Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Vous pouvez l’utiliser les stratégies anti-phishing pour contrôler ce qui se passe avec les messages dont l'expéditeur échoue aux contrôles DMARC explicites et dont la stratégie DMARC est définie sur p=quarantine ou p=reject.
• Les étiquettes d'utilisateur sont maintenant entièrement intégrées aux rapports de Defender for Office 365, y compris :
  • Threat protection status report
  • Compromised users report
  • Top senders and recipients report
  • URL protection report.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Je vous propose un petit aperçu des nouveautés en juillet 2023 autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, etc.).

On retrouve notamment :

Etiquettes de confidentialité (Sensitivity Labels)

• Disponibilité générale du support des unités administratives.
• En Public Preview, on retrouve le support des PDFs pour les stratégies d'étiquetage automatique, les étiquettes de sensibilité par défaut pour les bibliothèques de documents SharePoint et les activités d'étiquetage dans Office on the web qui comprennent l'étiquetage manuel et l'affichage des documents étiquetés, ainsi que les PDF cryptés qui sont maintenant pris en charge pour la DLP, l'eDiscovery et la recherche.

Gestion des risques internes

• Public Preview permettant d’intégrer vos propres détections (BYOD) pour importer des détections de risques d'initiés de tiers et créer des indicateurs personnalisés.
• Vous pouvez enregistrer une vue d'un filtre dans l'explorateur d'activités si vous créez un filtre et que vous en personnalisez les colonnes pour les appliquer à nouveau plus tard.
• La gestion des risques internes prend désormais en charge les environnements virtualisés par le biais de la DLP des terminaux.
• Disponibilité générale (GA) de :
  • Importation du connecteur de données de badgeage physique
  • L’identification des actifs physiques prioritaires
• Preview de la détection des signaux du navigateur est désormais utilisée pour les modèles Vol de données par les utilisateurs sortants, Fuites de données et Utilisation risquée du navigateur.
• Mise à jour de la taille maximale d'un groupe d'utilisateurs prioritaires à 10000 utilisateurs.

Communication Compliance

• La conformité des communications prend désormais en charge quatre types d'informations sensibles avancées : Toutes les informations d'identification, All credentials, All full names, All medical terms and conditions, et All physical addresses.
• Vous pouvez utiliser les nouvelles conditions suivantesv pour surveiller les communications qui traversent le pare-feu :
  • Le message est reçu de l'une de ces adresses électroniques externes.
  • Le message n'est pas reçu de l'une de ces adresses électroniques externes.
  • Un message est envoyé à l'une de ces adresses électroniques externes.
  • Le message n'est pas envoyé à l'une de ces adresses électroniques externes.
• Nouveau bouton permettant d'afficher les paramètres de la stratégie sans l’ouvrir.
• Nouvelle barre de filtres : Les principaux filtres (corps/objet, date, expéditeur et balises) sont toujours affichés pour faciliter le filtrage.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• L'historique de l'attaque dans les incidents est désormais disponible de manière générale. L'histoire de l'attaque fournit l'histoire complète de l'attaque et permet aux équipes de réponse aux incidents de voir les détails et d'appliquer des mesures correctives.
• Une nouvelle page URL et domaine est désormais disponible dans Microsoft 365 Defender. La page URL et domaine mise à jour permet d'afficher en un seul endroit toutes les informations relatives à une URL ou à un domaine, notamment sa réputation, les utilisateurs qui ont cliqué dessus, les appareils qui y ont accédé et les courriels dans lesquels l'URL ou le domaine a été vu.

Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

• Le capteur basé sur eBPF pour Microsoft Defender for Endpoint sur Linux est disponible en Public Preview sur tous les appareils Linux supportés.
• La gestion des stratégies de sécurité des terminaux dans Defender for Endpoint est maintenant disponible en Public Preview. Vous pouvez maintenant configurer les paramètres de sécurité directement dans Microsoft 365 Defender. Cette fonctionnalité utilise l’agent MDM intégré au service MDE pour pousser des stratégies en utilisant Microsoft Intune comme backend. La fonctionnalité est disponible dans Endpoints – Configuration Management – Endpoint Security Policies. Vous retrouvez dans cette page toutes les stratégies crées incluant celle uniquement valable pour des agents enregistrés dans Microsoft Intune, ou celle qui s’applique à Microsoft Defender for Endpoint (microsoftSense). Côté Windows, vous pouvez configurer les stratégies liées à l’antivirus Microsoft Defender, aux règles ASR. Côté macOS et Linux, il est possible de configurer les stratégies pour l’antivirus Microsoft Defender.

               Pour chaque stratégie, vous obtenez un aperçu, les valeurs de paramétrages de la stratégies, l’état d’application, les périphériques où la stratégie s’est appliquée ainsi que les groupes assignés.

• Une nouvelle page de fichier est maintenant disponible dans Defender for Endpoint et inclut maintenant des informations comme les détails du fichier et le contenu et les capacités du fichier.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Les évaluations de la posture de sécurité de l'identité de Defender for Identity détectent de manière proactive et recommandent des actions dans vos configurations Active Directory. Les nouvelles évaluations de la posture de sécurité suivantes sont désormais disponibles dans Microsoft Secure Score :
  • Do not expire passwords
  • Remove access rights on suspicious accounts with the Admin SDHolder permission
  • Manage accounts with passwords more than 180 days old
  • Remove non-admin accounts with DCSync permissions
  • Remove local admins on identity assets
  • Start your Defender for Identity deployment
• L'expérience et les fonctionnalités du portail Microsoft Defender for Identity ont convergé vers Microsoft 365 Defender. À partir du 6 juillet 2023, les clients utilisant le portail classique (portal.atp.azure.com) Defender for Identity seront automatiquement redirigés vers Microsoft 365 Defender (security.microsoft.com), sans possibilité de revenir au portail classique.
• Intégration des rapports périodiques de Defender for Identity à partir du portail Defender de Microsoft 365, créant ainsi une parité dans la fonctionnalité des rapports avec le portail Defender for Identity classique. Vous pouvez ainsi télécharger et planifier des rapports dans Microsoft 365 Defender à partir de la page Settings > Identities > Report management.

• La version 2.207 fournit le nouveau paramètre d'installation AccessKeyFile. Utilisez le paramètre AccessKeyFile lors de l'installation silencieuse d'un capteur Defender for Identity, pour définir la clé d'accès à l'espace de travail à partir d'un chemin d'accès textuel fourni.
• Les versions 2.207, 2.208, et 2.209 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

IDC classe Microsoft Defender for Endpoint numéro un en termes de parts de marché dans le rapport Worldwide Corporate Endpoint Security Market Shares de 2022. IDC indique que le marché a grossi de 29.2% en 2022 afin d’atteindre 13.1 milliards de dollars. Microsoft obtient la plus grosse part de marché avec 18.9% en 2022 et une augmentation de 7.2% par rapport à 2021.

Viennent ensuite :

• CrowdStrike avec 15.1%
• TrendMicro avec 7.6%
• Trellix avec 6.1%
• Sophos, Palo Alto Networks, Broadcom Software.

Pour obtenir plus d’informations sur le rapport, rendez-vous sur IDC, Worldwide Corporate Endpoint Security Market Shares, 2022: Pace of Growth Accelerated Through 2022

Source : IDC ranks Microsoft Defender for Endpoint first in market share | Microsoft Security Blog

Microsoft vient de mettre à disposition une nouvelle version (1.2.4419) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Améliorations générales de l'expérience du Narrateur.
• Correction d'un problème qui faisait que le texte du message d'abonnement aux espaces de travail était coupé lorsque l'utilisateur augmentait la taille du texte.
• Correction d'un problème qui faisait que le client ne répondait parfois plus lorsqu'il tentait de démarrer de nouvelles connexions.
• Amélioration de la journalisation du client, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• L'intégration directe (sans Azure Arc) à Defender for Servers est en disponibilité générale. Auparavant, Azure Arc était nécessaire pour intégrer des serveurs non-Azure à Defender for Servers. Cependant, avec la dernière version, vous pouvez également intégrer vos serveurs sur site à Defender for Servers en utilisant uniquement l'agent Microsoft Defender for Endpoint. Cette nouvelle méthode simplifie le processus d'intégration pour les clients qui se concentrent sur la protection des points finaux et vous permet de profiter de la facturation basée sur la consommation de Defender for Servers pour les actifs en nuage et non en nuage. L'option d'intégration directe via Defender for Endpoint est disponible dès maintenant, et la facturation des machines intégrées commencera le 1er juillet.
• La configuration express pour les évaluations de vulnérabilité dans Defender for SQL est maintenant disponible. La configuration express offre une expérience d'intégration rationalisée pour les évaluations de vulnérabilité SQL en utilisant une configuration en un clic (ou un appel API). Il n'y a pas besoin de paramètres supplémentaires ou de dépendances sur les comptes de stockage gérés.
• Defender for Cloud a amélioré l'expérience d'onboarding en incluant une nouvelle interface utilisateur et des instructions rationalisées, ainsi que de nouvelles capacités qui vous permettent d'onboarder vos environnements AWS et GCP tout en donnant accès à des fonctionnalités d'onboarding avancées.
• La prise en charge des Private Endpoint est désormais disponible dans le cadre de la Public Preview de l'analyse des programmes malveillants dans Defender for Storage. Cette fonctionnalité permet d'activer l'analyse des malwares sur les comptes de stockage qui utilisent des Private Endpoints. Aucune autre configuration n'est nécessaire.
• Une nouvelle recommandation de conteneur dans Defender CSPM proposée via MDVM est disponible en Public Preview :
  • Running container images should have vulnerability findings resolved (powered by Microsoft Defender Vulnerability Management)(Preview)  : L'évaluation de la vulnérabilité des images de conteneurs analyse votre registre à la recherche de vulnérabilités communément connues (CVE) et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation offre une visibilité sur les images vulnérables actuellement en cours d'exécution dans vos clusters Kubernetes. Remédier aux vulnérabilités des images de conteneurs en cours d'exécution est essentiel pour améliorer votre posture de sécurité, en réduisant considérablement la surface d'attaque de vos charges de travail conteneurisées.
• Vous pouvez désormais découvrir les économies potentielles en matière de sécurité en appliquant Defender for Cloud dans le cadre d'un business case Azure Migrate.
• Defender for DevOps a ajouté les scopes supplémentaires suivants à l'application Azure DevOps (ADO) :
  • Advance Security management: vso.advsec_manage. est nécessaire pour vous permettre d'activer, de désactiver et de gérer GitHub Advanced Security pour ADO.
  • Container Mapping : vso.extension_manage, vso.gallery_manager ; Nécessaire pour partager l'extension du décorateur avec l'organisation ADO.

Seuls les nouveaux clients de Defender for DevOps qui essaient d'intégrer les ressources ADO à Microsoft Defender for Cloud sont concernés par ce changement.

• Avec les capacités Agentless Container Posture disponibles dans Defender CSPM, les capacités de découverte basées sur l'agent sont maintenant retirées. Si vous utilisez actuellement les capacités de conteneur dans Defender CSPM, veuillez-vous assurer que les extensions pertinentes sont activées pour continuer à recevoir la valeur liée aux conteneurs des nouvelles capacités sans agent, telles que les chemins d'attaque, les informations et l'inventaire liés aux conteneurs. (Les effets de l'activation des extensions peuvent prendre jusqu'à 24 heures).
• Les normes NIST 800-53 (R4 et R5) ont récemment été mises à jour avec les changements de contrôle dans Microsoft Defender for Cloud pour la conformité réglementaire. Les contrôles gérés par Microsoft ont été supprimés de la norme, et les informations sur la mise en œuvre de la responsabilité de Microsoft (dans le cadre du modèle de responsabilité partagée dans le Cloud) sont désormais disponibles uniquement dans le volet de détails du contrôle sous Actions Microsoft.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Disponibilité Générale de Windows 365 Frontline permettant de répondre à ce besoin spécifique aux employés de terrain. Une licence permet de provisionner jusqu'à 3 Cloud PCs avec une session concurrente.Le nombre maximum de sessions actives du PC Cloud Windows 365 Frontline dans votre organisation est égal au nombre de licences Windows 365 Frontline que vous avez achetées. Par exemple, si vous achetez 10 licences, vous pouvez provisionner jusqu'à 30 Cloud PCs. Dix de ces Cloud PCs peuvent être actifs à un moment donné. Les sessions actives sont gérées automatiquement. Lorsqu'un utilisateur se déconnecte de son Cloud PCs, la session est libérée pour qu'un autre utilisateur puisse commencer à utiliser son Cloud PC.
• Un nouvel outil de configuration de Windows 365 Government est désormais disponible. Il remplace les scripts PowerShell qui étaient utilisés pour configurer le mappage des locataires et les autorisations.

Gestion des périphériques

• Le redimensionnement unique et en masse prend désormais en charge les Cloud PCs qui ont été approvisionnés avec des licences basées sur des groupes.
• Les utilisateurs de l'application Windows 365 recevront une notification lorsqu'une mise à jour sera disponible. Si les utilisateurs choisissent de mettre à jour, l'application se ferme et ils reçoivent une notification Windows lorsque la mise à jour est terminée.
  
  

Gestion des applications

• Les charges de travail basées sur la virtualisation sont désormais prises en charge dans les environnements Windows 365 Government..

Expérience Utilisateur

• Windows365.microsoft.com et son bouton Ouvrir dans le navigateur inclut l'application Windows 365 et Ouvrir dans l'application Bureau à distance.
• Les utilisateurs de l'application Windows 365 recevront une notification lorsqu'une mise à jour sera disponible. Si les utilisateurs choisissent de mettre à jour, l'application se ferme et ils reçoivent une notification Windows lorsque la mise à jour est terminée.
• L'application Windows 365 prend désormais en charge les environnements Windows 365 Government.
• L'épinglage de l'application Windows 365 Cloud PC dans la barre des tâches prend désormais en charge Windows 365 Government

Supervision et Dépannage

• Le rapport sur les performances des ressources dans Endpoint Analytics est désormais disponible pour Windows 365 Government.
• Le statut du contrôle de santé de la connexion au réseau Azure dans Microsoft Intune inclut désormais un identifiant de corrélation. Cet identifiant aide l'équipe d'assistance à résoudre les problèmes des clients. Veillez à fournir le numéro d'identification lorsque vous contactez le service d'assistance de Microsoft.

Documentation

• Nouvel article de documentation : Diagramme d'architecture de haut niveau
• La page Guides de déploiement avancé dans le centre d'administration Microsoft 365 contient un nouveau guide pour aider les administrateurs à planifier, déployer et mettre à l'échelle Windows 365 Enterprise dans leur organisation. Ce guide contient une liste de contrôle des tâches de configuration du Cloud PC et inclut les bonnes pratiques, les outils et les recommandations basées sur la configuration du tenant.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La disponibilité générale du Content Hub est retardée. Microsoft avait l'intention de mettre le Content Hub à la disposition de tous cette semaine. Les équipes d'ingénieurs a identifié quelques problèmes juste avant le lancement et prend le temps de les corriger. Si vous avez vu cette annonce et que vous attendiez avec impatience la mise à jour de l'expérience pour votre tenant, nous nous excusons pour le décalage. Voici donc l'annonce révisée dans l'attente d'une disponibilité générale prochaine.
• Disponibilité Générale du connecteur Windows Forwarded Events.
• Preview de la capacité à connecter plusieurs identificateurs de système SAP (SID) via la page des connecteurs de l'interface utilisateur et obtenir des informations sur l'état de santé de la connectivité de chacun d'entre eux.
• La solution Microsoft Sentinel pour les applications SAP® utilise le nouveau fichier json à partir des versions de l'agent déployées à partir du 22 juin. Pour les versions antérieures de l'agent, vous devez toujours utiliser le fichier systemconfig.ini.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• La gouvernance des applications est désormais incluse dans les licences Microsoft Defender for Cloud Apps et ne nécessite plus de licence supplémentaire. Dans le portail Microsoft 365 Defender, allez dans Settings > Cloud apps > App governance > Service status pour activer la gouvernance des applications si elle est disponible, ou vous inscrire sur la liste d'attente. Les détenteurs actuels de licences d'essai pour le module complémentaire de gouvernance des applications ont jusqu'au 31 juillet 2023 pour activer la bascule et conserver leur accès à la gouvernance des applications.

• Pour les clients qui ont activé la gouvernance des applications, Microsoft a consolidé les capacités de surveillance et d'application des stratégies pour toutes les applications OAuth dans la gouvernance des applications. Dans le portail Microsoft 365 Defender, Microsoft a fusionné toutes les fonctionnalités qui se trouvaient à l'origine sous Cloud apps > OAuth apps sous App governance, où vous pouvez gérer toutes les apps OAuth sous un seul et même panneau de verre.
• La gouvernance des applications vous permet désormais d'aller plus loin dans la recherche de données sur les applications en fournissant des informations plus approfondies sur les applications OAuth, ce qui aide votre SOC à identifier les activités d'une application et les ressources auxquelles elle a accédé. Les informations sur les applications OAuth comprennent
  • Des requêtes prêtes à l'emploi qui aident à rationaliser l'enquête
  • Visibilité des données grâce à la vue des résultats
  • La possibilité d'inclure les données de l'application OAuth, telles que les détails de l'activité de la ressource, de l'application, de l'utilisateur et de l'application, dans les détections personnalisées.

• À partir du 1er juin 2023, la gestion des applications inutilisées, des informations d'identification inutilisées et des informations d'identification arrivant à expiration ne sera disponible que pour les clients de la gouvernance des applications disposant de Microsoft Entra Workload Identities Premium.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Je vous propose un petit aperçu des nouveautés en juin 2023 autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, etc.).

On retrouve notamment :

Etiquettes de confidentialité (Sensitivity Labels)

• Disponibilité Générale de la prise en charge d’un paramètre d'étiquetage obligatoire que vous pouvez configurer avec Microsoft Intune pour inviter les utilisateurs à sélectionner une étiquette de sensibilité lorsqu'ils composent un e-mail au lieu de l'envoyer sur Outlook pour Android et Outlook pour iOS prennent en charge.
• Disponibilité générale de la barre de confidentialité et les couleurs des étiquettes sur Outlook pour Android et Outlook pour iOS. Pour iOS, la version est encore en cours de déploiement.
• En Preview, on retrouve les emplacements OneDrive pour les stratégies d'étiquetage automatique passent des sites spécifiés par des URL aux utilisateurs et aux groupes. Ce changement de configuration signifie que les unités administratives sont désormais prises en charge pour les politiques d'étiquetage automatique OneDrive. Tous les sites OneDrive existants spécifiés dans les politiques d'étiquetage automatique en tant qu'URL de site continueront à fonctionner, mais avant d'ajouter d'autres emplacements OneDrive, ou pour les administrateurs restreints, vous devez d'abord supprimer tous les sites OneDrive existants spécifiés en tant qu'URL. Groupes pris en charge : groupes de distribution, groupes Microsoft 365, groupes de sécurité activés par courrier électronique et groupes de sécurité.
• En Preview, on retrouve la prise en charge limitée des étiquettes configurées pour les autorisations définies par l'utilisateur pour Office sur le web, SharePoint et OneDrive.
• En Preview : Les nouvelles conditions suivantes sont déployées en Preview pour les politiques d'étiquetage automatique. La dernière nouvelle condition répertoriée nécessite une règle avancée et ne s'applique qu'à OneDrive et SharePoint. Toutes les autres nouvelles conditions sont disponibles dans les règles communes :
  • Attachment or file extension is
  • Attachment or document name contains words or phrases
  • Attachment or document property is
  • Attachment or document size equals or is greater than
  • Document created by
• En Preview, l’onglet Contextual Summary est ajouté aux stratégies d'étiquetage automatique en cours de simulation. À l'instar d'autres solutions prenant en charge le résumé contextuel, lorsque vous sélectionnez un élément à examiner, ce nouvel onglet met en évidence le contenu correspondant et le contexte qui l'entoure. Vous pouvez utiliser cet onglet pour confirmer que la correspondance est positive et qu'il est donc possible d'activer la politique. Ou bien la correspondance est négative, auquel cas vous pouvez affiner la politique et réexécuter la simulation.
• Plusieurs limitations antérieures ont été supprimées pour les réunions protégées Teams, notamment la prise en charge de Safari et de Firefox pour empêcher la copie du chat, la prise en charge de l'infrastructure de bureau virtuel (VDI), les paramètres de stratégie pour la justification de la modification d'une étiquette, l'étiquetage obligatoire et un lien d'aide vers une page d'aide personnalisée, et davantage de méthodes sont désormais prises en charge pour empêcher la copie du chat..

Prévention de fuite de données (DLP)

• Disponibilité générale de Popup de surpartage pour Outlook Win32.

Gestion des enregistrements et de la rétention

• Disponibilité générale des politiques de rétention de l'étiquetage automatique pour les pièces jointes cloud qui sont partagées via Yammer.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.

• Public Preview de la libération forcée de périphériques isolés permettant de libérer de force des périphériques de l'isolement, lorsque des périphériques isolés ne répondent plus.  La fonctionnalité est disponible sur la page du périphérique et dans son menu action avec l’option : Download script to force-release a device from isolation. Cette fonctionnalité s’applique :
  • Windows 10 21H2 and 22H2 with KB KB5023773
  • Windows 11 version 21H2, all editions with KB5023774
  • Windows 11 version 22H2, all editions with KB5023778

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Pour les tenants ayant déployé Defender for Identity, la table Advanced Hunting Microsoft 365 IdentityInfo inclut désormais plus d'attributs par identité, ainsi que les identités détectées par le capteur Defender for Identity à partir de votre environnement On-Premises.
• Les versions 2.205, et 2.206 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Beaucoup d’entreprises ont fait le choix d’implémenter l’authentification directe ou Passthrough Authentication (PTA) pour Microsoft Entra (Azure AD). Celle-ci permet aux applications fédérées avec Microsoft Entra (Azure AD) d’utiliser les contrôleurs de domaine Active Directory On-Premises pour authentifier l’utilisateur se présentant à Azure Active Directory.

Une des recommandations de Microsoft est d’activer la fonctionnalité Password Hash Synchronization (PHS) permettant de synchroniser le hash des mots de passe stockés dans l’annuaire On-Premises vers Microsoft Entra (Azure AD). Parmi les bénéfices que l’on retrouve :

• La détection des fuites d’identifiants/mots de passe
• La résilience en fournissant un mécanisme d’authentification depuis le Cloud.

C’est sur ce deuxième bénéfice que je vais focaliser cet article car il permet d’offrir une continuité de services dans les scénarios suivants :

• Indisponibilité du réseau On-Premises dû à une problématique d’infrastructure (coupure de la sortie Internet, problématiques réseaux, etc.)
• Cyberattaque mettant à mal tout ou partie du réseau On-Premises (Agents PTA, Azure AD Connect ou Contrôleurs de domaine)

Je ne peux que vous conseiller de mettre en place le PHS en sus de votre stratégie d’authentification via l’authentification directe (PTA)

Cet article suppose que vous avez déjà configuré la synchronisation des hashs des mots de passe (PHS) sur votre tenant. Il permet de vous donner les indications à suivre dans l’un des scénarios cités plus haut. Je vous recommande aussi de tester le scénario de bascule en condition réelle pour s’assurer que vous êtes prêt dans l’une des situations citées.

Notez que vous devez disposer d’un compte ayant les caractéristiques suivantes :

• Cloud Only : c’est-à-dire n’étant pas synchronisé à partir du réseau On-Premises.
• Ayant les privilèges Global Administrator sur le tenant.

Je vous recommande la création d’à minima deux comptes d’urgence dits BreakTheGlass pour ce genre de situation. Veillez à superviser les tentatives de connexion sur ces comptes pour qu’il ne soit pas utiliser à mauvais escient* ;

Lorsque votre tenant est dans un mode PTA + PHS, le mécanisme de résilience n’est pas activé automatiquement en cas d’indisponibilité du réseau On-Premises. Pour cela, vous devez suivre la procédure suivante.

Mise en place des prérequis

Les prérequis :

• Une machine autonome avec :
  • L’installation d’un agent PTA
  • L’installation du module PowerShell AzureAD
• Un compte administrateur non synchronisé ayant les privilèges Global Admin (voir les ci-dessus)

En cas d’indisponibilité de votre réseau On-Premises, vous devez provisionner une machine répondant aux prérequis de l’agent PTA. A date, elle requiert un système d’exploitation Windows Server 2016 ou ultérieur.
Il est à noter que la bascule ne requiert pas que cette machine soit jointe à un domaine. Elle peut donc être en mode Workgroup.
Note : Pour provisionner cette machine, vous pouvez utiliser un environnement neutre (par exemple : Microsoft Azure ou même un poste de travail).

Une fois la machine provisionnée, récupérez l’agent Passthrough Authentication (PTA) en vous connectant au portail Entra (via un compte Break The Glass ou Cloud Only) puis Hybrid management et Azure AD Connect. Cliquez ensuite sur Pass-through authentication.

Dans la page, cliquez sur Download pour récupérer les binaires nécessaires

Sur le serveur, lancez l’exécutable. Une fenêtre d’authentification s’ouvre. Connectez-vous avec un compte répondant aux critères cités plus haut.

L’installation se poursuit :

Une fois l’installation terminée, vous devez procéder à l’installation du module PowerShell AzureAD qui est utilisé par le module PowerShell PTA pour s’authentifier.

Pour cela, ouvrez une commande PowerShell en tant qu’administrateur local et exécutez les commandes suivantes :

[Net.ServicePointManager] ::SecuirtyProtocol = [Net.SecurityProtocolType]::Tls12

Install-Module AzureAD

La commande TLS permet d’activer TLS 1.2 notamment sur des anciennes versions Windows Server (2016).

Bascule PTA vers PHS

Procédez ensuite à la connexion à Azure AD avec un compte répondant aux critères cités plus haut en utilisant la commande :

Connect-AzureAD

Une fois la commande exécutée, vous observez les messages suivants :

Dans la commande PowerShell utilisée pour se connecter à Azure AD, exécutez les commandes suivantes :

Cd “C:\Program Files\Microsoft Azure AD Connect Authentication Agent”

Import-Module .\Modules\PassthroughAuthPSModule

Validez le statut actuel via la commande :

Get-PassthroughAuthenticationEnablementStatus

Constatez que le statut d’authentification directe (PTA) est à Enabled :

Pour désactiver l’authentification PTA, exécutez la commande PowerShell suivante :

Disable-PassthroughAuthentication

Vous devez vous connecter avec un compte répondant aux critères cités plus haut et confirmer la bascule en tapant sur Entrer.

Note : Le changement est instantané. En cas de problématique dans le déroulement de cette procédure, vous devez contacter le support Microsoft.

Vous pouvez ainsi vérifier le statut de l’authentification via une des deux méthodes suivantes :

• Dans le portail Entra puis Hybrid management et Azure AD Connect. Cliquez ensuite sur Pass-through authentication.
• En exécutant la commande PowerShell suivante : Get-PassthroughAuthenticationEnablementStatus

Vous constaterez ensuite que les authentifications pour des comptes utilisateurs hybrides (synchronisés), fonctionnent à nouveau.

Il est à noter que dans ce mode dégradé, les fonctionnalités suivantes sont indisponibles :

• Réinitialisation du mot de passe par l’utilisateur en utilisant la fonctionnalité Self Service Password Recovery (SSPR)
• Réinitialisation du mot de passe de l’utilisateur hybride/synchronisé par un administrateur depuis le portail Microsoft Entra.

Dans ce cas, il faudra attendre que l’infrastructure On-Premises revienne en ligne pour retrouver les capacités SSPR.

Lorsque l’infrastructure On-Premises est à nouveau en ligne, vous pouvez suivre à nouveau cette procédure et utiliser la commande pour revenir dans un mode nominal en réactivant l’authentification PTA :

Enable-PassthroughAuthentication

Bonne Bascule !

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Nouvelle alerte dans Defender for Key Vault : Unusual access to the key vault from a suspicious IP (Non-Microsoft or External). Au cours des dernières 24 heures, un utilisateur ou un responsable de service a tenté d'accéder de manière anormale à des Key Vaults à partir d'une adresse IP autre que Microsoft. Ce schéma d'accès anormal peut être une activité légitime. Il peut s'agir d'une tentative d'accès au Key Vault et aux secrets qu'il contient.

• L’agentless scanning des machines virtuelles prend désormais en charge le traitement des instances dont les disques sont chiffrés dans AWS, en utilisant à la fois CMK et PMK.
• Microsoft a révisé les règles JIT (Just-In-Time) pour les aligner sur la marque Microsoft Defender for Cloud. Microsoft a modifié les conventions de dénomination des règles Azure Firewall et NSG (Network Security Group).

• Pour vous aider à gérer vos coûts AWS CloudTrail et vos besoins de conformité, vous pouvez désormais sélectionner les régions AWS à analyser lorsque vous ajoutez ou modifiez un connecteur cloud. Vous pouvez désormais analyser des régions AWS spécifiques sélectionnées ou toutes les régions disponibles (par défaut), lorsque vous intégrez vos comptes AWS à Defender for Cloud.
• La version V2 des recommandations en matière d'identité apporte les améliorations suivantes :
  • La portée de l'analyse a été élargie pour inclure toutes les ressources Azure, et pas seulement les abonnements. Cela permet aux administrateurs de sécurité de voir les attributions de rôles par compte.
  • Des comptes spécifiques peuvent désormais être exemptés d'évaluation. Les administrateurs de sécurité peuvent exclure des comptes tels que les comptes de bris de glace ou les comptes de service.
  • La fréquence d'analyse est passée de 24 heures à 12 heures, ce qui garantit que les recommandations en matière d'identité sont plus actuelles et plus précises.

Des recommandations sur l’identité en V1 ont été dépréciées.

• L'ancienne norme PCI DSS v3.2.1 et l'ancienne norme SOC TSP ont été entièrement supprimées dans le tableau de bord de conformité de Defender for Cloud, et remplacées par les normes de conformité basées sur l'initiative SOC 2 Type 2 et l'initiative PCI DSS v4. Nous avons entièrement supprimé le support de la norme/initiative PCI DSS dans Azure China 21Vianet.
• Defender for DevOps Code and IaC a étendu la couverture de ses recommandations dans Microsoft Defender for Cloud pour inclure les conclusions de sécurité Azure DevOps pour les deux recommandations suivantes :
  • Code repositories should have code scanning findings resolved
  • Code repositories should have infrastructure as code scanning findings resolved
• Microsoft Defender Vulnerability Management (MDVM) est désormais activé en tant que solution intégrée par défaut pour tous les abonnements protégés par Defender for Servers qui n'ont pas déjà une solution VA sélectionnée. Si un abonnement a une solution VA activée sur l'une de ses machines virtuelles, aucun changement n'est effectué et MDVM ne sera pas activé par défaut sur les machines virtuelles restantes de cet abonnement. Vous pouvez choisir d'activer une solution VA sur les VM restantes de vos abonnements.
• Defender for Cloud a ajouté la possibilité de télécharger un rapport CSV des résultats de la requête de l'explorateur de sécurité du cloud. Après avoir effectué une recherche, vous pouvez sélectionner le bouton Télécharger le rapport CSV (aperçu) à partir de la page de l'explorateur de sécurité cloud dans Defender for Cloud.
• Microsoft annonce le lancement de l'évaluation des vulnérabilités pour les images Linux dans Azure container registries alimentés par Microsoft Defender Vulnerability Management (MDVM) dans Defender CSPM. Cette version comprend l'analyse quotidienne des images. Les résultats utilisés dans l'explorateur de sécurité et les chemins d'attaque reposent sur l'évaluation des vulnérabilités MDVM plutôt que sur le scanner Qualys. La recommandation existante Container registry images should have vulnerability findings resolved est remplacée par une nouvelle recommandation basée sur le MDVM : Container registry images should have vulnerability findings resolved (powered by Microsoft Defender Vulnerability Management)   

• Les recommandations actuelles concernant les conteneurs dans Defender for Containers seront renommées comme suit :

• • Container registry images should have vulnerability findings resolved (powered by Qualys)     
  • Running container images should have vulnerability findings resolved (powered by Qualys)     

• Defender for DevOps a étendu la couverture des annotations des Pull Request (PR) dans Azure DevOps pour inclure les mauvaises configurations de l'Infrastructure as Code (IaC) qui sont détectées dans Azure Resource Manager et les modèles Bicep.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Le reporting intégré dans Outlook sur le web prend en charge le reporting des messages provenant de boîtes aux lettres partagées ou d'autres boîtes aux lettres par un délégué.
  • Les boîtes aux lettres partagées requièrent l'autorisation d'envoyer en tant que ou d'envoyer au nom de l'utilisateur.
  • Les autres boîtes aux lettres requièrent l'autorisation d'envoyer en tant que ou d'envoyer au nom d'autrui, ainsi que les autorisations de lecture et de gestion pour le délégué.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Windows Autopatch.

Les fonctionnalités suivantes sont ajoutées :

• Public Preview de l’ajout d'une nouvelle fonctionnalité de santé et de remédiation des stratégies.
• Ajout des informations sur les groupes Autopatch.

Plus d’informations sur : What's new 2023 - Windows Deployment | Microsoft Learn

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint (anciennement Microsoft Defender Advanced Threat Protection (ATP)) introduits dans le mois.

• Le mode performance de Microsoft Defender Antivirus est désormais disponible en Public Preview. Cette nouvelle fonctionnalité permet une analyse asynchrone sur un lecteur Dev et ne modifie pas le niveau de sécurité de votre lecteur système ou d'autres lecteurs.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

La version 253 apportent les changements suivants :

• Preview des stratégies générant des comportements ne génèrent plus d'alertes. À partir du 28 mai 2023, les stratégies qui génèrent des comportements dans l’Advanced Hunting de Microsoft 365 Defender ne génèrent pas d'alertes. Les stratégies continueront à générer des comportements, qu'elles soient activées ou désactivées dans la configuration du tenant.
• Applications non bloquables : Pour éviter que les utilisateurs ne provoquent accidentellement des temps d'arrêt, Defender for Cloud Apps vous empêche désormais de bloquer les services Microsoft critiques pour l'entreprise.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Gestion des périphériques

• Windows 365 Boot permet aux administrateurs de configurer les appareils physiques Windows 11 afin que les utilisateurs puissent :
  • Éviter de se connecter à leur appareil physique.
  • Se connecter directement à leur PC Windows 365 Cloud sur leur appareil physique.
• Une nouvelle option de stratégie de provisionnement vous permet de définir une nouvelle région ou un nouvel ANC pour la stratégie de provisionnement. Lorsque vous initiez le déplacement :
  • Tous les Cloud PCs de la stratégie de provisionnement qui ne correspondent plus à la région ou à l'ANC mis à jour seront arrêtés.
  • Tous ces Cloud PCs seront déplacés vers la nouvelle région ou le nouvel ANC.

Les déplacements peuvent prendre plusieurs heures. Les nouveaux Cloud PC créés par la politique de provisionnement seront créés dans la nouvelle région ou ANC.

• Le réseau géré RDP Shortpath est disponible pour Windows 365.
• Les points de restauration à la demande de Cloud PC et la copie vers un compte Azure Storage sont passés de l'aperçu à la disponibilité générale.

Expérience de l'utilisateur

• L'application Windows 365 prend désormais en charge le mode sombre. Les utilisateurs finaux ont la possibilité de configurer l'application Windows 365 en mode clair ou foncé, ou de l'adapter aux paramètres du système.

• Les utilisateurs peuvent désormais modifier les paramètres de plusieurs moniteurs dans l'application Windows 365.

Supervision et Dépannage

• Les administrateurs sont désormais alertés lorsqu'un Cloud PC entre dans le délai de grâce. Pour plus d'informations sur les délais de grâce, voir Device management overview for Cloud PCs.
• Un bouton "Provide feedback" est désormais disponible dans plusieurs pages d'administration de Windows 365 dans le centre d'administration Intune.

Documentation

• Une nouvelle documentation est disponible : Using Intune, install the Windows 365 app on physical devices.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La page Microsoft 365 Defender Identity > user details inclut désormais de nouvelles données de contrôle de compte Active Directory. Sur l'onglet Overview des détails de l'utilisateur, Microsoft a ajouté la nouvelle carte Contrôles de compte Active Directory pour mettre en évidence les paramètres de sécurité importants et les contrôles Active Directory. Par exemple, vous pouvez utiliser cette carte pour savoir si un utilisateur spécifique est capable de contourner les exigences de mot de passe ou a un mot de passe qui n'expire jamais.

• Nouvelle alerte de santé pour les échecs d'ingestion de données d'intégration VPN (radius).
• Nouvelle alerte de santé pour vérifier que l'audit des conteneurs ADFS est configuré correctement. Pour plus d'informations, voir les alertes de santé du capteur Microsoft Defender for Identity.
• La page Microsoft Defender 365 Identity comprend des mises à jour de l'interface utilisateur pour l'expérience du chemin de déplacement latéral (lateral movement). Aucune fonctionnalité n'a été modifiée. Pour plus d'informations, voir Comprendre et étudier les chemins de déplacement latéral (LMP) avec Microsoft Defender for Identity.
• L'onglet "Timeline" contient désormais des nouvelles fonctionnalités et améliorées ! Avec la chronologie mise à jour, vous pouvez désormais filtrer par type d'activité, par protocole et par lieu, en plus des filtres d'origine. Vous pouvez également exporter la chronologie vers un fichier CSV et trouver des informations supplémentaires sur les activités associées aux techniques MITRE ATT&CK.
• Le réglage des alertes est désormais disponible dans Microsoft 365 Defender, vous permet d'ajuster vos alertes et de les optimiser. L'ajustement des alertes réduit les faux positifs, permet à vos équipes SOC de se concentrer sur les alertes prioritaires et améliore la couverture de la détection des menaces dans l'ensemble de votre système.

• Les versions 2.203, et 2.204 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft vient de publier une mise à jour (2.2.1.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière mise à jour (2.2.1.0) apporte les éléments suivants :

• Microsoft a activé la mise à jour automatique pour les tenant ayant des règles de synchronisation personnalisées. Notez que les règles par défaut supprimées (non désactivées) seront recréées et activées lors de la mise à niveau automatique.
• Microsoft a ajouté le service Microsoft Azure AD Connect Agent Updater à l'installation.
• Microsoft a supprimé le programme Synchronization Service WebService Connector Config de l'installation.
• Microsoft a amélioré l'accessibilité.
• La déclaration de confidentialité de Microsoft est désormais accessible dans un plus grand nombre d'endroits.

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Azure Active Directory Connect

Microsoft vient de mettre à disposition une nouvelle version (1.2.4331) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Amélioration du redimensionnement de la barre de connexion, de sorte que le redimensionnement de la barre à sa largeur minimale ne fait pas disparaître ses boutons.
• Correction d'un problème de compatibilité des applications qui affectait les versions préliminaires de Windows.
• Déplacement de la méthode de vérification de l'identité du message de la fenêtre de verrouillage dans la barre de connexion vers la fin du message d'information sur la connexion.
• Modification du message d'erreur qui apparaît lorsque l'hôte de la session ne peut pas atteindre l'authentificateur pour valider les informations d'identification d'un utilisateur, afin de le rendre plus clair.
• Ajout d'un bouton de reconnexion aux boîtes de message de déconnexion qui s'affichent lorsque le PC local passe en mode veille ou que la session est verrouillée.
• Amélioration de la journalisation des clients, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Je vous propose un petit aperçu des nouveautés en avril 2023 autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, etc.).

On retrouve notamment :

Etiquettes de confidentialité (Sensitivity Labels)

• Disponibilité générale (GA) : Étiquette de confidentialité par défaut pour une bibliothèque de documents SharePoint
• Disponibilité générale (GA) : Outlook pour Mac affiche les couleurs des étiquettes
• Disponibilité générale (GA) : L'étiquetage intégré pour Windows prend en charge l'héritage des étiquettes à partir des pièces jointes aux courriels et est déployé sur Current Channel en tant que fonctionnalité de parité pour le complément AIP.
• Disponibilité générale (GA) : Appliquer la protection S/MIME en utilisant Outlook sur le web.
• Preview : Recherche d'informations sensibles dans les images avec prise en charge de la reconnaissance optique des caractères lorsque vous utilisez des stratégies d'étiquetage automatique pour Exchange.
• Changement de version pour le complément AIP désactivé par défaut : Pour le canal Entreprise mensuel uniquement, le complément AIP pour les applications Office est désactivé par défaut dans la version 2303. Pour le Canal Courant et le Canal Entreprise Semestriel, le complément AIP est toujours désactivé par défaut dans la version 2302.
• Avis de retrait du complément AIP pour les applications Office : Le complément AIP sera retiré en avril 2024. Bien que le complément reste en mode maintenance jusqu'à cette date, si vous ne l'avez pas encore fait, Microsoft vous encourage à migrer vers les étiquettes intégrées dans Office..

Prévention de fuite de données (DLP)

• Public Preview de la recherche d'informations sensibles dans les images grâce à la prise en charge de la reconnaissance optique de caractères.
• Public Preview permettant de sauvegarder d'une copie des éléments correspondant aux politiques DLP dans le stockage Azure

Gestion des enregistrements et de la rétention

• Public Preview permettant de rechercher des informations sensibles dans des images avec prise en charge de la reconnaissance optique de caractères lorsque vous utilisez des politiques d'étiquetage de conservation à application automatique.
• Public Preview : Les stratégies de rétention de l'étiquetage automatique pour les pièces jointes Cloud qui étaient déjà en Preview incluent maintenant les pièces jointes et les liens partagés dans Yammer.
• Public Preview : La prise en charge des unités administratives Azure Active Directory - pour la gestion du cycle de vie des données et la gestion des enregistrements - commence à être déployée.
• Public Preview : Vous pouvez désormais configurer de manière facultative l'approbation automatique lorsque vous configurez une étiquette de conservation pour l'examen du sort (disposition review)

Conformité des communications

• Mise à jour de la politique relative aux messages signalés par les utilisateurs.
• Nouveaux champs pour les rapports sur les détails des messages.
• Nouvelles conditions pour le modèle de politique de conformité réglementaire.

Gestion des risques internes

• Public Preview de la recherche des informations sensibles dans les images grâce à la prise en charge de la reconnaissance optique des caractères.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs