cette annonce, de nouvelles stratégies d'accès conditionnel Azure AD seront créées par défaut en mode Report-only. Il est aussi possible de gérer les stratégies de type " Report-only " par GraphAPI.
• Avec les identités externes dans Azure AD, vous pouvez permettre à des personnes extérieures à l’entreprise d'accéder à vos applications et ressources tout en les laissant se connecter en utilisant l'identité de leur choix. Lorsque vous partagez une application avec des utilisateurs externes, vous ne savez pas toujours à l'avance qui aura besoin d'accéder à l'application. Grâce à l'inscription en libre-service, vous pouvez permettre aux utilisateurs invités de s'inscrire et d'obtenir un compte d'invité pour vos applications métiers. Le flux d'inscription peut être créé et personnalisé pour prendre en charge Azure AD et les identités sociales. Vous pouvez également recueillir des informations supplémentaires sur l'utilisateur pendant l'inscription.

• Disponibilité Générale du workbook Conditional Access Insights and Reporting afin de donner une vue d'ensemble de l'accès conditionnel d'Azure AD. Grâce à la possibilité de sélectionner une stratégie individuelle, les administrateurs peuvent mieux comprendre ce que fait chaque stratégie et suivre les changements en temps réel.

• Public Preview de la nouvelle tuile Détails de la stratégie affiche les affectations, les conditions et les contrôles satisfaits lors de l'évaluation de la politique d'accès conditionnel. Vous pouvez accéder à la tuile en sélectionnant une ligne dans les onglets Conditional Access ou Report-Only de Sign-in details.

• Public Preview de nouvelles fonctionnalités introduites pour les API Microsoft Graph Directory Objects, permettant des opérations de comptage, de recherche, de filtrage et de tri. Les développeurs pourront ainsi interroger rapidement aux objets d’annuaire sans recourir à des solutions de contournement telles que le filtrage et le tri en mémoire.
• Une aide à la création et à la configuration d'une application de la galerie Azure AD utilisant les API MS Graph en version bêta est désormais disponible.
• Disponibilité Générale du chiffrement par jeton SAML pour permettre de configurer les applications pour recevoir des assertions SAML chiffrées.
• Disponibilité Générale des claims groupés émises sous forme de jeton pouvant être désormais limitées aux seuls groupes affectés à la demande. Ceci est particulièrement important lorsque les utilisateurs sont membres d'un grand nombre de groupes et qu'il y a un risque de dépassement des limites de taille du jeton.
• Le provisionnement d’application Workday Writeback permet désormais de définir les attributs des numéros de téléphone professionnels.
• Preview de la vérification de l'éditeur afin d’aider les administrateurs et les utilisateurs à comprendre l'authenticité des développeurs d'applications s'intégrant à la plate-forme d'identité de Microsoft.

On retrouve les modifications de service suivantes :

• Public Preview des filtres sur plus de propriétés des périphériques dans Azure AD. On retrouve notamment le type de système d’exploitation, le type de jointure, la conformité, etc.

• Disponibilité Générale de la nouvelle expérience d’inscription d’application pour Azure AD B2C.
• Microsoft modifie les notifications par email du MFA, tant le MFA Cloud que MFA Server. Les notifications par email seront envoyées à partir de l'adresse suivante : azure-noreply@microsoft.com. Nous mettons à jour le contenu des emails d'alerte à la fraude afin de mieux indiquer les étapes nécessaires au déblocage des utilisations.
• Nouvelle inscription en libre-service pour les utilisateurs des domaines fédérés qui ne peuvent pas accéder aux équipes Microsoft parce qu'elles ne sont pas synchronisées avec Azure Active Directory. À partir de la fin du mois de juin, cette nouvelle fonctionnalité leur permettra de le faire en étendant la fonction existante d'inscription avec vérification de l'adresse électronique. Cela permettra aux utilisateurs qui peuvent se connecter à un IdP fédéré, mais qui n'ont pas encore d'objet utilisateur dans Azure AD, d'avoir un objet utilisateur créé automatiquement et d'être authentifié pour les Teams. Leur objet utilisateur sera marqué comme "inscription en libre-service". Il s'agit d'une extension de la capacité existante à effectuer une auto-inscription vérifiée par email que les utilisateurs des domaines gérés. Ce changement sera mis en œuvre au cours des deux prochains mois.
• À partir de juin, la plate-forme d'identité de Microsoft et le protocole OpenID Connect de l'OIDC (login.microsoftonline.us) commenceront à renvoyer le bon point de terminaison graph (https://graph.microsoft.us ou https://dod-graph.microsoft.us0), en fonction du tenant fourni. Il fournit actuellement le champ "msgraph_host" du point de terminaison graph incorrect (graph.microsoft.com).
• Depuis le 5 mai, les utilisateurs d’Azure Government ne peuvent plus se connecter sur login.microsoftonline.com.
• La demande de déconnexion unique de SAML envoie maintenant le NameID dans le format correct.
• En raison des restrictions imposées aux cookies par les navigateurs modernes tels que Safari ITP, les SPA devront utiliser le flux de codes d'autorisation plutôt que le flux implicite pour maintenir le SSO ; MSAL.js v 2.x prendra désormais en charge le flux de codes d'autorisation.

Plus d’informations sur : What’s new Azure AD