Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview de la nouvelle expérience UEBA dans le portail Defender avec :
  • Les investigations centrées sur les anomalies utilisateur : dans le portail Defender, les utilisateurs présentant des anomalies comportementales sont automatiquement tagués « UEBA Anomalies », aidant les analystes à prioriser rapidement.
  • La section « Top UEBA anomalies » sur 30 jours : un encart dédié affiche les trois principales anomalies récentes, disponible dans les volets latéraux utilisateur et dans l’onglet « Overview » des pages d’entité utilisateur. Des liens directs vers les requêtes d’anomalies et la timeline des événements Sentinel facilitent l’investigation et le contexte.
  • L’accès rapide aux anomalies depuis les graphes d’incident : via « Go Hunt > All user anomalies », les analystes peuvent parcourir toutes les anomalies liées à un utilisateur à partir du graphe d’incident, offrant un contexte UEBA immédiat.
  • L’enrichissement des requêtes d’Advanced Hunting et des détections personnalisées : une bannière contextuelle propose de joindre la table « UEBA Anomalies » lorsque des sources UEBA sont incluses, pour apporter un contexte comportemental aux requêtes.
• Le connecteur « Agentless » de la solution Microsoft Sentinel pour SAP est désormais disponible en disponibilité générale (GA). Le connecteur SAP « containerisé » sera hors support au 30 septembre 2026. Les nouvelles installations ne proposent plus que l’option « agentless », facturée au même tarif.
• Action requise : standardisation du nommage des entités « account » dans les incidents et alertes. Microsoft Sentinel met à jour la logique d’identification et de nommage des entités « account » dans les incidents/alertes afin d’améliorer la cohérence et la fiabilité pour l’analytique et l’automatisation. Vous devez mettre à jour vos requêtes et automatisations d’ici le 1er juillet 2026 pour vous aligner sur cette standardisation (par exemple, vérifiez les requêtes de détection personnalisées, les playbooks d’automatisation et les jointures/transformations qui s’appuient sur les champs d’entité « account »)..

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender Vulnerability Management (MDVM) introduits dans le mois.

• Dans le cadre de l'intégration de Microsoft Defender Vulnerability Management à Microsoft Security Exposure Management, la section Vulnerability Management du portail Microsoft Defender se trouve désormais sous Exposure Management.
• (GA) Microsoft Secure Score inclut désormais de nouvelles recommandations pour aider les organisations à prévenir de manière proactive les techniques d'attaque courantes sur les terminaux :
  • Disable Remote Registry service on Windows : empêche l'accès à distance au registre Windows, réduisant ainsi la surface d'attaque et bloquant les modifications de configuration non autorisées, l'escalade des privilèges et les mouvements latéraux.
  • Disable NTLM authentication for Windows workstations : aide à prévenir le vol d'identifiants et les attaques par mouvement latéral en supprimant la prise en charge d'un protocole obsolète et non sécurisé. La nouvelle technologie LAN Manager (NTLM) peut être exploitée à l'aide de techniques telles que Pass-the-Hash et NTLM relay, permettant aux attaquants de contourner la complexité des mots de passe et de compromettre des domaines.
• (GA) Les exceptions CVE sont désormais disponibles de manière générale et prennent également en charge :
  • La justification False positive.
  • Le champ d'état dans le cadre de la réponse à la requête GET /api/vulnerabilities.
• (GA) Microsoft Secure Score inclut désormais de nouvelles recommandations pour aider les organisations à prévenir de manière proactive les techniques d'attaque courantes sur les points de terminaison.
  • Require LDAP client signinget Require LDAP server signing: permet de garantir l'intégrité des requêtes d'annuaire afin que les attaquants ne puissent pas altérer ou manipuler les appartenances à des groupes ou les autorisations en transit.
  • Encrypt LDAP client traffic: empêche l'exposition des informations d'identification et des informations sensibles des utilisateurs en imposant une communication chiffrée au lieu d'un LDAP en clair.
  • Enforce LDAP channel binding: empêche les attaques par relais de type « man-in-the-middle » en garantissant que l'authentification est cryptographiquement liée à la session TLS. Si le canal TLS change, la liaison échoue, ce qui empêche la relecture des informations d'identification.
• (GA) Ces recommandations Microsoft Secure Score sont désormais disponibles :
  • Block web shell creation on servers
  • Block use of copied or impersonated system tools
  • Block rebooting a machine in Safe Mode

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Les autorisations Microsoft Defender for Cloud Apps sont désormais intégrées à Microsoft Defender XDR Unified RBAC.
• Preview de la fonctionnlité « Insights sur les applications inutilisées » de Microsoft Defender pour Cloud Apps aide les administrateurs à identifier et à gérer les applications OAuth connectées à Microsoft 365 qui ne sont pas utilisées, à appliquer une gouvernance basée sur des politiques et à utiliser des requêtes de recherche avancées pour une meilleure sécurité.
• Preview de la protection des agents AI en fournissant une protection complète combinant une gestion proactive de l'exposition et une détection avancée des menaces. Il détecte automatiquement les agents IA créés dans Microsoft Copilot Studio et Azure AI Foundry, collecte les journaux d'audit, surveille en permanence les activités suspectes et intègre les détections et les alertes dans l'expérience XDR Incidents and Alerts grâce à une entité Agent dédiée.
  • Defender ingère les données des agents Copilot Studio dans l’Advanced Hunting, ce qui vous permet de créer des requêtes personnalisées et de rechercher de manière proactive les menaces. Il offre également une protection en temps réel en surveillant l'exécution des agents et en bloquant les actions nuisibles ou suspectes, le tout en intégration totale avec les incidents et alertes XDR.
  • Defender surveille les agents Azure AI Foundary à la recherche de configurations incorrectes et de vulnérabilités, identifie les voies d'attaque potentielles et fournit des recommandations de sécurité exploitables via Exposure Management afin de renforcer votre posture de sécurité IA.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.

• (Preview) Vous pouvez utiliser la collecte de triage pour hiérarchiser les incidents et rechercher les menaces à l'aide du serveur Model Context Protocol (MCP) pour Sentinel.
• (Preview) Predictive Shielding permet désormais des actions de réponse de durcissement GPO (GPO Hardening) et Safeboot Hardening. Ces actions font partie de la fonctionnalité de protection prédictive, qui anticipe et atténue les menaces potentielles avant qu'elles ne se concrétisent.
• (Preview) Microsoft publie une solution de sécurisation pour Windows 7 SP1 et Windows Server 2008 R2 SP1 avec des capacités de protection avancés (EDR, Cloud Protection, etc.) et des fonctionnalités similaires à celles proposées pour les autres versions de Windows.

• (Preview) Microsoft propose un nouvel outil de déploiement permettant l’intégration des machines Windows et Linux dans Defender for Endpoint. L’outil prend en charge les prérequis, les migrations automatiques depuis d’autres outils ou la nécessité de construire ses propres scripts d’intégration.

• (Preview) La collecte de données personnalisée permet aux organisations d'étendre et de personnaliser la collecte de données télémétriques au-delà des configurations par défaut afin de répondre à des besoins spécifiques en matière de recherche de menaces et de surveillance de la sécurité.
• Dans la version de mai du client Defender for Endpoint pour macOS (Build: 101.25102.0019 | Release version: 20.125102.19.0), on retrouve :
  • CVE-2025-55182 (React2Shell) - Microsoft Defender Vulnerability Management (MDVM) peut désormais détecter les appareils susceptibles d'être affectés par cette vulnérabilité.
  • Ajout de la prise en charge de RHEL 10.
  • Des corrections de bugs et performances.
• Dans la version de mai du client Defender for Endpoint pour Linux (Build: 101.25092.0002 | Release version: 30.125092.0002.0), on retrouve :
  • un correctif critique lié à l'identifiant de la machine, garantissant que chaque terminal est correctement identifié comme un appareil unique.
  • Autres améliorations de stabilité et corrections de bugs.
• Dans la version de mai du Client Defender for Endpoint pour Android (1.0.8412.0101), on retrouve l’amélioration des performances et corrections de bugs mais aussi la détection native du rootage.
• Dans la version de janvier du client Defender for Endpoint pour iOS (1.1.70290103), on retrouve l’amélioration des performances et corrections de bugs.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for IoT. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Réseaux OT

• Nouvelle version du capteur 25.2.1 incluant des corrections de bugs pour des améliorations de stabilité.

Plus d’informations sur : What's new in Microsoft Defender for IoT - Microsoft Defender for IoT | Microsoft Learn

En ce mois de décembre 2025, Microsoft annonce le retrait de plusieurs capacités de gestion de la confidentialité des données proposé via Microsoft Priva. Parmi les capacités retirées, on retrouve :

• Consent Management,
• Privacy Assessments,
• Subject Rights Requests pour les données au-delà de Microsoft 365,
• Tracker Scanning.

Les modules suivants restent disponibles :

• Privacy Risk Management
• Subject Rights Requests pour les données de Microsoft 365

Ce signale n’est pas très positif pour Priva et l’on peut se demander si les fonctionnalités restantes ne rejoindraient pas Purview.

Plus d’informations sur : What's new in Microsoft Priva - Microsoft Priva | Microsoft Learn

Microsoft vient de publier une mise à jour (2.24.117) au client Global Secure Access de Microsoft Entra. Global Secure Access est le client utilisé par Microsoft Entra Internet Access et Private Access.  Ces services sont la solution Security Service Edge de Microsoft.

La dernière mise à jour (2.24.117) apporte les éléments suivants :

• Prise en charge de l'accès local intelligent (Intelligent Local access) permettant d'éviter que la machine ressorte par la connexion Internet pour accéder à une ressource interne lorsqu'elle est sur le réseau interne.
• Prise en charge de l'accès invité B2B permettant de donner l'accès en invité à un poste BYOD en mode B2B.
• Le package client comprend un outil tracert.
• Prise en charge de l'affichage du bouton Disable Private Access lorsque le bouton Désactiver est masqué. 
• L'interface Global Secure Access comprend un lien Afficher le compte vers la page d'accueil Microsoft Entra My Account de l'utilisateur..
• Amélioration des messages d'erreur lors de l'installation d'une version client destinée à une autre plateforme (client x64 sur un appareil Arm ou client Arm sur un appareil x64).
• Les journaux collectent les clés de registre Kerberos.
• Amélioration de l'écriture des journaux dans les fichiers ETL (Event Trace Log).
• Le test de vérification de l'intégrité des règles NRPT prend en charge les versions non anglaises de Windows.
• Le programme d'installation du client inclut .NET Runtime version 8.0.21.
• Le programme d'installation du client inclut OneAuth version 6.5.0.
• De nouvelles télémétries sont disponibles.
• Diverses améliorations et corrections de bogues.

Plus d’informations sur les fonctionnalités et les différences : Global Secure Access client for Windows version release notes - Global Secure Access | Microsoft Learn

Le client est téléchargeable depuis le portail Microsoft Entra en naviguant dans Global Secure Access > Connect > Client download

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview de la nouvelle propriété pour le type de ressource SensorCandidate dans Graph API permettant d’avoir le nom de domaine et la version du capteur.
• La nouvelle activité de recherche LDAP ADWS est désormais disponible dans la table « IdentityQueryEvents » dans Advanced Hunting. Cela permet de visualiser les requêtes d'annuaire effectuées via ADWS, aidant ainsi les clients à suivre ces opérations et à créer une détection personnalisée basée sur ces données.
• Les méthodes améliorées de requête LDAP ADWS et LDAP basées sur les mots de passe hérités capturent désormais un plus large éventail d'événements uniques à grande échelle. Par conséquent, vous remarquerez peut-être une augmentation des activités enregistrées
• Defender for Identity déploie progressivement l'audit automatique des événements Windows pour les capteurs v3.x, ce qui rationalise le déploiement en appliquant les paramètres d'audit requis aux nouveaux capteurs et en corrigeant les erreurs de configuration sur les capteurs existants. Vous pouvez activer l'audit automatique des événements Windows dans la section Advanced setting du portail Defender ou à l'aide de l'API Graph.

• Un nouvel onglet Accounts offre une vue consolidée de tous les comptes associés à une identité, y compris les comptes Active Directory, Microsoft Entra ID et les fournisseurs d'identité tiers pris en charge.
• Vous pouvez désormais associer ou dissocier manuellement des comptes à une identité directement dans l'onglet Accounts. Cette fonctionnalité vous aide à corréler les composants d'identité provenant de différentes sources d'annuaire et fournit un contexte d'identité complet pendant les enquêtes.

• Vous pouvez désormais effectuer des actions correctives telles que la désactivation de comptes ou la réinitialisation de mots de passe sur un ou plusieurs comptes liés à une identité.
• La nouvelle évaluation de la posture de sécurité répertorie les utilisateurs dont les identifiants valides ont été divulgués.
• En plus de la publication GA de la définition de la portée par domaines Active Directory il y a quelques mois, vous pouvez désormais définir la portée par unités organisationnelles (OU) dans le cadre du contrôle d'accès basé sur les rôles utilisateur (URBAC) XDR. Cette amélioration offre un contrôle encore plus granulaire sur les entités et les ressources incluses dans l'analyse de sécurité.

• La méthode améliorée de requête du journal des événements capture un plus large éventail d'événements uniques à grande échelle. Par conséquent, vous remarquerez peut-être une augmentation des activités capturées. Cette mise à jour comprend également des améliorations en matière de sécurité et de performances.
• Mise à jour du capteur en version 2.250, 2.251, 2.252 et 2.253 pour améliorer la stabilité et intégrer diverses corrections.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Microsoft a publié une mise à jour (2.5.190.0) à Microsoft Entra Connect. Microsoft Entra Connect est anciennement Azure Active Directory Connect, et DirSync. Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Entra ID. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière mise à jour (2.5.190.0) apporte les éléments suivants :

• Application de l'API AAD Connector V2 : la version par défaut de l'API du connecteur est désormais la V2. L'utilisation de l'ancienne API V1 du connecteur n'est plus prise en charge.
• Correction d'un problème où l'authentification basée sur l'application échouait avec le module TPM (Trusted Platform Module) et la bibliothèque d'authentification Microsoft (MSAL). La correction garantit la compatibilité avec la méthode de signature par défaut de MSAL.
• Correction d'un problème dans l'assistant de configuration qui entraînait l'erreur « La synchronisation du répertoire pour ce répertoire présente actuellement une incompatibilité entre l'activation de la synchronisation et l'état de la synchronisation » lorsque l'état DirSync était défini sur « Autre ».
• Le seuil de renouvellement des certificats pour l'authentification basée sur l'application a été mis à jour à 30 jours. Les certificats gérés par Entra seront désormais renouvelés automatiquement lorsque leur date d'expiration sera inférieure ou égale à 30 jours.
• Correction d'un problème avec la gestion cloud des attributs Exchange qui générait des erreurs d'exportation intitulées ExchangeManagedAttributesUpdateNotAllowed.

Cette mise à niveau est disponible au téléchargement via le centre d'administration Microsoft Entra.

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Entra Connect

Microsoft vient de mettre à disposition une nouvelle version (1.2.6347) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.
• Corrections pour CVE-2025-58718.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft a mis en ligne la version finale (10.1.28000.1) du kit de déploiement et d’évaluation (ADK) pour Windows 11 25H2.

Cette version apporte les changements suivants :

• En plus de Windows 11 25H2, 24H2 et les anciennes versions, cette version supporte aussi Windows 11 26H1 Arm64

Windows Assessment Toolkit

• Améliorations générales en matière de stabilité, de fonctionnalité, de performances et de conformité.
• Améliorations de l'évaluation de l'IA pour la traduction en direct, la fonction « Click to Do», la recherche sémantique et la fonction « Recall».
• Mise à jour de l'évaluation Teams pour le changement du bouton « Join Now ».
• Évaluation mise à jour de la navigation Web Edge pour les modifications rapides et les corrections de bogues.
• Évaluation mise à jour de l'empreinte mémoire pour résoudre une erreur « symboles introuvables ».
• Amélioration de la précision du calcul de la durée du démarrage rapide à l'aide d'heuristiques mises à jour pour l'activation/la désactivation.
• Ajout de l'évaluation des performances de Windows Studio Effects Camera.
• Évaluation mise à jour du streaming YouTube pour tenir compte des modifications de l'interface utilisateur liées à la sélection de la qualité vidéo.
• Évaluation mise à jour de la navigation Web Edge pour tenir compte des modifications apportées au processus de connexion à Outlook et améliorer la gestion des indices de mot de passe.

BCD Boot

• Les binaires de démarrage signés avec « Windows UEFI CA 2023 » seront pris en charge par défaut sans nécessiter de drapeaux supplémentaires, à condition que la machine prenne en charge cette autorité de certification. L'option /bootex sera définie par défaut, sauf si l'outil est utilisé en mode hors ligne.

Media eXperience Analyzer (MXA)

• Ajout de Power xdm, activation du planificateur HW, correction d'une faute de frappe dans Default.xml et autres corrections de bogues.

Volume Activation Management Tool (VAMT)

• Mise à jour pour prendre en charge les clés de produit Windows Server 2019/2025.
• Mise à jour pour prendre en charge les produits Microsoft Office 2024.
• Mise à jour pour prendre en charge les nouvelles clés de produit Windows vendues au détail.

Windows Performance Analyzer (WPA)

• Améliorations de la gestion des plugins et gestion améliorée des erreurs.
• Gestion améliorée des profils en ligne de commande et options de symboles pour l'analyse de trace.
• Nouvelles tables et colonnes, notamment des tables liées à l'IA, la latence d'inactivité du processeur et des métriques étendues pour la table des verrous.
• Mode développeur et options avancées de personnalisation des plugins. Pour plus d'informations, consultez le SDK Perf Toolkit
• Prise en charge des filtres partagés entre plusieurs tables et gestion améliorée des préréglages.
• Initialisation différée des graphiques pour un chargement plus rapide des traces et une réactivité améliorée.
• Prise en charge de l'accélération matérielle pour Remote Desktop.
• Commandes et boîtes de dialogue actualisées pour une meilleure accessibilité et prise en charge du mode sombre.
• Messages d'erreur et indicateurs d'état améliorés.
• Améliorations de la stabilité pour remédier aux plantages, aux blocages et aux incohérences de l'interface utilisateur.
• Correction de problèmes liés à l'installation des plugins, à la gestion des préréglages et au traitement des traces.
• Migration vers .NET 8 pour de meilleures performances.
• Amélioration de la prise en charge multi-écrans et DPI.

Télécharger :

• Windows ADK for Windows 11, version 25H2
• Windows PE add-on for the ADK, version 25H2

Avec la disponibilité générale, Microsoft vient de publier une mise à jour (1.5.4522.0) du connecteur Microsoft Entra private network. Microsoft Entra private network est anciennement le connecteur Azure AD Application Proxy. La nouvelle marque met l'accent sur le connecteur en tant qu'infrastructure commune permettant d'accéder à n'importe quelle ressource du réseau privé. Le connecteur est utilisé à la fois pour Microsoft Entra Private Access et Microsoft Entra Application Proxy. Le nouveau nom apparaît dans les composants de l'interface utilisateur.

La dernière mise à jour (1.5.4522.0) apporte les éléments suivants :

• Nouvelle interface utilisateur pour l'outil de diagnostic du connecteur afin de faciliter le dépannage des problèmes de configuration.
• Améliorations liées au délai d'expiration de la connexion, à la journalisation des pannes intermittentes et à leur atténuation.
• Optimisations pour améliorer la bande passante et les performances du streaming.
• Amélioration de la collecte des données télémétriques des capteurs Private Access.
• Corrections de bogues et autres améliorations mineures.

Plus d’informations sur les fonctionnalités et les différences : Microsoft Entra private network connector version release notes - Global Secure Access | Microsoft Learn

Télécharger Microsoft Entra private network connector

Microsoft a publié une mise à jour du kit de déploiement et d’évaluation (ADK) de Windows pour le séquenceur App-V afin de retirer les messages d’obsolescence du séquenceur App-V pour les cmdlets PowerShell suivantes :

• Expand-AppvSequencerPackage
• New-AppvPackageAccelerator
• New-AppvSequencerPackage
• Update-AppvSequencerPackage

Vous devez installer ce patch via l’exécution des fichiers MSIs.

Télécharger Windows ADK Patches | Microsoft Learn

J’ai plusieurs clés FIDO de différents vendeurs et dont certaines ont été utilisées pour des tests. Je me suis toujours demandé comment gérer les Passkeys / identifiants stockés dedans et je viens enfin de trouver un outil proposé par Token2 mais qui marche avec toutes les clés compatibles FIDO2. L’outil propose plusieurs exécutables :

• 1 Manager.exe : Une interface graphique
• fido2-manage.exe : l’outil de gestion en ligne de commande
• libfido2-ui.exe : La librairie FIDO2

L’outil graphique ne permet que de changer le PIN de la clé et de supprimer des passkeys inutilisées.

L’outil en ligne de commande permet beaucoup plus de scénarios dont notamment l’export des passkeys. Je vous renvoie vers l’article d’Emin Huseynov pour en apprendre plus.

Accéder à la documentation de l’outil

Télécharger FIDO2 Manage

A partir de la mise à jour de sécurité de septembre 2025, il sera possible de configurer une disposition initiale du menu Démarrer que les utilisateurs pourront ensuite personnaliser. Si vous avez déjà utilisé la stratégie « Configure Start Pins », la personnalisation de l'utilisateur revenait à la configuration définie par le service informatique après un redémarrage. La stratégie améliorée permet aux modifications apportées par l'utilisateur d'être conservées. Cette nouvelle fonctionnalité est disponible dès aujourd'hui via les fournisseurs de services de configuration (CSP) et sera intégrée à la stratégie de groupe (GPO) en octobre.

Ceci s’applique à toutes les versions de Windows en cours de support. Ceci représente un changement dans vos stratégies de déploiement et de configuration de Windows.

Source 

Avec le déploiement de la mise à jour de sécurité de septembre 2025, Microsoft met en œuvre des changements significatifs concernant Windows Server Update Services (WSUS) sur Windows Server 2025. Ces changements impactent la façon dont les mises à jour de sécurité sont gérées pour les systèmes d'exploitation Windows ayant atteint la fin de leur cycle de vie. La suppression de certains binaires de WSUS vise à renforcer la sécurité de notre chaîne d'approvisionnement logicielle. Cela implique que ceux utilisant des mises à jour ESU pour Windows Server 2012 devront effectuer des actions pour maintenir le service de mise à jour.

Le calendrier des déploiements se déroule comme suit :

• 9 septembre 2025 : Suppression des dépendances aux anciens codes. À partir de cette date, les systèmes d'exploitation Windows qui n'ont plus de support ne seront plus éligibles pour recevoir des mises à jour de sécurité étendues (ESU) sans action supplémentaire.
• Date de mise en œuvre : Les organisations devront prendre des mesures immédiates pour garantir que les mises à jour de sécurité continuent à être accessibles, notamment pour Windows Server 2012 et Windows Server 2012 R2.

Pour vous préparer, Microsoft recommande les actions suivantes :

1. Choisir une version WSUS prise en charge : Optez pour une version plus ancienne comme Windows Server 2025 avec la mise à jour de sécurité d’août 2025 ou Windows Server 2022.
2. Localiser le dossier “SelfUpdate” : Sur la version WSUS choisie, allez à %systemdrive%\Program Files\Update Services.
3. Copier le dossier “SelfUpdate” : Transférez ce dossier et son contenu sur votre installation WSUS mise à jour, sur Windows Server 2025 après la mise à jour de septembre 2025.
4. Ajouter le dossier comme répertoire virtuel : Intégrez-le sous le site WSUS dans Internet Information Services (IIS).

Plus d’informations : Hardening changes for Windows Server Update Services in Windows Server 2025 - Microsoft Support

Je vous partage un outil créé par Michael Morten Sonne (MVP) qui permet via une interface graphique de gérer les stratégies d’applications Entra ID soit au niveau du tenant soit individuellement au niveau de l’application.

L’application permet pour l’instant :

• Se connecte en toute sécurité à votre tenant à l'aide de Microsoft Graph.
• Répertorie toutes les applications du tenant pour une sélection rapide.
• Récupère et affiche les stratégies d'application attribuées.
• Prend en charge à la fois les stratégies globales à l'échelle du tenant et les stratégies individuelles par application.
• Vous permet de configurer des restrictions telles que :
  • Durée de vie des mots de passe et des secrets
  • Restrictions relatives aux clés symétriques/asymétriques
  • Ajouts de mots de passe personnalisés
• Panneau de journalisation pour des informations détaillées sur toutes les opérations.

Télécharger Entra ID Application Policy Manager

Source : Entra ID – When Ideas Become Features: Reflections on Entra ID App Policies – Blog - Sonne´s Cloud

Avec la fin de support de Windows 10 le 14 octobre 2025, Microsoft prévoit des changements concernant les images de galerie de Windows 10 dans Windows 365. Ces changements affectent la façon dont vous approvisionnez, mettez à jour et maintenez vos Cloud PC Windows 10.

Le calendrier de déploiement se déroule en trois étapes :

• 14 octobre 2025 : Dernière mise à jour mensuelle : Il s’agira de la mise à jour « Windows 10 October 2025 Update », ultime publication destinée aux images Windows 365 Windows 10 dans la galerie.
• 14 octobre 2025 (à partir de cette date) : Tous les Cloud PC Windows 10 recevront les Extended Security Updates (ESU) automatiquement, sans action administrative.
• 14 avril 2026 : Retrait des images Windows 365 Windows 10 22H2 de la galerie. Les stratégies d’approvisionnement basées sur ces images fonctionneront jusqu’à cette date puis cesseront ; les images seront retirées et ne seront plus disponibles.

Pour vous préparer, Microsoft recommande les actions suivantes :

1. Passer à Windows 11 : Modifiez vos stratégies d’approvisionnement afin d’utiliser les images Windows 11 24H2 (ou version ultérieure) de la galerie. Vous bénéficierez ainsi des fonctionnalités les plus récentes (Hotpatch, etc.) et d’un niveau de sécurité Windows 365 optimal.
2. Si vous devez impérativement rester sur Windows 10 après le 14 avril 2026 : Créez une image personnalisée à partir de « Windows 10 Enterprise 22H2 » (disponible sur Azure Marketplace, MSDN ou Volume Licensing) ; cette possibilité restera offerte jusqu’en 2028, fin du programme ESU.  Attention : ces images n’incluent ni Microsoft 365 Apps ni customisations spécifiques.
3. Si vous utilisez actuellement des images Windows 10 22H2 « prêtes à l’emploi » sans personnalisation : Elles deviendront obsolètes car elles ne recevront plus les mises à jour classiques.  Là encore, privilégiez la création d’une image personnalisée pour garantir que Windows et les autres composants restent à jour.

En résumé, anticipez au plus tôt le passage à Windows 11 pour vos Cloud PC Windows 365. Si ce n’est pas possible, organisez-vous pour maintenir vos propres images Windows 10 Enterprise 22H2 afin de rester sécurisés tout en continuant à profiter du programme ESU.

Plus d’informations : support Windows 10 et ESU

Michael Niehaus avait proposé un script permettant le branding d’une machine via Windows Autopilot. Ce script permet de personnaliser la machine (menu de démarrage, etc.). Il vient de mettre à jour ce script en version 3.3.0 pour notamment :

• Ajouter une logique pour corriger la disposition du menu Démarrer dans les versions ultérieures de Windows 11 (24H2 et supérieures). Cela nécessite de copier non seulement le fichier start2.bin, mais également un fichier settings.dat.
• Après plusieurs tentatives, WinGet fonctionne désormais de manière fiable
• Corriger la logique permettant de nettoyer le raccourci Edge sur le bureau.
• Ajouter une logique pour nettoyer le raccourci Chrome sur le bureau et copier un fichier initial_preferences à cet emplacement afin de configurer les paramètres par défaut de Chrome.
• Ajouter une logique pour abandonner si le script n'est pas exécuté dans OOBE. Cela permet de le déployer en toute sécurité sur tous les appareils ; il n'effectuera aucune configuration lorsqu'il sera exécuté en dehors d'OOBE (à moins que vous n'ajoutiez un commutateur -Force, par exemple à des fins de test).

Télécharger le script sur son GitHub

Source : New Autopilot Branding release – Out of Office Hours

A l’occasion de la conférence communautaire européenne sur Microsoft Fabric, Microsoft a annoncé plusieurs éléments à propos de Microsoft Purview.
On retrouve notamment la disponibilité générale des stratégies de protection d’information permettant aux utilisateurs de Microsoft Fabric d’appliquer manuellement des étiquettes sur les objets Fabric avec du contrôle d’accès automatiquement appliqué selon les paramètres définis par l’administrateur.

En outre, on retrouve la capacité d’appliquer des stratégies de DLP sur les données structurées dans OneLake évitant le sur partage de données dans Fabric avec des messages de sensibilisation.

Microsoft annonce la disponibilité générale des capacités de détection des indicateurs pour les activités utilisateurs dans Power BI dans Microsoft Purview Insider Risk Management. Parmi les activités, on retrouve les indicateurs de visionnage, téléchargement, export et gestion des étiquettes de sensibilité.

C’est aussi Data Security Posture Management for AI (DSPM for AI) qui se voit compléter pour découvrir les risques de sur partage des données Fabric avec les fonctions d’évaluation de risque de données. Elle vous permet d’identifier les tableaux de bord et rapports qui sont les plus accéder avec des données sensibles.

Les usages de Copilot dans Power BI remontent maintenant l’explorateur d’activités de DSPM for AI pour vous permettre de voir les prompts et les réponses, ainsi que les données sensibles associées.

Du côté de la gouvernance des données, Microsoft a annoncé (en Preview) la capacité de voir les métadonnées d’une table, d’une colonne ou d’un fichier dans l’Unified Catalog.

Toujours dans l’Unified Catalog, vous pouvez définir et appliquer des attributs personnalisés à des concepts métier tels que les termes du glossaire, les éléments de données critiques et les produits de données.

Enfin, les utilisateurs Fabric peuvent identifier les causes de problèmes de qualité de données directement quand ils travaillent depuis le OneLake et ce afin de réaliser la remédiation nécessaire.

Source : ​​Unifying Data Security & Governance for the AI Era: Microsoft Purview Innovations for Your Fabric Data

Microsoft est numéro 1 des parts de marché de la sécurité des terminaux pour la 3ème année. Le rapport IDC montre une augmentation de 25.8% en 2023 à 28.6% en 2024. Microsoft représente donc un quart du marché et sa part est presque supérieure à la somme de l’ensemble des acteurs qui ont moins de 3% de part de marché.  

Source : Microsoft ranked number one in modern endpoint security market share third year in a row | Microsoft Security Blog

La dernière étude de Forrester montre un retour sur investissement (ROI) de 242% sur trois ans pour les organisations qui choisissent Microsoft Defender. Parmi les chiffres clés de cette optimisation, on retrouve :

• La réduction du coût de la consolidation des différents vendeurs
• L’optimisation SecOps
• La réduction du coût d’ingénierie du SOC.
• La réduction du coût pour les brèches de sécurité matériel.

Globalement l’investissement est remboursé dans les 6 mois qui suivent le déploiement via :

• Une réduction de 60% des dépenses dans la cybersécurité multicloud
• Une réduction de 80% dans l’effort de réponse sur incident
• Une réduction de 75% du coût lié au risque d’exposition de fuite pour des attaques externes.

Lire le rapport complet : The Total Economic Impact Of Microsoft Defender

Source : Microsoft Defender delivered 242% return on investment over three years​​ | Microsoft Security Blog

Longtemps demandé pour les entreprises de moins de 300 sièges qui utilisent Microsoft 365 Business Premium, Microsoft propose maintenant trois licences additionnelles sur la conformité et la sécurité :

Microsoft Defender Suite for Business Premium est au prix de 10$/utilisateur/mois et comprend :

• Microsoft Entra ID P2 avec notamment les mécanismes de protection de l’identité (Accès conditionnel basé sur le risque, etc.) mais aussi des mécanismes de gouvernance avec Privileged Identity Management (PIM), la revue des accès, la gestion des droits avec les packages d’accès, etc.
• Microsoft Defender for Identity pour la protection des solutions d’identité via des capteurs (Active Directory Domain Services, Certificate Services, Federation Services, OKTA, etc.)
• Microsoft Defender for Endpoint Plan 2 pour obtenir les mécanismes de détection et de réponse (EDR) sur les terminaux.
• Microsoft Defender for Office 365 Plan 2 pour améliorer la protection des outils de collaboration avec les mécanismes de simulation/entrainement aux attaques, des mécanismes automatiques de réponses et d’investigations, et des rapports détaillés sur les clics des employés sur des liens.
• Microsoft Defender for Cloud Apps pour protéger vos applications SaaS (Cloud) et identifier et gérer le Shadow IT ou gérer le risque sur les applications OAuth.

Microsoft Purview Suite for Business Premium est au prix de 10$/utilisateur/mois et comprend :

• Microsoft Purview Insider Risk Management utilise l'analyse comportementale pour détecter les activités à risque, comme le téléchargement d'un grand volume de fichiers par un employé avant de quitter l'entreprise. La confidentialité est intégrée, ce qui vous permet d'agir rapidement sans briser la confiance des employés.
• Microsoft Purview Information Protection classe et étiquette les données sensibles afin que les protections appropriées suivent les données où qu'elles se trouvent. Considérez cela comme une « étiquette de sécurité » qui reste attachée à un document, qu'il soit stocké dans OneDrive, partagé dans Teams ou envoyé par e-mail à l'extérieur de l'entreprise. Des politiques peuvent être définies en fonction de l'étiquette afin d'empêcher le partage excessif de données et de garantir que les fichiers sensibles ne soient accessibles qu'aux personnes autorisées.
• Microsoft Purview Data Loss Prevention (DLP) fonctionne en arrière-plan pour empêcher que des informations sensibles, telles que des numéros de carte de crédit ou des données de santé, ne soient accidentellement partagées avec des personnes non autorisées.
• Microsoft Purview Message Encryption ajoute une couche supplémentaire en garantissant la confidentialité du contenu des e-mails, même lorsqu'ils sont envoyés en dehors de l'organisation.
• Microsoft Purview Customer Key permet aux organisations de contrôler leurs propres clés de chiffrement, ce qui les aide à respecter les exigences réglementaires strictes.
• Microsoft Purview Communication Compliance surveille et signale les communications inappropriées ou à risque afin de protéger contre les violations des politiques et de la conformité.
• Microsoft Purview Data Security Posture Management (DSPM) pour l'IA offre une visibilité
• Microsoft Purview Records and Data Lifecycle Management aide les entreprises à respecter leurs obligations de conformité en appliquant des politiques qui permettent la conservation ou la suppression automatique des données.
• Microsoft Purview eDiscovery (Premium) facilite la réponse aux enquêtes internes, aux conservations légales ou aux contrôles de conformité. Au lieu de jongler entre plusieurs systèmes, vous pouvez rechercher, conserver et exporter des informations en un seul endroit, ce qui garantit l'efficacité des équipes juridiques et de conformité.
• Microsoft Purview Audit (Premium) fournit des journaux d'audit et des analyses plus approfondis pour suivre les activités telles que l'accès aux fichiers, la lecture des e-mails ou les actions des utilisateurs. Ce niveau de détail est essentiel pour la réponse aux incidents et les enquêtes judiciaires, aidant les PME à maintenir leur conformité réglementaire et la confiance de leurs clients.
• Microsoft Purview Compliance Manager permet de suivre les exigences réglementaires, d'évaluer les risques et de gérer les mesures d'amélioration, le tout dans un tableau de bord adapté aux PME.

Microsoft propose une version regroupant les deux add-ons sous le nom Microsoft Defender and Purview Suites for Business Premium au prix de 15$/utilisateur/mois

Plus d’informations sur : Introducing new security and compliance add-ons for Microsoft 365 Business Premium | Microsoft Community Hub

Quelques semaines après le Magic Quadrant DaaS démontrant Microsoft comme leader, l’entreprise vient de faire différentes annonces sur Windows 365.

Windows 365 Cloud Apps

Microsoft annonce la Public Preview de Windows 365 Cloud Apps afin de mettre à disposition des applications sans avoir à provisionner un Cloud PC complet. Ceci s’apparente un peu à la solution RemoteApp qui existait à l’époque.

Windows 365 Link

La première est l’extension de Windows 365 Link sur six marchés supplémentaires dont la France, le Danemark, l’Inde, le Pays Bas, la Suède et la Suisse. En France, vous pouvez notamment acheter ces appareils auprès de mon organisation Exakis Nelite.
Pour rappel, Windows 365 Link est un appareil préconstruit permettant de donner accès à une instance Windows 365 de manière sécurisée et à bas coût. Outre cette extension, Microsoft annonce l’arrivée du support de l’accès par la voix pour améliorer l’accessibilité, l’authentification réseau via des portails captifs pour la connexion, l’authentification à des applications et des sites web en utilisant la redirection de carte à puce (smart card) et le support de plus de configuration de l’accès conditionnel.

Windows 365 Reserve

En juin dernier, Microsoft annonçait Windows 365 Reserve, une offre autonome permettant à des employés qui auraient perdus, endommagés ou s’étaient fait voler leurs appareils, d’obtenir un Cloud PC secondaire préconfiguré tant que la première machine n’est pas réparée ou remplacée. Cette solution actuellement en Public Preview à audience limitée, permet de fournir une restauration presque instantanée.

Windows 365 Cross-region Disaster Recovery

Windows 365 Cross-region Disaster Recovery est étendu aux licences Windows 365 Frontline en plus de Windows 365 Enterprise afin de permettre de gérer les désastres régionaux en créant des instantanés de Cloud PCs à des emplacements différents.

Copilot in Intune

Microsoft annonce l’arrivée dans les prochaines semaines de scénarios pour Windows 365 dans Copilot in Intune. Ceci permettra d’amener la puissance de l’IA dans les activités quotidiennes de gestion comme les tendances de connexion, l’optimisation de l’usage des licences, l’identification et la résolution des problèmes de performance, etc.

Windows 365 Frontline

La capacité Windows 365 Frontline est ajouté aux environnements de cloud gouvernementaux américains (GCC et GCCH) avec les conformités associées (FedRAMP Moderate, CJIS et IRS 1075).

Ecosystème

Microsoft propose la gestion multi-tenant pour les fournisseurs de services gérés (MSP).
En outre, Microsoft propose l’offre de deux partenaires de plus pour le packaging d’applications sans coût pour deux mois.
Enfin, Microsoft propose une API de migration permettant à des partenaires ou des clients de créer des outils pour simplifier la migration vers Microsoft 365. Microsoft s’est déjà associé à Nerdio,ControlUp, IGEL, et EfficientEther pour construire des outils.

Dernier point important, Microsoft arrête le service Microsoft Dev Box et incite les clients à utiliser Windows 365 pour les développeurs. Les clients existants pourront pour l’instant toujours utiliser le service mais aucun nouveau client ne sera accepté à partir du 1^er novembre.

Source : Windows 365 brings resilient, AI-driven cloud productivity to more users | Windows Experience Blog

Microsoft a construit un plan détaillé (blueprint) sous la forme d’un guide pour atténuer les fuites de données en utilisant Microsoft Purview. Ce guide regroupe différentes postures Bonne / Meilleure / Excellente qui correspondent aux niveaux de licences et plus particulièrement celles à destination du monde des petites entreprises (SMB) avec Microsoft 365 Business Premium (Bonne) et l’add-on complémentaire E5 Compliance (Meilleure / Excellente).

Les recommendations suivantes sont proposées :

• Bonne
  • Création d’étiquettes de sensibilité
  • Création de sous étiquettes
  • Priorisation de l’ordre
  • Publication des étiquettes
  • Configuration de l’étiquette par défaut
  • Activation des étiquettes OneDrive et SharePoint
  • Activation de la journalisation d’audit
  • Création et déploiement de stratégies de DLP pour Exchange, SharePoint, OneDrive
• Meilleure
  • Création de types d’informations sensibles (SIT)
  • Configuration de l’étiquetage automatique côté client
  • Création et déploiement de stratégies de DLP pour Teams et les terminaux
  • Application de la protection email
• Excellente
  • Ajout du chiffrement sur les fichiers
  • Extension de l’étiquetage automatique côté service
  • Activation de la stratégie de risque interne « Data leaks »
  • Activation de la protection adaptative pour des stratégies DLP dynamiques
  • Activation de la protection adaptative pour des stratégies d’accès conditionnel dynamiques

Accéder à Notes from engineering - Purview deployment models | Microsoft Learn

Consulter Lightweight guide to mitigate data leakage_Purview Blueprint_PPT.pptx