Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Entra ID, Permissions Management, etc.) en avril 2024.
Microsoft apporte les nouveautés suivantes :
Microsoft Entra ID (Azure Active Directory)
- De nouveaux connecteurs de provisionnement sont disponibles dans la galerie d’applications Azure AD. Vous pouvez maintenant automatiser la création, la mise à jour et la suppression des comptes utilisateurs pour :
- Public Preview de l’espace What’s new dans le portail Entra visant à donner une vue centrale de la roadmap, des changements et des annonces pour les éléments du portefeuille d’identité lié à Microsoft Entra. Cet espace est accessible en dessous du menu Home du portail Microsoft Entra.
- Disponibilité Générale des journaux d’activités Microsoft Graph vous donne une visibilité sur les requêtes HTTP faites au service Microsoft Graph dans votre tenant.
- Microsoft publie de nouvelles recommandations Entra vous permettant d’améliorer la sécurité du tenant à travers l’ensembles des paramétrages disponibles. Cette solution permet de superviser l’état du tenant pour vous assurer une configuration adéquate. On retrouve notamment :
- Remove unused credentials from applications
- Renew expiring service principal credentials
- Renew expiring application credentials
- Remove unused applications
- Migrate applications from the retiring Azure AD Graph APIs to Microsoft Graph
- Migrate Service Principals from the retiring Azure AD Graph APIs to Microsoft Graph
- Protect your tenant with Insider Risk policy
- Enable password hash sync if hybrid
- Protect all users with a user risk policy
- Protect all users with a sign-in risk policy
- Use least privileged administrative roles
- Require multifactor authentication for administrative roles
- Ensure all users can complete MFA
- Enable policy to block legacy authentication
- Designate more than one Global Admin
- Do not expire passwords
- Enable self-service password reset
- Do not allow users to grant consent to unreliable applications
- Les utilisateurs peuvent désormais en public preview, créer des clés d'authentification (passkeys) liées à l'appareil dans Microsoft Authenticator pour accéder aux ressources d'Entra ID. Les passkeys dans l'application Authenticator fournissent des authentifications rentables, résistantes à l'hameçonnage et transparentes aux utilisateurs à partir de leurs appareils mobiles.
- Les utilisateurs peuvent désormais se connecter avec une clé de sécurité FIDO2 dans Chrome et Microsoft Edge sur Android en Public Preview. Cette modification s'applique à tous les utilisateurs pour lesquels la méthode d'authentification FIDO2 est disponible. L'enregistrement FIDO2 dans les navigateurs web Android n'est pas encore disponible.
- PIM est désormais disponible sur l'application mobile Azure pour iOS et Android. Les clients peuvent désormais approuver ou refuser les demandes d'activation PIM entrantes, en plus de l'activation de Microsoft Entra ID et des affectations de rôles de ressources Azure, directement à partir de l'application sur leur téléphone.
- Les organisations qui ont activé la synchronisation des hach de mots de passe peuvent désormais autoriser les changements de mots de passe On-Prem pour remédier aux risques encourus par les utilisateurs via les stratégies d'accès conditionnel basées sur les risques.
- Les extensions d'authentification personnalisées vous permettent de personnaliser l'expérience d'authentification de Microsoft Entra en l'intégrant à des systèmes externes. Un claim provider personnalisés est un type d'extension d'authentification personnalisée qui appelle une API REST pour récupérer des claims de systèmes externes. Un fournisseur de claims personnalisés convertit les claims des systèmes externes en jetons et peut être assigné à une ou plusieurs applications dans votre annuaire.
- Les clients qui utilisent Microsoft Entra Identity Protection doivent réaliser une action. Comme annoncé en octobre 2023, Microsoft a demandé aux clients à mettre à niveau leur stratégie de risque utilisateur et leur stratégie de risque d'ouverture de session vers des stratégies modernes basées sur le risque dans l'accès conditionnel. Les anciennes stratégies de risque sont en train d'être retirées. À partir du 1er mai 2024, aucune nouvelle stratégie de risque d'utilisateur ou de risque d'ouverture de session ne peut être créée dans Entra ID Protection. À partir du 1er juillet 2024, les stratégies de risque pour les utilisateurs existants ou les stratégies de risque d'ouverture de session dans Entra ID Protection ne seront plus modifiables. Pour les modifier, les clients devront migrer vers l'accès conditionnel.
- Dépréciation des modules PowerShell Azure AD et MSOnline à compter du 30 mars 2024. Vous devez donc migrer vos scripts avant le 30 mars 2025. Plus d’informations sur : Important update: Deprecation of Azure AD PowerShell and MSOnline PowerShell modules - Microsoft Community Hub
Microsoft Entra Identity Governance
- Le provisionnement des groupes de sécurité dans Active Directory (également connu sous le nom de Group Writeback) est désormais disponible via Microsoft Entra Cloud Sync dans les clouds Azure Global et Azure Government. Grâce à cette nouvelle fonctionnalité, vous pouvez facilement gérer les applications basées sur Active Directory (applications basées sur Kerberos) à l'aide de Microsoft Entra Governance.
- Public Preview permettant de configurer des workflows personnalisés pour exécuter des tâches de transfert lorsque le profil professionnel d'un utilisateur change (département, rôle, ou emplacement).
- Public Preview permettant d’attribuer des rôles à Microsoft Entra en utilisant Entitlement Management. Lorsque vous incluez un rôle Microsoft Entra en tant que ressource dans un package d'accès, vous pouvez également spécifier si l'attribution de ce rôle est "éligible" ou "active".
- Dans Lifecycle Workflows, les administrateurs peuvent désormais exporter les données de l'historique de leurs flux de travail (utilisateurs, exécutions et tâches) vers des fichiers CSV pour répondre aux besoins de reporting et d'audit de leur organisation.
- Le nombre maximum de worklows pouvant être configurés dans Lifecycle Workflows a été augmenté jusqu'à 100 worklows.
Microsoft Entra Workload Identity
- Microsoft est en train d’appliquer les concepts de résilience aux Workload Identities de Microsoft Entra. La couverture de sauvegarde des Workload Identities est actuellement déployée systématiquement dans l'ensemble de Microsoft, en commençant par les plus grands services d'infrastructure internes de Microsoft 365 au cours du premier semestre 2024. La couverture des Workload Identities des clients Microsoft Entra ID suivra au second semestre 2025.
Microsoft Entra External ID
- À partir de juin 2024, dans l'invitation d'une organisation, le pied de page ne contiendra plus d'option pour bloquer les invitations futures. Un utilisateur invité qui s'était désabonné auparavant sera à nouveau abonné au fur et à mesure de la mise en œuvre de ce changement. Les utilisateurs ne seront plus ajoutés à la liste des désabonnés qui était maintenue ici dans le passé : https://invitations.microsoft.com/unsubscribe/manage.
- Public Preview de l'authentification native permet aux développeurs de contrôler totalement la conception de l'expérience de connexion de leurs applications mobiles. Elle leur permet de créer des écrans d'authentification personnalisés, qui sont intégrés de manière transparente dans leurs applications, plutôt que de s'appuyer sur des solutions basées sur un navigateur.
Microsoft Entra Verified ID
- La mise en oeuvre rapide de Microsoft Entra Verified ID supprime plusieurs étapes de configuration qu'un administrateur doit effectuer en sélectionnant simplement un bouton "Get start". L'installation rapide prend en charge la signature des clés, l'enregistrement de votre ID décentralisé et la vérification de la propriété de votre domaine. Elle crée également un justificatif de lieu de travail vérifié pour vous.
Microsoft Entra Private Access
- Microsoft Entra application proxy connector devient Microsoft Entra private network connector. En réalité, le même connecteur peut être utilisé simultanément pour les deux solutions. Parmi les nouveautés de cette version 1.5.3829.0, on retrouve :
- Support des fonctionnalités UDP et DNS privé.
- Support du proxy sortant dans le connecteur pour le flux d'accès privé.
- Résilience et performances améliorées.
- Amélioration de la journalisation et des rapports sur les métriques.
Modifications de service
- Les organisations Microsoft Entra pouvaient auparavant avoir un maximum de 5 000 groupes dynamiques et unités administratives dynamiques combinés. Microsoft a augmenté ce quota à 15000.
- La politique de réinitialisation des mots de passe en libre-service (SSPR) pour les administrateurs a été élargie pour inclure 3 rôles d'administrateur intégrés supplémentaires. Ces rôles supplémentaires sont les suivants :
- Teams Administrator
- Teams Communications Administrator
- Teams Devices Administrator
- Après le 30 juin 2024, Microsoft commencera à déployer la première étape de la dépréciation d'Azure AD Graph. Les applications Entra ID créées après le 30 juin 2024 recevront une erreur pour toute demande d'API à Azure AD Graph APIs (https://graph.windows.net). Microsoft a compris que certaines applications peuvent ne pas avoir complètement terminé la migration vers Microsoft Graph. Microsoft propose une configuration optionnelle qui permettra à une application créée après le 30 juin 2024 d'utiliser les API d'Azure AD Graph jusqu'en juin 2025. Les applications créées avant le 30 juin 2024 ne seront pas affectées ou interrompues à ce stade. Les applications des fournisseurs autorisées dans le tenant ne seront pas non plus affectées si l'application est créée avant le 30 juin 2024. Plus tard en 2024, Microsoft fournira des échéances pour l'étape suivante du retrait d'Azure AD Graph, lorsque les applications existantes ne seront plus en mesure de faire des demandes aux API d'Azure AD Graph.
- Microsoft Entra supportera Transport Layer Security (TLS) 1.3 pour ses points de terminaison afin de s'aligner avec les meilleures pratiques de sécurité (NIST - SP 800-52 Rev. 2). Avec ce changement, les points de terminaison Microsoft Entra ID supporteront à la fois les protocoles TLS 1.2 et TLS 1.
- Depuis la mi-avril 2024, la condition d'accès conditionnel "Locations" est déplacée vers le haut. Les Locations/Emplacements deviendront l'affectation "Network ou Réseau", avec la nouvelle affectation "Accès sécurisé global" - "Tous les emplacements de réseau conformes". Ce changement se fera automatiquement et les administrateurs n'auront aucune action à effectuer.
- La Public Preview de Group Writeback V2 (GWB) dans Entra Connect Sync ne sera plus disponible après le 30 juin 2024. Après cette date, Connect Sync ne prendra plus en charge le provisionnement des groupes de sécurité cloud dans Active Directory. Une autre fonctionnalité similaire est proposée dans Entra Cloud Sync, appelée "Group Provision to AD" (voir plus haut).
Plus d’informations sur : What's new? Release notes - Microsoft Entra | Microsoft Learn et What's new for Microsoft Entra Verified ID