Microsoft vient publier un livre blanc complet qui fournit aux régulateurs, aux professionnels de l'informatique, aux responsables des risques, aux professionnels de la conformité, aux architectes de la sécurité et aux autres parties intéressées une vue d'ensemble des nombreuses façons dont Microsoft atténue les risques dans le cadre du cycle de vie des produits d'intelligence artificielle. Le document présente la promesse de Microsoft en matière d'intelligence artificielle responsable, la norme d'intelligence artificielle responsable, les cadres de référence du secteur, les lois et réglementations, les méthodes d'atténuation des risques et d'autres ressources fournissant des garanties.

On y retrouve notamment les grands principes suivants :

• L'IA responsable et sécurisée chez Microsoft
• Faire face aux nouveaux risques
• Réglementations et cadres d'assurance spécifiques à l'IA avec notamment :
  • European Union AI Act
  • ISO 42001 AI Management System
  • Cyber Executive Order (EO 14028)
  • NIST AI Risk Management Framework

Télécharger le livre blanc

Plus d’informations sur : How Microsoft 365 Delivers Trustworthy AI - Microsoft Community Hub

Microsoft propose un évènement dédié à la sécurité qui vous apportera un tour d’horizon de tous les enjeux sur la sécurité. Microsoft Secure aura lieu le mercredi 13 mars de 9h à 11h sous format digital. On y retrouvera notamment Vasu Jakkal, Corporate Vice President, Microsoft Security Business pour notamment vous apporter des éléments sur:

• Les nouveaux produits, les nouvelles capacités et les nouvelles offres.
• Des démonstrations sur les dernières innovations alimentées par l'IA.

Pour vous enregistrer, vous pouvez utiliser cette adresse.

Michael Niehaus est toujours de bons conseils ! Aujourd’hui, il revient sur un comportement que vous pouvez constater sur Windows 11 23H2 avec Windows Autopilot. Celui-ci se modélise par l’apparition de la page de termes de licences dans l’expérience OOBE. En parallèle, vous constater que :

• Le modèle de nommage de l’appareil est ignoré.
• Vous devrez choisir entre AAD et MSA sous Windows 11 Pro.
• L'utilisateur aura toujours les droits d'administrateur.
• Vous serez invité à définir les paramètres de sécurité et de confidentialité, à enregistrer les appareils OEM et, éventuellement, à souscrire à des abonnements Xbox ou Microsoft 365.
• Les scénarios HAADJ, d'auto-déploiement et de pré-provisionnement (White Glove) ne fonctionneront pas du tout.

Il met en avant que ceci survient dans la situation suivante :

• L’usage de la dernière version du média d’installation de Windows 23H2 de décembre comprenant surement déjà la mise à jour KB5033375
• La mise à jour KB5033375 qui semble avoir un problème de logique de détection.

Plus d’informations sur : Autopilot randomly not working? Perhaps KB5033055 is to blame. – Out of Office Hours (oofhours.com)

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

• Disponibilité Générale des règles dynamiques permettant de tagguer les périphériques. Ceci permet notamment créer et de gérer des règles qui attribuent et suppriment automatiquement des balises sur les appareils en fonction de critères définis par l'utilisateur, directement dans le portail Microsoft Defender.

• Il y a quelques semaines, Microsoft mettait à disposition une nouvelle méthode d’enregistrement totalement silencieuse pour les périphériques iOS/iPadOS supervisés et non supervisés. Plus d’informations sur : Zero Touch Enrollment of MDE on iOS/iPadOS devices managed by Intune - Microsoft Community Hub
• "Defender Boxed" est de retour ! Pendant le mois de janvier, vous pouvez recevoir votre résumé SOC personnalisé via Defender Boxed. Allez sur le portail Defender et ouvrez la page des incidents.

• Dans la version de janvier du client Defender for Endpoint pour Linux (Build: 101.23112.0009 | Release version: 30.123112.0009.0), on retrouve des améliorations de stabilité et de performance ainsi que des corrections de bugs notamment sur la configuration de la supervision comportementale.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• (Preview) Support de la gestion de la posture de sécurité SaaS (SSPM) pour plusieurs instances de la même application. Par exemple, si vous avez plusieurs instances d'AWS, vous pouvez configurer les recommandations Secure Score pour chaque instance individuellement. Chaque instance apparaîtra comme un élément distinct sur la page App Connectors.

• (Preview) Redirection automatique pour le portail classique Defender for Cloud Apps. L'expérience et les fonctionnalités du portail classique Microsoft Defender for Cloud Apps ont été regroupées dans le portail Microsoft Defender XDR. À partir du 9 janvier 2024, les clients qui utilisent le portail classique Defender for Cloud Apps avec les fonctionnalités Preview sont automatiquement redirigés vers Microsoft Defender XDR, sans possibilité de revenir au portail classique.
• Les règles de session permettent désormais de contrôler le téléchargement de dossiers contenant plus de 100 fichiers, sans limitation du nombre de fichiers pouvant être inclus dans le téléchargement.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Les administrateurs peuvent identifier s'ils soumettent un élément à Microsoft pour un deuxième avis ou s'ils soumettent le message parce qu'il est malveillant et qu'il a été manqué par Microsoft. Avec ce changement, l'analyse par Microsoft des messages soumis par les administrateurs (courriel et Microsoft Teams), des URL et des pièces jointes aux courriels est davantage rationalisée et aboutit à une analyse plus précise.
• Microsoft lance deux modules d’entrainement au phishing par QR Code dans Attack Simulation Training via un partenariat avec Fortra Terranova Security :
  • Mailicious Printed QR Codes
  • Malicious Digital QR Codes
• Microsoft ajoute plusieurs langues pour arriver à 37 langues supportées pour les modules suivants : Teams Phishing, Understanding App Consent Request, Double Barrel Phishing Attack, et Stegosploit

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La solution Microsoft Sentinel pour les applications SAP® inclut désormais les améliorations suivantes :
  • La fonction SAPUsersGetVIP prend désormais en charge l'exclusion des utilisateurs en fonction de leurs rôles ou profils attribués par SAP.
  • La liste de surveillance (watchlist) SAP_User_Config prend désormais en charge l'utilisation de caractères génériques dans le champ SAPUser pour exclure tous les utilisateurs avec une syntaxe spécifique.
• Mise à jour du workbook User and Entity Behavior Analytics avec notamment :
  • Les anomalies liées aux IP et aux hôtes, en plus des comptes, sont désormais affichées.
  • Une nouvelle section a été ajoutée pour les incidents impliquant des entités dont les anomalies ont été relevées jusqu'à 3 jours avant la création de l'incident.
  • Le classeur s'appuie désormais sur la table Anomalies, alors que l'ancienne version s'appuyait sur la table BehaviorAnalytics.
• Disponibilité Générale de la fonctionnalité de Repos de tâches (Tasks Repository). Les analystes SecOps sont censés effectuer une liste d'étapes, ou de tâches, dans le processus de triage, d'investigation ou de remédiation d'un incident. La standardisation et la formalisation de la liste des tâches peuvent contribuer au bon fonctionnement de votre SOC, en garantissant que les mêmes exigences s'appliquent à tous les analystes. Les tâches peuvent être ajoutées manuellement à l'incident après sa création ou en utilisant des règles d'automatisation et/ou des playbooks automatiquement lors de la création de l'incident.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Doc

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft annonce qu’au 1er mai 2024, l'offre Qualys intégrée dans le plan Defender for Servers sera retirée. Tous les nouveaux clients de Defender for Servers se verront proposer l'option Qualys intégrée jusqu'au 15 janvier 2024. Après le retrait, les clients qui souhaitent continuer à utiliser Qualys peuvent choisir de s'abonner à Qualys Vulnerability Management, disponible en tant qu'option BYOL (Bring Your Own License). De même, dans le cadre du plan Defender for Containers, l'offre intégrée de Qualys sera retirée d'ici le 1er mars 2024. Tous les nouveaux clients bénéficieront automatiquement de Defender Vulnerability Management.
• Public Preview de l'analyse sans agent des logiciels malveillants pour les serveurs pour les machines virtuelles Azure (VM), les instances AWS EC2 et les instances VM GCP, en tant que nouvelle fonctionnalité incluse dans Defender for Servers Plan 2. L'analyse des logiciels malveillants sans agent utilise le moteur anti-malware de Microsoft Defender Antivirus pour analyser et détecter les fichiers malveillants. Toute menace détectée déclenche des alertes de sécurité directement dans Defender for Cloud et Defender XDR, où elles peuvent être examinées et corrigées. L'analyseur de logiciels malveillants sans agent complète la couverture basée sur les agents avec une deuxième couche de détection des menaces avec une intégration sans friction et n'a pas d'effet sur les performances de votre machine.
  Plus d’informations sur : Agentless malware scanning for servers with Defender for Cloud - Microsoft Community Hub
• Disponibilité générale de l'intégration de Defender for Cloud avec Microsoft Defender XDR apportant des capacités compétitives de protection du cloud dans le quotidien du centre d'opérations de sécurité (SOC). Avec Microsoft Defender for Cloud et l'intégration de Defender XDR, les équipes SOC peuvent découvrir des attaques qui combinent des détections provenant de plusieurs piliers, y compris Cloud, Endpoint, Identity, Office 365, et plus encore.
• Public Preview de la posture de conteneur sans agent pour GCP dans Defender for Containers et Defender CSPM incluant l’évaluation des vulnérabilités avec Microsoft Defender Vulnerability Management. Plus d’informations sur : Agentless Container Posture Management in Multicloud - Microsoft Community Hub
• Les annotations de sécurité DevOps Pull Request sont désormais activées par défaut pour les connecteurs Azure DevOps. Par défaut, les annotations PR ne sont activées que pour les résultats de l'Infrastructure as Code (IaC) de haute sévérité. Les clients devront toujours configurer Microsoft Security for DevOps (MSDO) pour qu'il s'exécute dans les builds PR et activer la politique Build Validation pour les builds CI dans les paramètres du référentiel Azure DevOps. Les clients peuvent désactiver la fonction d'annotation PR pour des référentiels spécifiques à partir des options de configuration du référentiel de la lame de sécurité DevOps.
• Preview de neuf nouvelles recommandations de sécurité Azure avec notamment :
  • Cognitive Services accounts should have local authentication methods disabled
  • Cognitive Services should use private link
  • Virtual machines and virtual machine scale sets should have encryption at host enabled
  • Azure Cosmos DB should disable public network access
  • Cosmos DB accounts should use private link
  • VPN gateways should use only Azure Active Directory (Azure AD) authentication for point-to-site users
  • Azure SQL Database should be running TLS version 1.2 or newer
  • Azure SQL Managed Instances should disable public network access
  • Storage accounts should prevent shared key access
• Suppression des alertes de sécurité et mise à jour des alertes de sécurité au niveau de gravité informationnel. Les alertes suivantes ont été supprimées :
  • Anomalous pod deployment (Preview) (K8S_AnomalousPodDeployment)
  • Excessive role permissions assigned in Kubernetes cluster (Preview) (K8S_ServiceAcountPermissionAnomaly)
  • Anomalous access to Kubernetes secret (Preview) (K8S_AnomalousSecretAccess)

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft vient de mettre à disposition la Technical Preview 2401 (5.0.9124.1000) de Microsoft Configuration Manager. Cette version requiert à minima la version 2207 pour pouvoir être appliquée. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour plus de simplicité. L’outil ne fait donc plus parti de la gamme System Center. Microsoft Endpoint Manager n’existe plus non plus afin d’éviter les confusions que nous avions rencontré. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2401 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

Console d’administration

• Les utilisateurs peuvent désormais utiliser la boîte de recherche globale dans la console, ce qui simplifie la recherche et centralise l'accès à l'information. Cela améliore la convivialité, la productivité et l'efficacité globales de CM. Les utilisateurs n'ont plus besoin de naviguer à travers de multiples nœuds ou sections/dossiers pour trouver l'information dont ils ont besoin, ce qui leur permet d'économiser un temps et des efforts précieux.

• Microsoft Azure Active Directory est renommé Microsoft Entra ID dans Configuration Manager.

Infrastructure

• La mise à jour vers CM 2403 est bloquée si CMG V1 fonctionne comme un cloud service (classic). Tous les déploiements de CMG doivent utiliser un virtual machine scale set.
• À partir de 2403, les rôles de système de site du système d'exploitation Windows Server 2012/2012 R2 ne sont plus pris en charge.
• La Cloud Management Gateway (CMG) Virtual Machine Scale introduit l'activation de l'Auto-Image Patching pour des mises à jour transparentes et automatisées afin de s'assurer que votre environnement reste à jour et sécurisé avec cette solution efficace.
• La communication HTTP uniquement est obsolète et sa prise en charge est supprimée dans cette version de Configuration Manager. Vous devez activer HTTPS ou Enhanced HTTP pour la communication avec le client.

Gestion des mises à jour logicielles

• Un nouveau tableau de bord Software Update Health est ajouté à la console sous l'espace de travail Monitoring qui montre le diagnostic des problèmes de mise à jour des logiciels dans votre environnement. Vous pouvez résoudre les problèmes de mise à jour logicielle en vous basant sur la documentation de dépannage du CM.

• Le tableau de bord de préparation à Windows 11 supporte maintenant Windows 23H2.

Déploiement de système d’exploitation

• Avec l'introduction du nombre de tentatives dans l'interface utilisateur, les administrateurs qui déploient l'option "Install Software Package" via une variable dynamique en décochant la case "Continue on error" ne seront pas informés des échecs de la séquence de tâches, même si les versions du progiciel sur le point de distribution ont été mises à jour.

Gestion de BitLocker

• Suite à vos retours, cette fonctionnalité garantit une vérification correcte du stockage de la clé et empêche l'abandon des messages. Microsoft vérifie maintenant si la clé est bien sauvegardée dans la base de données, et ce n'est que lorsque la sauvegarde est réussie que Microsoft ajoute le protecteur de clé.
• Cette fonctionnalité permet d'éviter un scénario de perte de données potentielle dans lequel BitLocker protège les volumes avec des clés qui ne sont jamais sauvegardées dans la base de données, en cas d'échec de l'archivage.

Plus d’informations sur cette version : Technical preview 2401 - Configuration Manager | Microsoft Learn

Pour obtenir les éléments relatifs au processus de mise à jour : Updates and servicing - Configuration Manager | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Introduction d’un nouveau module PowerShell pour MDI afin de faciliter le déploiement et la configuration.
• La chronologie / Timeline a été ajoutée sur les groupes vous permettant de visualiser dans Microsoft Defender XDR les activités et les alertes liées aux entités de groupe Active Directory des 180 derniers jours, telles que les changements d'appartenance à un groupe, les requêtes LDAP, etc.

• Les versions 2.225, 2.226, et 2.227 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for IoT. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Réseaux OT

• Lorsque vous mettez à jour le capteur dans le portail Azure, vous pouvez désormais choisir de mettre à jour l'une des versions antérieures prises en charge (versions autres que la dernière version). Auparavant, les capteurs intégrés à Microsoft Defender for IoT sur le portail Azure étaient automatiquement mis à jour vers la dernière version.

Plus d’informations sur : What's new in Microsoft Defender for IoT - Microsoft Defender for IoT | Microsoft Learn

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Général

• [Général] Nouvelle expérience de la gestion des appareils avec Microsoft Intune. La zone Devices/Appareils dispose désormais d'une interface plus cohérente, avec des commandes plus performantes et une structure de navigation améliorée pour vous permettre de trouver plus rapidement ce dont vous avez besoin. La nouvelle expérience, qui était jusqu'à présent en avant-première publique, sera progressivement déployée pour une disponibilité générale au cours des prochaines semaines.

Gestion du périphérique

• [Général] Disponibilité Générale de Microsoft Intune Advanced Analytics au travers de la nouvelle suite Intune (abonnement supplémentaire). La solution fournit une visibilité complète de l'expérience de l'utilisateur final dans l’organisation et l'optimise grâce à des informations basées sur des données. Il comprend des données en temps quasi réel sur vos appareils avec Device query (équivalent de CMPivot), une visibilité accrue avec des périmètres d'appareils personnalisés, un rapport sur l'état de la batterie et une chronologie détaillée des appareils pour résoudre les problèmes, ainsi qu'une détection des anomalies pour aider à identifier les vulnérabilités ou les risques potentiels dans l'ensemble de votre parc d'appareils.

Configuration du périphérique

• [Windows] Vous pouvez importer jusqu’à 20 fichiers ADMX personnalisés. Il est à noter que Microsoft travaille aux scénarios suivants :
  • Mise à jour des fichiers ADMX
  • Inclusion des paramètres importés dans le catalogue des paramètres
  • Téléchargements ADML supplémentaires/prise en charge des langues
  • Augmentation de la limite de fichiers au fil du temps
• [Android] Nouveau paramètre qui désactive la localisation sur les appareils Android Enterprise dans Devices> Configuration profiles > Create profile > Android Enterprise pour plateforme > Fully Managed, Dedicated, and Corporate-Owned Work Profile > Device Restrictions comme type de profil > General. Le paramètre Location à Block désactive la localisation et empêche les utilisateurs de l’activer.

• [macOS/iOS/iPadOS] Microsoft introduit un sélecteur de date et d'heure pour les mises à jour logicielles gérées dans le catalogue des paramètres sur les appareils iOS/iPadOS et macOS. Cela se situe dans Devices> Configuration profiles > Create profile > iOS/iPadOS ou macOS pour plateforme > Settings catalog comme type de profil > Declarative Device Management > Software Update.

Gestion des applications

• [Windows] Disponibilité Générale de Microsoft Intune Enterprise Application Management au travers de la nouvelle suite Intune (abonnement supplémentaire) fournissant un catalogue d'applications Win32 facilement accessible dans Intune. Vous pouvez ajouter ces applications à votre tenant en les sélectionnant dans le Catalogue d'applications d'entreprise. Lorsque vous ajoutez une application du Catalogue d'applications d'entreprise à votre tenant Intune, les paramètres d'installation, de configuration requise et de détection par défaut sont automatiquement fournis. Vous pouvez également modifier ces paramètres. Intune héberge les applications du Catalogue d'applications d'entreprise dans le stockage Microsoft.

• [Général] Vous pouvez désormais utiliser les stratégies de protection des applications Intune avec BlackBerry Protect Mobile (powered by Cylance AI).
• [iOS/iPadOS] On retrouve de nouvelles applications protégées dont :
  • Print by PrinterOn, Inc. (iOS/iPadOS)
  • Align for InTune by MFB Technologies, Inc. (iOS/iPadOS)
• [iOS/iPadOS/Android] Vous pouvez configurer une politique de protection des applications pour déterminer quelle application SMS/MMS doit être utilisée lorsque l'utilisateur final a l'intention d'envoyer un message SMS/MMS après avoir été redirigé à partir d'une application gérée par une stratégie. Lorsque l'utilisateur final clique sur un numéro dans l'intention d'envoyer un SMS/MMS, les paramètres de protection des applications sont utilisés pour rediriger l'utilisateur vers l'application SMS/MMS configurée. Cette fonctionnalité est liée au paramètre Transfer messaging data to.

• [iOS/iPadOS/Android] Pour les applications gérées dont l'accès nécessite un code PIN, les utilisateurs finaux autorisés peuvent désormais réinitialiser le code PIN de l'application à tout moment en utilisant leur compte d'entreprise. Vous pouvez exiger un code PIN pour l'application dans Intune en sélectionnant le paramètre Code PIN pour l'accès dans les stratégies de protection des applications iOS/iPadOS et Android.
• [macOS] La taille limite des applications DMG et PKG qui peuvent être installées à l'aide d'Intune sur les Mac gérés a été augmentée. La nouvelle limite est de 8 Go et s'applique aux applications (DMG et PKG non gérées) qui sont installées à l'aide de l'agent de gestion Microsoft Intune pour macOS.
• [Windows] La taille maximale des packages pour le téléchargement d'applications vers Intune est passée de 8 Go à 30 Go pour les clients payants. Les utilisateurs de la version d'évaluation sont toujours limités à 8 Go.
• [Windows] Intune prend désormais en charge le déploiement d'applications LOB signées par le Store (fichier unique .appx, .msix, .appxbundle et .msixbundle) sur les appareils Surface Hub. La prise en charge des applications LOB signées par le Store permet de déployer des applications du Store hors ligne sur les appareils Surface Hub après le retrait du Microsoft Store for Business.

Sécurité du périphérique

• [Windows] Support des stratégies de contrôle des mises à jour Intune Defender pour les appareils gérés par Microsoft Defender for Endpoint. Les stratégies Defender Update control font partie de la stratégie antivirus Endpoint Security.

Supervision et Dépannage

• [Général] Dans Intune, vous pouvez afficher une nouvelle liste de tous les rapports de surveillance des appareils. Vous pouvez trouver ces rapports dans le centre d'administration de Microsoft Intune en sélectionnant Devices > Monitor. Le volet Monitor fournit des rapports relatifs à la configuration, à la conformité, à l'inscription et aux mises à jour logicielles. En outre, vous pouvez consulter d'autres rapports, tels que Device actions.

• [Général] Intune peut désormais conserver les résultats de la recherche et du filtrage des rapports lors de l'exportation des données. Par exemple, lorsque vous utilisez le rapport Noncompliant devices and settings, que vous réglez le filtre du système d'exploitation sur " Windows " et que vous recherchez " PC ", les données exportées ne contiendront que les périphériques Windows dont le nom contient " PC ". Cette fonctionnalité est également disponible lorsque vous appelez directement l'API ExportJobs.
• [Général] Vous pouvez maintenant utiliser un simple clic dans le centre d'administration Intune pour qu'Intune active, collecte et soumette à Microsoft huit heures de logs verbeux pour un serveur Tunnel Gateway. Les journaux verbeux peuvent ensuite être référencés lorsque vous travaillez avec Microsoft pour identifier ou résoudre des problèmes avec un serveur Tunnel.
• [Windows] Les rapports Feature Update Compatibility Risks report et Device Readiness intègrent maintenant le support de Windows 11 23H2.

Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

Microsoft vient de réaliser une série d’annonces autour de Copilot, l’IA Générative de Microsoft notamment basée sur des modèles d’Open AI et particulièrement sur sa déclinaison dans Microsoft Dynamics 365.

On apprend donc la disponibilité générale de Microsoft Copilot for Sales qui se connecte à Microsoft Dynamics 365 et plus particulièrement le CRM pour :

• Générer des notes de préparation aux réunions de vente dans Word.
• Résumer les courriels et faire ressortir l'intention d'achat et l'analyse du budget, de l'autorité, du besoin et du moment (BANT) dans Outlook.
• Générer des courriels dans Outlook avec des informations pertinentes sur les produits, les comptes, les relations et les opportunités à partir de leur système de gestion de la relation client (CRM) et de Microsoft Graph.
• Ajouter des prospects et mettre à jour les enregistrements CRM directement à partir d'Outlook.
• Afficher les notes de préparation des réunions et les informations commerciales en temps réel pendant les appels dans Teams.
• Afficher les résumés des réunions de vente dans Teams avec l'analyse des conversations, les mots clés et les indicateurs clés de performance (KPI) des ventes, ainsi que les tâches suggérées.
• Créer des salles de marché collaboratives dans Teams qui se synchronisent avec les données CRM.

En outre, c’est aussi la disponibilité générale de Copilot for Service permettant d’accélérer l'accueil et la résolution des cas, améliorer l'efficacité et automatiser les tâches des agents dans leur flux de travail. Sans temps de développement coûteux, les organisations peuvent simplement pointer vers leurs données dans Salesforce, ServiceNow ou Zendesk et, en quelques minutes, débloquer des conversations génératives alimentées par l'IA à travers leurs bases de connaissances. Quant aux agents, ils peuvent accéder à ces connaissances grâce à un copilote intégré directement dans le logiciel de bureau de leur choix, tel que Salesforce, ainsi que dans les autres outils qu'ils utilisent déjà au quotidien, tels qu'Outlook et Teams.

Plus d’informations sur : Microsoft Copilot for Sales and Copilot for Service are now generally available - Microsoft Dynamics 365 Blog

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Provisionnement de périphériques

• Windows 365 supporte maintenant les datacenters Italy North et Poland Central.

Gestion des périphériques

• Public Preview du Dedicated Mode pour Windows 365 Boot. Vous pouvez désormais vous connecter à votre PC Windows 365 Cloud à partir de l'appareil désigné par votre entreprise. Vous pourrez vous connecter en toute transparence à votre PC Windows 365 Cloud à partir de l'écran de connexion de Windows 11 en utilisant des méthodes d'authentification sans mot de passe comme Windows Hello for Business. Le nouveau Dedicated Mode s'accompagne également d'une expérience de changement de compte rapide qui vous permet de changer de profil sans effort pour vous connecter, de personnaliser l'expérience avec votre nom d'utilisateur et votre mot de passe, d'afficher une image sur l'écran de verrouillage et de connexion, de mémoriser votre nom d'utilisateur, etc.

• Dans le Shared Mode de Windows 365 Boot, vous pouvez maintenant personnaliser la page de connexion avec le branding de l’entreprise. Cela se passe dans Intune dans Home > Devices > Windows 365 Boot puis Personalization dans le menu Settings.

Expérience Utilisateur

• Dans Windows 365 Boot, Il n'est plus nécessaire d'attendre la fin du processus de connexion au Cloud PC pour découvrir que le démarrage de Windows 365 a échoué en raison de problèmes de réseau ou d'une configuration incomplète. La nouvelle logique intelligente informe proactivement les utilisateurs de la nécessité de résoudre les problèmes de réseau ou de terminer la configuration de l'application afin qu'ils puissent se connecter sans problème à leur Cloud PC.

• L’utilisateur peut gérer les paramètres du PC local à partir du Cloud PC avec Windows 365 Boot. Il est désormais plus facile d'accéder et de gérer le son, l'affichage et d'autres paramètres spécifiques à l'appareil de leur PC local.

• Dans Windows 365 Switch, vous pouvez désormais vous déconnecter du Cloud PC directement à partir de votre PC local. Pour ce faire, il suffit d'aller dans Local PC > Task view, de cliquer avec le bouton droit sur le Cloud PC et de sélectionner Disconnect. Microsoft a également ajouté des info-bulles qui affichent les options de déconnexion réseau et de déconnexion utilisateur dans le menu de démarrage du Cloud PC afin que vous puissiez faire la différence entre ces fonctionnalités.

• Avec Windows 365 Switch, vous verrez maintenant les termes "Cloud PC" et "Local PC" sur l'indicateur du bureau lorsque vous passez d'un PC à l'autre.

• L’utilisateur verra maintenant des mises à jour concernant l'état de la connexion au PC Cloud et l'indicateur de délai de connexion pendant qu’il attend sur l'écran de connexion. En cas d'erreur, il pourra copier l'ID de corrélation en utilisant le nouveau bouton de copie dans l'écran d'erreur pour une résolution plus rapide.
• Pour les PC Cloud nouvellement créés, les utilisateurs peuvent désormais redémarrer ou éteindre leur PC Cloud en utilisant la combinaison de clavier CTL+ALT+DEL. Ceci ne s'applique pas aux Cloud PCs créés avant le 1/31/2024.

Sécurité du périphérique

• De nombreux FQDNs requis ont été déplacés vers le FQDN wildcard *.infra.windows365.microsoft.com. Ce déplacement réduit les exigences de configuration initiale et le taux de changement des exigences de connectivité. Pour Windows 365 Government, les FQDN ont été déplacés vers *.infra.windows365.microsoft.us. Pour éviter tout problème lors du provisionnement de nouveaux PC Cloud, vous devez vous assurer que .infra.windows365.microsoft.com (.infra.windows365.microsoft.us pour Windows 365 Government) est un point de terminaison accessible dans la liste des autorisations de votre réseau.

Supervision et Dépannage

• Une nouvelle règle d'alerte (en Preview) est désormais disponible pour vous avertir lorsque les Cloud PCs ne sont pas disponibles.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Windows Autopatch.

Il y a de nouvelles fonctionnalités ce mois :

• Microsoft a mis à jour la section dans la documentation en spécifiant la méthode de calcule de l’objectif de niveau de service (SLO).
• Mise à jour des licences E3 et E5 en ajoutant certains identifiants manquants.
• Intégration de la fonction d’import de stratégie de mise à jour Update Rings pour Windows 10 et plus. Ceci permet d’importer ces stratégies existantes dans Windows Autopatch afin d’apporter les bénéfices d’Autopatch dans l’évaluation des périphériques et le reporting sans avoir redéployer. Les bagues importées enregistrent automatiquement tous les appareils ciblés dans Windows Autopatch.
• Public Preview du rapport Windows Autopatch Reliability fournissant un score de fiabilité calculé sur l'ensemble des cycles de mise à jour, basé sur les occurrences d'erreurs de code d'arrêt détectées sur les appareils gérés. Les scores sont déterminés à la fois au niveau du service et du tenant. Des détails sur les modules associés aux erreurs de code d'arrêt au niveau du tenant seront fournis pour mieux comprendre comment les appareils sont affectés. La note de fiabilité calculée n'est communiquée que lorsqu'un minimum de 100 appareils enregistrés ont fait l'objet d'une mise à jour de qualité de Windows.

Microsoft a réalisé des maintenances sur le service afin d'améliorer les performances globales de Windows Autopatch.

Plus d’informations sur : What's new 2024 - Windows Deployment | Microsoft Learn

Le 12 janvier 2024, Microsoft a annoncé avoir décelé une attaque d'une nature préoccupante perpétrée par un agent national sur ses systèmes d'entreprise. L'équipe de sécurité de Microsoft, a pris des actions dans le but d'interrompre l'activité malveillante, d'endiguer les attaques et de désactiver l'accès de l'acteur de la menace. Le groupe désigné sous le nom de Midnight Blizzard, précédemment associé à NOBELIUM, APT29, UNC2452 et Cozy Bear, est identifié comme étant parrainé par l'État russe, réaffirmant les menaces de cybermenaces qui pèsent entre les nations.

Plus tôt, le 2 août 2023, Midnight Blizzard a utilisé des attaques par Password Spray à un nombre limité de comptes, en utilisant un faible nombre de tentatives pour échapper à la détection et éviter les blocages de comptes basés sur le volume d'échecs, Ils ont réussi à compromettre un ancien compte de tenant de test non productif qui n'avait pas d'authentification multifactorielle (MFA) activée. En outre, l'auteur de la menace a encore réduit la probabilité d'être découvert en lançant ces attaques à partir d'une infrastructure de proxy résidentielle distribuée. Ces techniques d'évasion ont permis à l'acteur d'obscurcir son activité et de maintenir l'attaque dans le temps jusqu'à ce qu'elle soit couronnée de succès.

Midnight Blizzard a tiré parti de son accès initial pour identifier et compromettre une ancienne application OAuth de test qui disposait d'un accès élevé à l'environnement de l'entreprise Microsoft. L'acteur a créé d'autres applications OAuth malveillantes. Il a créé un nouveau compte utilisateur pour autoriser les applications OAuth malveillantes contrôlées par l'acteur à accéder à l'environnement de l'entreprise Microsoft. L'acteur de la menace a ensuite utilisé l'ancienne application OAuth de test pour lui accorder le rôle Office 365 Exchange Online full_access_as_app, qui permet d'accéder aux boîtes aux lettres. Midnight Blizzard a exploité ces applications OAuth malveillantes pour s'authentifier auprès de Microsoft Exchange Online et cibler les comptes de messagerie d'entreprise de Microsoft.

Microsoft a fourni des éléments pour se prémunir de ce genre d’attaques :

1. Utilisation de Microsoft Entra ID Protection.
2. Utilisation de Microsoft Defender for Cloud Apps pour gérer les applications OAuth et les usages frauduleux.
3. Utilisation de Microsoft Defender XDR et notamment l’alerte Suspicious user created an OAuth app that accessed mailbox items.
4. Utilisation de règles de Hunting pour détecter des événements relatifs à cet attaque
5. Sensibilisation et Formation : Accroître la sensibilisation et former le personnel sur les tactiques de social engineering et les attaques par phishing, notamment à la lumière des attaques orchestrées via les chats Microsoft Teams.

Vous pouvez obtenir plus d’informations sur l’attaque et les recommandations sur : Midnight Blizzard: Guidance for responders on nation-state attack | Microsoft Security Blog

Microsoft vient d'annoncer la disponibilité générale de nombreux nouveaux services au travers de Microsoft Intune Suite dont la Cloud PKI. Je vous propose une petite vidéo pour découvrir ce nouveau service :

L’équipe Defender for Cloud a publié un billet sur son blog pour expliquer un nouveau concept introduit en novembre dernier permettant de fournir une estimation du risque contextualisé à l’environnement dans Microsoft Defender for Cloud. Ceci permet d’aider les clients à classer les problèmes de sécurité dans la configuration de leur environnement et à les résoudre en conséquence. Cette fonction est basée sur le cadre présenté et améliore les capacités de hiérarchisation des risques de Defender CSPM.

L’article revient sur les concepts essentiels de cette nouvelle fonctionnalité : Contextual Risk Estimation for Effective Prioritization - Microsoft Community Hub

Microsoft vient de mettre à disposition une nouvelle version (1.2.5105) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction de la faille de sécurité CVE-2024-21307.
• Amélioration de l'accessibilité en rendant le menu déroulant Change the size of text and apps plus visibles dans le thème Contraste élevé.
• Amélioration de la journalisation, des diagnostics et de la classification des erreurs du client pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Lorsque vous mettez en place une stratégie de gouvernance et de protection de l’information notamment via les services Microsoft Purview Information Protection, il y a certaines configurations Microsoft Entra qui peuvent rendre l’expérience utilisateur ou la solution inutilisables. Je vous propose de partager quelques points d’attention à vérifier pour éviter ce genre de configurations :

Paramétrages d’accès inter-tenants

Les paramétrages d’accès inter-tenants (cross-tenant access settings) peuvent bloquer les utilisateurs d’une autre organisation ou vos utilisateurs si une autre organisation a configuré certaines options. Par défaut, les tenants ne sont pas configurés de cette manière mais un changement de configuration. Par exemple si vous avez configurez des paramétrages d’accès entrant ou sortant pour bloquer l’accès pour toutes les applications ou un sous ensemble regroupant notamment des applications relatives à Information Protection.

Vous devez spécifiquement autoriser l’application : Microsoft Azure Information Protection avec 00000012-0000-0000-c000-000000000000 via :

• Pour permettre le partage de contenu chiffré avec une autre organisation, créez un paramètre entrant qui autorise l'accès à Microsoft Azure Information Protection (ID : 00000012-0000-0000-c000-000000000000).
• Pour autoriser l'accès au contenu chiffré que les utilisateurs reçoivent d'autres organisations, créez un paramètre sortant qui autorise l'accès à Microsoft Azure Information Protection (ID : 00000012-0000-0000-c000-000000000000).

Stratégies d’accès conditionnel

Si l’entreprise a mis en place des stratégies d'accès conditionnel Microsoft Entra qui incluent Microsoft Azure Information Protection et que la politique s'étend aux utilisateurs externes qui doivent ouvrir des documents chiffrés par votre organisation :

• Pour les utilisateurs externes qui ont un compte Microsoft Entra dans leur propre tenant, Microsoft recommande d'utiliser les paramètres d'accès inter-tenants des Identités externes pour configurer les paramètres de confiance pour les Claims MFA d'une, de plusieurs ou de toutes les organisations Microsoft Entra externes.
• Pour les utilisateurs externes non couverts par l'entrée précédente, par exemple, les utilisateurs qui n'ont pas de compte Microsoft Entra ou que vous n'avez pas configuré les paramètres d'accès inter-tenant pour les paramètres de confiance, ces utilisateurs externes doivent avoir un compte d'invité dans votre tenant.

Comptes invités

Vous pouvez avoir besoin de comptes invités dans votre tenant Microsoft Entra pour que des utilisateurs externes puissent ouvrir des documents chiffrés par l’entreprise. On retrouve plusieurs options pour créer les comptes invités :

• Créez vous-même ces comptes invités. Vous pouvez spécifier n'importe quelle adresse email que ces utilisateurs utilisent déjà. Par exemple, leur adresse Gmail. L'avantage de cette option est que vous pouvez restreindre l'accès et les droits à des utilisateurs spécifiques en spécifiant leur adresse électronique dans les paramètres de chiffrement. L'inconvénient est la surcharge administrative liée à la création du compte et à la coordination avec la configuration de l'étiquette.
• Utilisez l'intégration de SharePoint et OneDrive avec Microsoft Entra B2B pour que les comptes invités soient automatiquement créés lorsque vos utilisateurs partagent des liens. L'avantage de cette option est de réduire la charge administrative puisque les comptes sont créés automatiquement, et de simplifier la configuration de l'étiquette. Pour ce scénario, vous devez sélectionner l'option de chiffrement Add any authenticated user car vous ne connaîtrez pas les adresses électroniques à l'avance. L'inconvénient est que ce paramètre ne vous permet pas de restreindre les droits d'accès et d'utilisation à des utilisateurs spécifiques.

Les utilisateurs externes peuvent également utiliser un compte Microsoft pour ouvrir des documents chiffrés lorsqu'ils utilisent Windows et Microsoft 365 Apps ou Office 2019. Plus récemment pris en charge pour d'autres plateformes, les comptes Microsoft sont également pris en charge pour l'ouverture de documents chiffrés sur macOS (Microsoft 365 Apps, version 16.42+), Android (version 16.0.13029+) et iOS (version 2.42+). Par exemple, un utilisateur de l’entreprise partage un document chiffré avec un utilisateur extérieur à l’entreprise, et les paramètres de chiffrement spécifient une adresse e-mail Gmail pour l'utilisateur externe. Cet utilisateur externe peut créer son propre compte Microsoft en utilisant son adresse électronique Gmail. Ensuite, après s'être connecté avec ce compte, il peut ouvrir le document et le modifier, conformément aux restrictions d'utilisation spécifiées pour lui.

Comme vous ne pouvez pas être sûr que les utilisateurs externes utiliseront une application client Office prise en charge, le partage de liens depuis SharePoint et OneDrive après la création de comptes d'invités (pour des utilisateurs spécifiques) ou lorsque vous utilisez l'intégration de SharePoint et OneDrive avec Microsoft Entra B2B (pour tout utilisateur authentifié) est une méthode plus fiable pour soutenir la collaboration sécurisée avec les utilisateurs externes.

Vous comprenez donc que l’accompagnement au changement de vos utilisateurs pour les partages externes est essentiel !

Plus d’informations sur : Microsoft Entra configuration for content encrypted by Microsoft Purview Information Protection | Microsoft Learn

Depuis le lancement de l’outil en 2017, l'interopérabilité des macros et des compléments entre les versions d'Office prises en charge, telles qu'Office 2016, et les Apps Microsoft 365 a connu des améliorations significatives. Notamment, il n'y a pas de changements générant des problématiques dans le modèle d'objet VBA entre Office 2016 et Microsoft 365 Apps. Par conséquent, Microsoft a annoncé le retrait de la solution qui permet l’évaluation de la compatibilité des composants additionnels et VBA pour office. Il ne sera plus possible de télécharger Readiness Toolkit for Office add-ins and VBA depuis le centre de téléchargement de Microsoft à partir du 31 mars 2024.

En outre, les tentatives de génération de rapports avancés donneront lieu à un message d'erreur indiquant qu'aucune information de préparation n'a pu être acquise, et seul un rapport de base sera généré :

• Overview
• VBA overview
• VBA Summary
• VBA Results
• VBA Remediation
• VBA References

D'autres fonctionnalités, telles que l'analyse de la signature, la détection de Silverlight, la création d'inventaires de macros ou de compléments, et la génération de rapports de base, resteront fonctionnelles. Toutefois, aucun support ne sera fourni pour ces fonctionnalités après le 31 mars 2024.

Si vous utilisez Microsoft Configuration Manager, vous pouvez utiliser le tableau de bord Microsoft 365 Apps readiness dashboard pour évaluer la compatibilité de vos compléments (add-ins).

Plus d’informations sur : Use the Readiness Toolkit to assess application compatibility for Microsoft 365 Apps - Deploy Office | Microsoft Learn

Je voulais vous partager un outillage communautaire proposé par Harden AD permettant d’améliorer la sécurité de l’annuaire Active Directory en quelques minutes. Le script s’adresse principalement à des administrateurs ou des organisations qui n’auraient pas les compétences. Il doit bien entendu être exécuté avec précautions. Il permet notamment :

• Mettre à niveau le niveau fonctionnel de domaine DomainFunctionalLevel
• Mettre à jour le niveau fonctionnel de forêt ForestFunctionalLevel
• Définir msDSMachineAccountQuota à 0 pour limiter la jonction des domaines
• Activer la fonction optionnelle de la corbeille AD (Recycle Bin)
• Définir l'option "notify sur tous les liens de site
• Définir un GPO Central Store et mettre à jour les fichiers adm et admx
• Définir l'unité d'organisation Administration
• Définir l'unité d'organisation Tier 0
• Définir les unités d'organisation Tier 1 et Tier 2
• Définir l'unité d'organisation Tier Legacy
• Définir l'unité d'organisation Provisioning
• Définir l'emplacement par défaut des objets utilisateur
• Définir l'emplacement par défaut des objets ordinateurs
• Créer les comptes d'administration utilisés par le modèle à niveaux
• Créer les groupes d'administration utilisés par le modèle à niveaux
• Créer des groupes d'administration utilisés par le modèle de niveau Enforce Delegation ACEs utilisé par le modèle de niveau
• Importer un filtre WMI dans le domaine Importer un filtre WMI dans le domaine
• Importer ou mettre à jour des objets de stratégie de groupe dans le domaine et les lier
• Mettre à jour le schéma AD pour LAPS et ajouter le module complémentaire PShell
• Configurer les autorisations LAPS sur le domaine cible
• Mettre à jour les scripts LAPS pour qu'ils correspondent au nom de domaine

Vous devez télécharger l’ensemble des éléments du GitHub pour pouvoir exécuter le script correctement.

Accéder à GitHub - LoicVeirman/SecureAD: Hardening Active Directory version 2

Microsoft vient de mettre à disposition une nouvelle version (1.2.5105) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction de la faille de sécurité CVE-2024-21307.
• Amélioration de l'accessibilité en rendant le menu déroulant Change the size of text and apps plus visible dans le thème Contraste élevé.
• Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft Intune s’est attaché depuis plusieurs années à fournir une solution de gestion moderne pour les ordinateurs Macs. Je vous propose de résumer les récentes nouveautés et les investissements de Microsoft pour l’année 2024 :

Onboarding

• Microsoft a intégré l’extension SSO permettant d’ouvrir une session sur le mac en utilisant le mot de passe Entra ID. Cela utilise un principe de synchronisation de mot de passe et de mécanisme proche de la jointure du mac dans Entra ID. Parmi les autres nouveautés, il est possible :
  • D’utiliser des cartes à puce comme méthode d’authentification
  • De créer l’utilisateur Entra ID à la connexion
  • De choisir et configurer le mode d’autorisation de l’utilisateur (Standard, Admin, Groupes, etc.)

• Microsoft planifie de fournir un mécanisme de gestion des comptes locaux (nommage et création) proche de ce que l’on pourrait avoir avec quelques fonctionnalités de LAPS.

• Microsoft compte fournir une expérience similaire à iOS en permettant de bloquer l’accès au mac en laissant l’expérience Setup Assistant jusqu’à que la première synchronisation du mac se fasse avec Intune. Ceci utilisera un paramétrage Await final configuration dans le profil d’enregistrement lié au token.

Gestion des périphériques

• Intégration des paramétrages macOS au catalogue de paramétrages (Settings Catalog). Vous avez dû voir que de plus en plus de périphériques ont été intégré au nouveau mode de création de stratégie. Ce récent investissement a notamment permis à Microsoft d’automatiser l’ingestion des paramètres pour réduire le temps d’ingestion de plusieurs mois à quelques minutes.
• Settings Catalog commands est une fonctionnalité permettant d’utiliser une commande pour configurer un paramétrage. Par exemple Buetooth, etc. Microsoft planifie d’intégrer des commandes relatives à la rotation FileVault ou Remote Desktop.
• Microsoft a intégré Declarative Device Management (DDM) en remplacement du protocole MDM pour fournir plus de flexibilité, d’efficacité et de rapidité dans l’envoi des commandes et des paramétrages. Par exemple, Microsoft a intégré ce modèle pour la gestion des mises à jour logicielles.
• Microsoft prévoit d’améliorer l’interface et la partie Reporting en utilisant DDM pour la gestion des mises à jour logicielles sur mac.
• Microsoft prévoit de proposer des configurations préétablis en fonction des scénarios de gestion pour faciliter la vie des administrateurs.
• Microsoft prévoit le support de l’upload de fichier comme payloads au travers du Settings Catalog

Gestion des applications

• Microsoft a supprimé l’usage de l’outil d’encapsulation Intune pour les applications gérées.
• Microsoft a intégré la capacité d’exécuter des scripts avant et après l’installation de l’application PKG.
• Microsoft va étendre la taille des apps DMG et PKG supportées à 8GB.
• Microsoft va fournir un type d’assignement « Available » pour les applications DMG et PKG.

Sécurité des périphériques

• Il va devenir possible d'embarquer des scripts dans les stratégies de conformité pour évaluer un aspect de conformité personnalisé.

L’an dernier à la suite de Patchs Tuesday impactant des applications (VPN, etc.), Microsoft a proposé des mises à jour optionnelles à Windows 10 afin de corriger le problème. Il a été assez aisé avec les anciennes solutions de gestion telles que Microsoft Configuration Manager de les déployer mais plus compliqué avec les nouvelles méthodes telles que Windows Update for Business ou Microsoft Intune. En novembre dernier, Microsoft a intégré un nouveau paramétrage qui a pu être proposé au travers de la mise à jour optionnelle de Novembre 2023 pour Windows 10. Notez que ce paramétrage est déjà présent dans les versions de Windows 11 depuis Août 2023.

Vous pouvez le configurer :

• Via une stratégie de groupe appelée : Enable optional updates que vous pourrez trouver dans les derniers ADMX Windows Update.
• Via Microsoft Intune, ce paramétrage n’est toujours pas disponible dans les Settings Catalog. Néanmoins, vous pouvez le configurer
  • Via la configuration d’un CSP : /Policy/Config/Update/AllowOptionalContent
  • Via l’import du fichier ADMX Windows Update dans Microsoft Intune et la création d’une stratégie associée.

Vous pouvez configurer trois scénarios possibles :

• Automatically receive optional updates (including CFRs). Sélectionnez cette option pour que les appareils reçoivent les dernières mises à jour facultatives non liées à la sécurité, y compris les déploiements progressifs de fonctionnalités. Aucune modification n'est apportée à l'offre de mise à jour des fonctionnalités.
• Automatically receive optional updates. Sélectionnez cette option pour que les appareils reçoivent uniquement les dernières mises à jour facultatives non liées à la sécurité. Ils ne recevront pas automatiquement les mises à jour progressives. Aucun changement n'est apporté à l'offre de mise à jour des fonctionnalités.
• Users can select what optional updates to receive. Sélectionnez cette option pour permettre aux utilisateurs de définir leurs propres préférences en matière de mises à jour facultatives non liées à la sécurité. Aucune modification n'est apportée à l'offre de mise à jour des fonctionnalités.