Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• (Preview) La table GraphApiAuditEvents dans l’Advanced Hunting est maintenant disponible et contient des informations sur les requêtes API Microsoft Entra ID faites à Microsoft Graph API pour les ressources dans le locataire.
• (Preview) La table DisruptionAndResponseEvents, désormais disponible dans l’Advanced Hunting et contient des informations sur les événements de perturbation des attaques automatiques dans Microsoft Defender XDR. Ces événements comprennent les événements d'application de bloc et de politique liés aux politiques d'interruption d'attaque déclenchées, et les actions automatiques qui ont été prises dans les charges de travail connexes. Améliorez votre visibilité et votre connaissance des attaques actives et complexes perturbées par l'interruption des attaques afin de comprendre la portée, le contexte, l'impact et les mesures prises.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office.

• Les utilisateurs peuvent signaler les messages Microsoft Teams externes et internes à l'entreprise provenant des chats, des canaux standard et privés, des conversations de réunion à Microsoft, à la boîte aux lettres de signalement spécifiée ou aux deux via les paramètres de signalement de l'utilisateur.
• Microsoft a annoncé la publication d'un tableau de bord fournissant la visibilité sur l'efficacité à travers les différents vecteurs d'attaque.
• En outre, ce sont deux rapports de comparaison permettant aux clients d'évaluer le bénéfice d'intégrer plusieurs solutions de sécurité d'emails et notamment les vendeurs Integrated Cloud Email Security (ICES) et Secure Email Gateways (SEGs).

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Annonce de Microsoft Sentinel Data Lake, un lac de données moderne, conçu spécialement pour rationaliser la gestion des données, réduire les coûts et accélérer l'adoption de l'IA par les équipes chargées des opérations de sécurité. Le nouveau Data Lake de Microsoft Sentinel offre un stockage à long terme rentable, éliminant le besoin de choisir entre l'accessibilité financière et une sécurité robuste. Les équipes de sécurité bénéficient d'une visibilité plus approfondie et d'une résolution plus rapide des incidents, le tout dans l'expérience familière de Sentinel, enrichie par une intégration transparente avec des outils d'analyse de données avancés.
• Les autorisations pour le Data Lake de Microsoft Sentinel sont fournies par le biais du RBAC unifié de Microsoft Defender XDR. La prise en charge du RBAC unifié est disponible en plus de la prise en charge fournie par les rôles globaux Microsoft Entra ID.
• La gestion des tables et les paramètres de rétention sont désormais disponibles dans les portails Microsoft Defender. Vous pouvez afficher et gérer les paramètres des tables dans le portail Microsoft Defender, y compris les paramètres de rétention pour les tables Microsoft Sentinel et Defender XDR, et basculer entre les niveaux d'analyse et de lac de données.
• Depuis le 1er juillet 2025, les nouveaux clients qui ont les autorisations d'un propriétaire d'abonnement ou d'un administrateur d'accès utilisateur, et qui ne sont pas non plus des utilisateurs délégués d'Azure Lighthouse, voient leurs workspaces automatiquement intégrés au portail Defender en même temps que l'intégration à Microsoft Sentinel. Les utilisateurs de ces espaces de travail, qui ne sont pas non plus des utilisateurs délégués d'Azure Lighthouse, voient des liens dans Microsoft Sentinel sur le portail Azure qui les redirigent vers le portail Defender. Ces utilisateurs n'utilisent Microsoft Sentinel que dans le portail Defender.
• Il n'y a plus de limite au nombre d'espaces de travail que vous pouvez embarquer sur le portail Defender. Les limitations s'appliquent toujours au nombre d'espaces de travail que vous pouvez inclure dans une requête Log Analytics, et au nombre d'espaces de travail que vous pouvez ou devriez inclure dans une règle d'analyse planifiée.
• À partir de juillet 2026, Microsoft Sentinel sera pris en charge uniquement dans le portail Defender, et tous les clients restants qui utilisent le portail Azure seront automatiquement redirigés. Si vous utilisez actuellement Microsoft Sentinel dans le portail Azure, Microsoft recommande de commencer à planifier votre transition vers le portail Defender dès maintenant afin d'assurer une transition en douceur et de profiter pleinement de l'expérience des opérations de sécurité unifiées offerte par Microsoft Defender.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Le module App Governance est maintenant disponible dans les régions suivantes : Brazil, Sweden, Norway, Switzerland, South Africa, South Korea, Arab Emirates et Asia Pacific.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Dans un message publié sur le centre de messages de Microsoft, Microsoft s’apprête à appliquer ce changement le 4 septembre 2025. Historiquement, Azure DevOps se base sur Azure Resource Manager (ARM) pour les jetons d’authentification. Azure DevOps était sécurisé via l’application “Windows Azure Service Management API” (App ID: 797f4846-ba00-4fd7-ba43-dac1f8f63013). Microsoft va séparer Azure DevOps et cette application regroupant de nombreux services (portail Azure, etc.)
Ainsi, si vous avez des stratégies d’accès conditionnel qui ciblent spécifiquement des applications et non pas la cible All Cloud Apps, vous devez rajouter l’application “Azure DevOps” (App ID: 499b84ac-1321-427f-aa17-267ca6975798) à vos stratégies existantes.

Plus d’informations sur : Message center - Microsoft 365 admin center

Forrester et Microsoft ont travaillé ensemble sur une étude relative à Windows 365 et plus particulièrement l’usage de Windows 365 Link. L’étude ressort un retour sur investissement de plus de 195% sur 6 ans. Pour rappel, Windows 365 Link est le premier appareil Cloud PC conçu par Microsoft pour Windows 365, est disponible depuis avril 2025.

Parmi les éléments qui participent à ce ROI, on retrouve :

• Des gains sur la productivité des utilisateurs finaux
• La sécurité renforcée
• La réduction du coût du matériel
• Le temps IT économisé
• Le temps d’intégration accéléré

Lire l’étude

Source : Forrester study reveals Windows 365 Link enhances productivity and security, projects ROI up to 195% | Windows Experience Blog

Gartner vient de publier le résultat de l’étude 2025 sur l’Endpoint Protection Platforms (EPP). Microsoft fait toujours parmi les leaders avec Palo Alto, Sophos, Trend Micro, SentinelOne, et CrowdStrike. Cette année, Microsoft est au coude à coude avec Crowdstrike.

Parmi les forces :

• Produit : Les fonctionnalités EDR, la protection, la gestion basée sur le cloud et les capacités d'intégration de la sécurité de l'espace de travail de Microsoft sont généralement bien perçues par les clients pour leur efficacité et leur maturité.
• Stratégie produit : Les améliorations prévues par Microsoft, telles que la réduction de la surface d'attaque autonome, s'appuient sur une longue histoire d'investissements cohérents dans les capacités de son produit EPP, telles que les règles pour la réduction de la surface d'attaque des points finaux. L'intégration de Microsoft dans son écosystème plus large est remarquable.
• Réactivité du marché et antécédents : Microsoft détient une part importante du marché de l'EPP et continue d'afficher un taux de considération élevé de la part des acheteurs d'EPP.

Parmi les faiblesses :

• Exécution des ventes : Les clients qui utilisent les licences groupées de Microsoft font souvent état d'une sous-utilisation des produits et d'une diminution des remises au moment du renouvellement, ce qui peut s'avérer difficile dans l'environnement macroéconomique actuel.
• Expérience client : Les clients signalent que le déploiement initial, l'optimisation de la configuration et le rythme relativement lent de la résolution des problèmes de support peuvent dégrader l'expérience globale du client.
• Innovation : Au cours de l'année écoulée, la R&D de Microsoft semble s'être concentrée sur le renforcement des produits adjacents, tels que Security Exposure Management, ce qui est moins susceptible d'avoir un impact sur le marché plus large de l'EPP.

Vous pouvez accéder au rapport.

Source : ​​ ​​Microsoft is named a Leader in the 2025 Gartner® Magic Quadrant for Endpoint Protection Platforms | Microsoft Security Blog

Depuis son lancement, Microsoft Sentinel s’est imposé comme l’une des plateformes SIEM/SOAR les plus complètes du marché : collecte massive de logs, détection avancée des menaces, automatisation des réponses… Un seul point noir au tableau, le stockage de données pour des usages externes à la sécurité et plus relatif au traitement et l’usage de la donnée (Analytics, BI, etc.).
Avec l’arrivée de Microsoft Sentinel Data Lake, Microsoft vient combler ce manque et change la donne sur trois plans : rétention des données, coûts et ouverture analytique. Ce Data Lake est un espace unifié, découplé du moteur Log Analytics, capable de stocker des données de sécurité (Security Events, Syslog, réseau, signaux cloud, etc.) dans leur format brut ou parquet, sur des durées quasi illimitées (années) et à un coût au gigaoctet sensiblement réduit. La solution est pour l’instant en Public Preview.

Les coûts suivants sont applicables à cette fonctionnalité :

Plus d’informations sur : Microsoft Sentinel data lake overview (preview) - Microsoft Security | Microsoft Learn

Microsoft a publié une calculatrice permettant d’estimer le coût d’utilisation de Security Copilot et notamment le nombre de Security Compute Unit (SCUs). Cette calculatrice se focalise principalement sur les fonctionnalités dans les produits couverts par Security Copilot. Elle vous demandera combien de personnes sont susceptible d’utiliser les fonctionnalités dans chaque produit. Une fois le nombre de personnes renseigné, vous obtenez une estimation du nombre de SCU et des différents scénarios entre SCUs provisionnées + dépassement de SCU.

Accéder à la calculatrice Security Copilot

Lors de la mise en place d’Azure Update Manager pour mettre à jour des serveurs, j’ai rencontré plusieurs problèmes sur des serveurs renvoyant l’erreur 0x80070643 lors de l’application des mises à jour et un cas spécifique relatif à une mise à jour pour SQL Server.
Notez que le code d’erreur est indépendant d’Azure Update Manager puisque l’erreur était en réalité remontée lorsque les serveurs étaient mis à jour manuellement avec Windows Updates.

Voici les symptômes :

• Le serveur présentait une mise à jour applicable à SQL Server
• En utilisant SQL Server Management Studio sur l’instance, il semblait que l’instance était plus à jour que la mise à jour proposée par Windows Update.
• L’application manuelle de la mise à jour ne fonctionnait pas.

En creusant, j’ai fini par trouver la raison. Il semble que ce serveur comportait une instance fantôme inactive que Windows Update identifiait et voulait mettre à jour. Vous pouvez vérifier de la manière suivante :

1. Ouvrez le répertoire de l’installeur SQL Server en naviguant dans <Disque>:\Microsoft SQL Server\<Version de SQL>\Setup Boostrap\Log\<Date_Heure>. Ouvrez ensuite le fichier Summary_<NomDeServeur>_<Date_Heure>.txt.
2. Dans ce fichier, vous obtenez un aperçu global incluant le résultat final de l’installation. La section qui va nous intéresser est celle appelée Product features discovered où vous pouvez voir apparaître les différentes instances dont une instance avec la mention INACTIVE. Vous pouvez notamment constater le numéro de version plus ancien que l’instance active qui a déjà été mise à jour.

3. Pour résoudre le problème et retirer cette instance fantôme, ouvrez le répertoire de l’installeur SQL Server en naviguant dans <Disque>:\Microsoft SQL Server\<Version de SQL>\Setup Boostrap\Log\<Date_Heure>\Datastore. Ouvrez ensuite le fichier Datastore_Discovery.xml :

4. Une fois le fichier XML ouvert, recherchez le mot clé INACTIVE. Vérifiez le numéro de version de l’instance pour valider qu’il s’agit d’une ancienne version non mise à jour. Identifiez et copiez le Product Code.

5. Lancez une invite de commande en tant qu’administrateur et lancez la commande suivante pour lancer la désinstallation :
   msiexec /X <Product Code copié prédécemment>
6. Relancez la détection Windows Update et constatez que la mise à jour n’est plus proposée.

Lors de la mise en place d’Azure Update Manager pour mettre à jour des serveurs, j’ai rencontré plusieurs problèmes sur des serveurs renvoyant l’erreur 0x80070643 lors de l’application des mises à jour et plus particulièrement les mises à jour de définitions Microsoft Defender.
Après moultes tentatives, j’ai fini par trouver la solution. Celle-ci peut être applicable à certains autres mises à jour qui renverraient le code d’erreur : 0x80070643. Il est à noter que ce code d’erreur est relativement générique donc il convient de valider l’application à votre contexte.

Notez que le code d’erreur est indépendant d’Azure Update Manager puisque l’erreur était en réalité remontée lorsque les serveurs étaient mis à jour manuellement avec Windows Updates.

L’erreur peut être remontée dans plusieurs cas :

1. Windows Defender a été désinstallée de manière non conventionnelle lors de la mise en œuvre d’une autre solution antivirale
2. Le composant CBS est corrompu et ne permet pas l’installation de la mise à jour. Ce cas peut s’appliquer plus globalement à d’autres mises à jour.

Note : les étapes et écrans peuvent varier selon les versions de système d’exploitation.

Traitement du premier problème

1. Commencez par installer les fonctionnalités Windows Defender Features incluant Windows Defender et GUI for Windows Defender en utilisant l’interface du Server Manager.
   Note : Si l’installation ne fonctionne pas, passez au traitement du second problème.

2. Lorsque la fonctionnalité est installée, ouvrez l’application Paramètres (Settings) puis naviguez dans Windows Update puis Windows Defender.
   Note : Si l’interface ne s’ouvre pas, passez directement au point 5

3. Dans l’interface Windows Defender, activez le service (Turn On)
4. Lancez ensuite la mise à jour des définitions.

Si les opérations ont réussi. Vous pouvez vous arrêter ici.

5. Il se peut que l’interface Windows Defender ne se lance pas. Le lancement manuel du service peut aussi renvoyer l’erreur : Windows could not start the Windows Defender Antivirus Service service on the local computer. Error 2: the system cannot find the file specified.
   Vérifiez alors que le dossier platform existe dans C:\ProgramData\Microsoft\Windows Defender. On doit retrouver à minima un sous dossier ayant pour nom, le numéro d’une version.
6. S’il n’y a pas de dossier platform ou de sous dossiers, utilisez un serveur de même version qui fonctionne. Copiez le dossier platform ou la dernière sous version dans le dossier du serveur courant.

7. Démarrez le service Windows Defender manuellement avec la console des services. Suivez ensuite la procédure à partir du point 2.

Traitement du second problème

Il est possible que vous cumuliez plusieurs problèmes dont notamment une corruption du composant CBS empêchant l’installation de Windows Defender Core et Windows Defender GUI. Ce problème peut aussi être applicable par l’installation d’autres mises à jour.

1. Ouvrez le journal log dans C:\Windows\Logs\CBS.
2. Dans ce journal, identifiez la mise à jour (KB) qui corrompt le store par ses packages manquants. Vous pouvez notamment re trouver les mentions suivantes :
   CBS Catalog Missing Package_XXXX_for_KBXXXXXXX~31bf3856ad364e35~amd64~~10.0.1.6

Exemple : CBS Catalog Missing Package_2319_for_KB5013952~31bf3856ad364e35~amd64~~10.0.1.6

3. Procédez au téléchargement manuel de la KB depuis le catalogue Microsoft Update.
4. Une fois téléchargée, faites l’extraction via les commandes suivantes :
   CD C:\Temp

EXPAND.exe windows10.0-kbXXXXXXX-x64_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.msu -f:* C:\Temp\msu

5. Lancez l’ajout du package manquant via la commande :

DISM.exe /Online /Add-Package /PackagePath:C:\Temp\msu\Windows10.0-KBXXXXXX-x64.cab

6. Une fois l’ajout réalisé, lancez la commande :
   DISM /online /cleanup-image /RestoreHealth
7. Quand la commande se termine, vous pouvez redémarrer la procédure de traitement du premier problème.

IDC a publié son modèle d'analyse des fournisseurs MarketScape sur les plateformes cloud-native application protection platform (CNAPP). Microsoft ressort leader du marché dans tous les segments au côté de Wiz, Trend Micro, Crowdstrike, Palo Alto Networks.

Parmi les forces :

• Les clients ont souligné le partenariat solide avec Microsoft, qui comprend un support et une consultation dédiés, assurant une résolution rapide des problèmes et un accès à des experts pour une utilisation optimale du produit.
• Microsoft Defender for Cloud a été reconnu pour ses analyses de menaces détaillées, combinant des informations de diverses sources pour créer des scénarios d’attaque complets. Cela aide à contextualiser la gravité des alertes, à mieux les prioriser et à y répondre efficacement. Des fonctions comme Security Explorer et la détection automatique des données sensibles sans configuration supplémentaire renforcent la posture de sécurité, en offrant des insights précieux et en automatisant des tâches de sécurité critiques.
• Defender for Cloud offre une visibilité étendue sur les attaques cloud à travers tout l’environnement — des points de terminaison aux identités exposées, en passant par les secrets sur site. Son approche holistique examine les vecteurs d’attaque internes et externes au cloud. Les graphiques de posture pré-violation sont intégrés aux incidents en direct, permettant une évaluation du risque d’exposition grâce à l’analyse du rayon d’explosion.
• Defender for Cloud intègre des fonctions de CSPM (gestion de la posture de sécurité cloud) permettant des évaluations basées sur le Microsoft Cloud Security Benchmark. Avec le score sécurisé, les clients peuvent suivre leurs progrès dans le temps.
• En outre, Microsoft propose également un certain nombre de campagnes complètes de formation et de développement de la main-d'œuvre, qui vont de l'engagement des étudiants à la formation publique à faible coût et parfois gratuitement.

Parmi les challenges.

Alors que l'optimisation des dépenses de sécurité dans le cloud peut toujours être un défi, les coûts associés à divers produits Microsoft, y compris les licences, sont à la hausse pour certaines organisations. Les clients ont noté que ce défi peut être exacerbé par le fait que l'activation ou la désactivation de divers composants de Defender for Cloud au niveau de l'abonnement peut être fastidieuse, ce qui incite certains à laisser les choses en l'état. Dans l'ensemble, cela témoigne de la puissance des fonctionnalités disponibles dans Defender for Cloud et de la nécessité de créer des processus et des formations supplémentaires pour pouvoir les utiliser efficacement.

Lire le rapport d’IDC

Plus d’informations sur : Why Microsoft Leads the IDC CNAPP MarketScape: Key Insights for Security Decision-Makers

Forrester a publié son rapport 2025 sur les plateformes Security Analytics. Microsoft ressort avec Splunk et Elastic parmi les leaders du marché.

Forrester met en avant que Microsoft est évangéliste sur ces notions de Zero Trust depuis 2020 et étend sa vision avec Security Copilot :

• Stratégie. Microsoft a construit une suite de produits pour défendre l'entreprise avec une mentalité de première partie. Sentinel est sa passerelle vers un avenir de télémétrie et de collaboration avec des tiers dans une suite plus large, une transition nécessaire pour les clients. Sa feuille de route agressive met en évidence son innovation, ce qui lui permet de continuer à dominer le marché. Son prix reste élevé et difficile à prévoir, comme la plupart des produits de cette évaluation. Sa communauté et son écosystème de partenaires sont florissants, grâce à sa conférence Ignite et à ses communautés privées.
• Capacités. Pour l'analyse, Microsoft a construit une histoire « mieux ensemble » avec Microsoft Sentinel et Microsoft Defender. Il est limité à 500 règles par espace de travail, soit moins que ses concurrents. Il possède des caractéristiques uniques pour l'investigation, telles que sa fonction de potentiel de chemin d'attaque. Sa capacité d'automatisation, Azure Logic Apps, nécessite des intégrations tierces plus transparentes. Microsoft a élargi ses collecteurs tiers. Il a du mal à rivaliser avec l'étendue des rapports de conformité proposés par d'autres fournisseurs. Toutefois, ses fonctions de gestion des données sont adaptables, avec un stockage à long terme dans Sentinel et un stockage à plus long terme via Azure.
• Commentaires des clients. Les clients apprécient la combinaison de Microsoft Defender et de Microsoft Sentinel dans la même plateforme et la flexibilité du langage de requête Kusto comme alternative au SPL de Splunk, mais ils veulent des connecteurs supplémentaires. Ils recommandent d'établir un partenariat solide avec l'équipe Microsoft afin d'obtenir les meilleurs résultats possibles pour les clients.
• L'avis de Forrester. Les clients qui souhaitent opérer dans un écosystème interopérable avec Microsoft Defender sont plus à même d'utiliser Microsoft Sentinel.

Lire le rapport de Forrester

Plus d’informations sur : Microsoft is a Leader in the The Forrester Wave: Security Analytics Platforms, 2025 | Microsoft Security Blog

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Entra ID, Permissions Management, etc.) en juin 2025.

Microsoft apporte les nouveautés suivantes :

Général

• À partir du 29 septembre 2025, Microsoft modifiera l'image d'arrière-plan par défaut de nos écrans d'authentification Microsoft Entra pour le travail ou l'école. Ce nouvel arrière-plan a été conçu pour aider les utilisateurs à se concentrer sur l'ouverture de leur compte, à améliorer leur productivité et à minimiser les distractions. Microsoft vise ainsi à assurer une cohérence visuelle et une expérience utilisateur propre et simplifiée dans l'ensemble des flux d'authentification de Microsoft, en alignant sur le langage de conception Fluent modernisé de Microsoft. Lorsque les expériences sont cohérentes, les utilisateurs bénéficient d'une expérience familière qu'ils connaissent et en laquelle ils ont confiance. Trois scénarios dans ce changement :
  • Tenants sans arrière-plan personnalisé configuré :
    • Les locataires sans arrière-plan personnalisé verront le changement sur chaque écran d'authentification.
    • Pour modifier cet arrière-plan et utiliser un arrière-plan personnalisé, configurez l'image de marque de l'entreprise.
  • Tenants avec un arrière-plan personnalisé configuré :
    • Les tenants dont l'arrière-plan est personnalisé ne verront le changement que lorsque l'URL n'a pas de paramètre d'ID de locataire spécifié (par exemple, login.microsoftonline.com directement sans indication de domaine ou d'URL personnalisé).
    • Pour tous les autres écrans, les tenants ayant un arrière-plan personnalisé configuré ne verront aucun changement dans leur expérience sur tous les clients.
  • Les tenants Entra External ID ne verront aucun changement dans leur expérience sur tous les clients.

Microsoft Entra ID (Azure Active Directory)

• Disponibilité Générale du support de Conditional Access pour toutes les applications Microsoft.
• Disponibilité Générale de la fonctionnalité de trusts entre forêts (Two-Way Forest Trusts) pour Microsoft Entra Domain Services. Cela permet d'établir des relations de confiance entre les domaines Microsoft Entra Domain Services et Active Directory on-premises.
• Disponibilité Générale du nouveau Store de confiance pour les autorités de certification, remplaçant le modèle précédent par une structure plus robuste sans limitations de taille.

• Disponibilité Générale du CRL Fail Safe, garantissant que l'authentification CBA échoue si l’autorité émettrice du certificat n’a pas de Liste de Révocation de Certificats (CRL) configurée.

• Public Preview de CA Scoping permettant aux administrateurs de lier des CAs spécifiques à des groupes d'utilisateurs définis. Cela garantit que les utilisateurs ne peuvent s'authentifier qu'à l'aide de certificats provenant de sources de confiance qui leur sont attribuées. Cette fonctionnalité renforce la conformité et réduit le risque d'exposition à des certificats mal émis ou malveillants.

• Disponibilité Générale de l’API-driven provisioning dans le cloud US Gov. Avec cette capacité, les clients dans le cloud US Gov peuvent désormais ingérer des données d’identité depuis toute source fiable dans Microsoft Entra ID et Active Directory on-premises.
• Disponibilité Générale du reporting audience pour Conditional Access. Ce reporting permet aux administrateurs de visualiser toutes les ressources évaluées par les politiques d'accès conditionnel durant un événement de connexion.

Microsoft Entra Identity Governance

• Disponibilité Générale de la gestion des flux de travail de cycle de vie (Lifecycle Workflow) avec Microsoft Security Copilot dans Microsoft Entra. Les clients peuvent désormais gérer et personnaliser les workflows de cycle de vie en utilisant un langage naturel, bénéficiant d'un accompagnement étape par étape.
• Disponibilité Générale de l’attribution automatique des « attributs de sécurité personnalisés » à partir de sources RH autorisées (comme Workday, SAP SuccessFactors).
• Public Preview de la synchronisation inter-locataires (cross-tenant) permettant d’automatiser la création, la mise à jour et la suppression d’utilisateurs à travers les tenants et clouds Microsoft. On retrouve notamment Commercial vers US Gov, Us Gov vers Commercial et Commercial vers China.

Microsoft Entra Global Secure Access (Internet Access/Private Access)

• Preview du support du service pour des utilisateurs basés en Chine. Ceci ne concerne pas le déploiement du service dans des tenants basés en Chine.

Modifications de service

• Microsoft retire l'onglet Conditional Access Overview Monitoring dans le centre d'administration de Microsoft Entra à partir du 18 juillet et jusqu'au 1er août. Après cette date, les administrateurs n'auront plus accès à cet onglet. Microsoft encourage les clients à passer à l'accès conditionnel par rapport à la stratégie et au tableau de bord Insights and Reporting, qui sont tous deux plus fiables, offrent une plus grande précision, et ont reçu un meilleur retour d'information de la part des clients.

Plus d’informations sur : What's new? Release notes - Microsoft Entra | Microsoft Learn et What's new for Microsoft Entra Verified ID 

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Provisionnement de périphériques

• Deux nouveaux packs de langues d'affichage pour les Cloud PCs sont désormais disponibles : l'anglais (Irlande) et l'anglais (Australie), que vous pouvez utiliser dans les politiques de provisionnement pour définir une langue d'affichage par défaut pour les Cloud PCs.

Gestion des périphériques

• La gestion de la concurrence en mode dédié pour Windows 365 Frontline est en disponibilité générale.
• La récupération de désastre inter-régions en mode dédié pour Windows 365 Frontline est désormais en Preview.
• Les Cloud PCs Windows 365 Frontline disposent désormais de la capacité de prédire quand un utilisateur se connecte et de pré-démarrer leur Cloud PC avant la connexion. Cette prédiction améliore les temps de connexion pour les Cloud PCs de ces utilisateurs.
• Vous pouvez désormais configurer des fuseaux horaires non-UTC lors de la planification du reprovisionnement en masse pour les Cloud PCs Windows 365 Frontline en mode partagé.
• Support de Teams VDI 1.0 sur iOS (preview) : Windows 365 prend désormais en charge Teams VDI 1.0 sur iOS.

Expérience Utilisateur

• Les SKUs Super et Max de Windows 365, prévues pour le GPU, prennent désormais en charge l'accélération du traitement graphique pour l'encodage des images utilisant HEVC/H.265. L'accélération GPU améliore les expériences graphiques lors de l'utilisation du protocole RDP avec des Cloud PCs compatibles disposant d'un GPU.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, DLP, etc.).

On retrouve notamment :

Data Security Posture Management for AI

• Disponibilité générale (GA) : Recommandation et politique en un clic pour capturer les interactions pour les expériences Microsoft Copilot, qui capture les invites et les réponses pour Security Copilot et Copilot in Fabric.
• Public Preview : Déploiement de nouvelles politiques en un clic à partir de la recommandation Extend your insights for data discovery (Étendez vos connaissances pour la découverte de données). Celles-ci utilisent la capacité DLP basée sur le navigateur récemment publiée qui empêche les utilisateurs de partager des informations sensibles avec des applications d'IA non gérées via Edge, sans qu'il soit nécessaire d'embarquer l'appareil :
  • DSPM for AI - Detect sensitive info added to AI sites
  • DSPM for AI - Detect when users visit AI sites
  • DSPM for AI - Detect sensitive info shared in AI prompts in Edge
• L'évaluation des risques de données permet maintenant d'évaluer les espaces OneDrive pour donner un aperçu des documents sensibles, partagés, ou accessibles dans le cadre de déploiement de solution d'IA telles que M365 Copilot : 

• On retrouve une page spécifique dédiée aux capacités de protection et d'usage de Microsoft 365 Copilot. 
• Mise à jour de la documentation : La documentation principale pour DSPM for l'IA est déplacée vers Learn about Data Security Posture Management (DSPM) for AI, avec de nouveaux articles pour chaque application d'IA majeure ou catégorie répertoriée dans l'article Microsoft Purview data security and compliance protections for generative AI apps. Par exemple, si vous vous intéressez spécifiquement à Microsoft 365 Copilot, ces informations sont déplacées vers Use Microsoft Purview to manage data security & compliance for Microsoft 365 Copilot & Microsoft 365 Copilot Chat.

Prévention de fuite de données (DLP)

• Public Preview : New Block Users From Sharing Sensitive Information to Unmanaged AI Apps Via Edge on Managed Devices étend la surveillance et le contrôle des activités de partage et des actions de protection à Microsoft Edge sans qu'il soit nécessaire d’intégrer l'appareil.

Gestion des enregistrements et de la rétention

• Disponibilité générale (GA) : Nouveaux emplacements pour les politiques de conservation et prise en charge étendue des copilots et des applications d'intelligence artificielle. Les chats Teams ont été séparés des interactions Microsoft 365 Copilot, avec un emplacement réservé aux chats Teams. Emplacements actuels qui prennent en charge Copilot et d'autres applications d'IA :
  • Microsoft Copilot experiences: Microsoft 365 Copilot, Security Copilot, Copilot in Fabric, Copilot Studio
  • Enterprise AI Apps : Microsoft Entra-registered AI apps, ChatGPT Enterprise, Azure AI services
  • Other AI Apps : ChatGPT, Google Gemini, Microsoft Copilot, DeepSeek.

Data Governance

• Disponibilité Générale des contrôles de santé des données permettant aux clients d'analyser, de surveiller et de gérer efficacement la santé de la gouvernance des données. Les clients pourront suivre l'évolution de leur organisation vers une gouvernance des données complète en utilisant ces contrôles pour mesurer les progrès et identifier les domaines à améliorer. Les contrôles de la santé des données font référence à des mesures, des processus et des outils spécifiques conçus pour surveiller, maintenir et améliorer la qualité, la sécurité et la santé globale des données de votre organisation.
• Disponibilité générale : Les contrôles de duplication des noms des concepts métiers (produits de données, éléments de données critiques, termes du glossaire et OKR) avertissent les utilisateurs et leur suggèrent de choisir un autre nom pendant le processus de création ou d'édition.
• Preview : Les fonctionnalités de planification des tâches en libre-service et de surveillance de l'historique des tâches sont désormais disponibles dans toutes les régions Azure prises en charge. Un administrateur de la gouvernance des données peut configurer le calendrier de publication des métadonnées du catalogue unifié quotidiennement, hebdomadairement et mensuellement. Mise à jour : Les données relatives à l'état des abonnements aux produits de données sont désormais transférées vers le modèle de domaine analytique en libre-service pour un aperçu en libre-service.
• Disponibilité générale : Les contrôles d'alignement des objectifs métiers et des résultats clés (OKR) pour mesurer la création de valeur des données (pourcentage d'un produit de données associé à un OKR métier) sont désormais accessibles. Les Chief Data Officer (CDO), les Data Stewards et les propriétaires de produits de données peuvent mesurer la valeur d'un produit de données et de ses actifs de données associés en mesurant un OKR associé à un produit de données.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• (Disponibilité Générale) Dans le cadre de l’Advanced Hunting, les utilisateurs du portail Microsoft Defender peuvent désormais utiliser l'opérateur adx() pour interroger les tables stockées dans Azure Data Explorer. Vous n'avez plus besoin d'aller dans l'analyse des journaux dans Microsoft Sentinel pour utiliser cet opérateur si vous êtes déjà dans Microsoft Defender.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Microsoft Purview Insider Risk Management (IRM) intègre un scenario spécifique où il est possible d’intégrer les scénarios de badge physique pour l’entrée dans des locaux lorsque l’utilisateur est supposé avoir quitté l’organisation. Microsoft a mis à jour le connecteur du composant pour des raisons de sécurité. Vous devez donc mettre à jour le script PowerShell. Le changement a eu lieu le 30 juin dernier et doit être réalisé dès que possible.

Le script est disponible sur : Commercial GitHub script

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office.

• Defender pour Office 365 est désormais capable de détecter et de classer les attaques de bombardement de courrier (mail bombing). Le mail bombing est une attaque par déni de service distribué (DDoS) qui consiste généralement à abonner les destinataires à un grand nombre de newsletters et de services légitimes. Le volume de courriels entrants qui en résulte en quelques minutes vise à submerger la boîte aux lettres du destinataire et les systèmes de sécurité de la messagerie, et agit comme un précurseur de logiciels malveillants, de ransomwares ou d'exfiltration de données. Le bombardement de courrier est désormais une valeur technologique de détection disponible dans l'Explorateur de menaces, la page de l'entité Email et le panneau de synthèse Email. Le bombardement de courrier est également une valeur DetectionMethods disponible dans Advanced Hunting.
• La réponse aux soumissions alimentée par l'IA introduit des explications génératives de l'IA pour les soumissions de courriels d'administration à Microsoft. Pour plus d'informations, voir Définitions des résultats des soumissions.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• (Public Preview) Defender for Containers : détections DNS basées sur Helm, simplifiant l’installation sur des clusters Kubernetes existants et fournissant de nouvelles détections de menaces DNS (domaines malveillants, tunneling, résolutions suspectes) directement au niveau du plan de données du cluster. En outre, on retrouve des optimisations majeures avec une meilleure efficacité mémoire et diminution de la consommation CPU sur les clusters de grande taille.
• (Public Preview) Defender for Storage introduit des balises d'indexation optionnelles pour les analyses à la demande et au téléchargement. Avec cette nouvelle fonctionnalité, les utilisateurs peuvent choisir de publier les résultats dans les balises d'index du blob lorsqu'un blob est analysé (par défaut) ou de ne pas utiliser les balises d'index. Les balises d'index peuvent être activées ou désactivées au niveau de l'abonnement et du compte de stockage via le portail Azure ou l'API.
• (Public Preview) Defender for Cloud étend désormais ses capacités de découverte d'API et de posture de sécurité pour inclure les API hébergées dans Azure Function Apps et Logic Apps, en plus de sa prise en charge existante des API publiées dans Azure API Management. Cette amélioration permet aux équipes de sécurité d'avoir une vue complète et continuellement mise à jour de la surface d'attaque des API de leur organisation. Les principales fonctionnalités sont les suivantes
  • Inventaire centralisé des API : Découvrir et cataloguer automatiquement les API dans les services Azure pris en charge.
  • Évaluations des risques de sécurité : Identifier et prioriser les risques, y compris l'identification des API dormantes qui peuvent justifier une suppression, ainsi que les API non cryptées qui pourraient exposer des données sensibles.

Ces fonctionnalités sont automatiquement disponibles pour tous les clients de Defender for Cloud Security Posture Management (DCSPM) qui ont activé l'extension API Security Posture Management.

• (Public Preview) La surveillance de l'intégrité des fichiers sans agent (FIM) complète la solution FIM basée sur l'agent Microsoft Defender for Endpoint, et introduit la prise en charge de la surveillance personnalisée des fichiers et du registre. La solution FIM sans agent permet aux entreprises de surveiller les modifications de fichiers et de registres dans leur environnement sans déployer d'autres agents. Elle offre une alternative légère et évolutive tout en maintenant la compatibilité avec la solution existante basée sur l'agent. Les principales fonctionnalités sont les suivantes :
  • Surveillance personnalisée : Répondez aux exigences spécifiques de conformité et de sécurité en définissant et en surveillant des chemins d'accès aux fichiers et des clés de registre personnalisés.
  • Expérience unifiée : Les événements provenant de FIM avec ou sans agent sont stockés dans la même table d'espace de travail, avec des indicateurs de source clairs.
• (Public Preview) Microsoft a mis à jour la fonction d'analyse de code sans agent afin d'inclure des fonctionnalités clés qui étendent à la fois la couverture et le contrôle. Ces mises à jour comprennent :
  • La prise en charge des référentiels GitHub, en plus d'Azure DevOps
  • La sélection personnalisable de l'analyseur - sélectionnez les outils (par exemple, Bandit, Checkov, ESLint) à exécuter
  • La configuration granulaire de la portée - incluez ou excluez des organisations, des projets ou des référentiels spécifiques

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.

• Public Preview de l'isolation séléctive (Selective Isolation) permettant d'exclure des processus, des adresses IP ou des services spécifiques des actions d'isolation réseau unilatéral. Cela permet aux fonctions essentielles (par exemple, la remédiation ou la surveillance à distance) de continuer en cas de violation, tout en limitant l'exposition plus large du réseau.
  Cette fonctionnalité est disponible sur Windows et macOS.
• En outre on retrouve le support de la distribution Alma Linux et Rocky Linux (en canal Insider Slow). La version minimale de l'agent doit être 101.25022.0002.
• Dans la version de juin du client Defender for Endpoint pour macOS (Build: 101.25052.0012 | Release version: 20.125052.12.0), on retrouve aussi des corrections de bugs et performances.
• Dans la version de juin du client Defender for Endpoint pour Linux (Build: 101.25042.0003 | Release version: 30.125042.0003.0), on retrouve :
  • Le déploiement du paquet Defender for Endpoint dans la production se fait progressivement. A partir du moment où les notes de version sont publiées, cela peut prendre jusqu'à une semaine pour que le paquet soit poussé vers toutes les machines de production.
  • Suppression de la dépendance externe de uuid-runtime du paquet Defender for Endpoint
  • Autres améliorations de stabilité et corrections de bugs.
• Dans la version de juin du Client Defender for Endpoint pour Android (1.0.7824.0102), on retrouve principalement des corrections de bugs.
• Dans la version de juin du client Defender for Endpoint pour iOS (1.1.66120101). On retrouve principalement des corrections de bugs.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Forrester a publié son rapport 2025 sur les plateformes Zero Trust. Microsoft ressort avec Palo Alto Networks et Check Point Software Technologies parmi les leaders du marché.

Forrester met en avant que Microsoft est évangéliste sur ces notions de Zero Trust depuis 2020 et étend sa vision avec Security Copilot :

• Stratégie. La vision prospective de Microsoft met l'accent sur une architecture de sécurité proactive utilisant des agents d'intelligence artificielle innovants. Sa feuille de route s'aligne bien sur cette vision, mais manque de transparence sur les perspectives à long terme des produits. L'écosystème de partenaires de l'éditeur est l'un des plus matures de cette évaluation et possède l'envergure nécessaire pour aider les clients à construire des architectures Zero Trust à l'échelle mondiale. Sa communauté se distingue par une éducation, une formation, une collaboration et des conseils complets en matière de Zero Trust. La tarification de Microsoft est cependant plus complexe que celle des autres fournisseurs de cette évaluation.
• Capacités. Les solides capacités de gestion des identités de Microsoft permettent une application efficace de l'accès au moindre privilège et facilitent les contrôles de sécurité des données et la gestion des terminaux. Sa gestion centralisée et sa visibilité sont comparables à celles de la concurrence. Les capacités de déploiement prennent en charge le cloud et le site via des agents ou des connecteurs, principalement axés sur l'adaptabilité au cloud avec des options d'hébergement sur site limitées. Microsoft excelle dans la consolidation et l'intégration des outils, ce qui permet de réduire les coûts et les frais généraux.
• Commentaires des clients. Les clients louent l'intégration profonde et multiplateforme de l'éditeur et la simplicité de sa plateforme, soulignant qu'elle apporte une réelle valeur ajoutée à l'entreprise sans qu'il soit nécessaire d'assembler différentes solutions. Cependant, ils souhaitent une assistance plus efficace et plus rentable, ainsi que des feuilles de route plus transparentes incluant des plans pour les fonctionnalités ou capacités en fin de vie (EOL).
• L'avis de Forrester. Les entreprises axées sur le Cloud et ne dépendant que très peu de l'infrastructure sur site devraient envisager Microsoft.

Lire le rapport de Forrester

Plus d’informations sur : ​​Forrester names Microsoft a Leader in the 2025 Zero Trust Platforms Wave report | Microsoft Security Blog

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Renommage de la Codeless Connector Platform (CCP) en Codeless Connector Framework (CCF). Le nouveau nom reflète l’évolution de la plateforme et évite toute confusion avec d’autres services orientés « platform ». La facilité d’usage et la flexibilité restent inchangées.
• L’ensemble des articles de référence sur les connecteurs a été fusionné en un tableau unique et exhaustif. Sélectionnez un connecteur dans le tableau pour afficher ses détails.
• Public Preview des Summary rule templates pour déployer des règles récapitulatives pré-construites adaptées aux scénarios de sécurité courants ; elles permettent :
  • l’agrégation et l’analyse efficaces de gros volumes de données,
  • la réduction du temps de configuration,
  • l’application systématique des bonnes pratiques, même sans expertise approfondie.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Disponibilité Générale du nouveau type de données « Behaviors » dans Microsoft Defender for Cloud Apps. Ce format enrichit considérablement la précision de la détection de menaces : les alertes basées sur de simples anomalies génériques sont réduites, et seules celles dont les schémas correspondent à de véritables scénarios de sécurité sont remontées. Les équipes SecOps peuvent exploiter ces données dans Advanced Hunting pour leurs investigations, créer des détections personnalisées plus pertinentes et bénéficier de l’ajout automatique des comportements contextuels aux incidents.
• Nouveau modèle de détection dynamique des menaces (Dynamic Threat Detection). Ce moteur s’adapte en continu à l’évolution du paysage de menaces visant les applications SaaS, sans nécessiter de mises à jour manuelles de politiques ou de reconfigurations. Plusieurs politiques d’anomalies héritées ont déjà été migrées vers ce modèle adaptatif, offrant une couverture plus intelligente et réactive. Ce fonctionnement dynamique garantit que votre organisation reste protégée par une logique de détection toujours à jour.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

En Juin 2025, Microsoft a introduit différents changements à Windows Autopilot permettant d’améliorer le comportement.

On retrouve notamment :

• Windows Autopilot prend désormais en charge les applications du catalogue d'applications d'entreprise. Microsoft Intune Enterprise App Management permet aux administrateurs informatiques de gérer facilement les applications de l'Enterprise App Catalog. Avec la version 2506 d'Intune, vous pouvez désormais sélectionner les applications du catalogue d'applications d'entreprise comme applications bloquantes dans le profil de la page d'état d'inscription (ESP). Cela vous permet de vous assurer que ces applications sont livrées avant que l'utilisateur ne puisse accéder au bureau. Ceci s’applique à Windows Autopilot (v1) et Device Preparation (v2).

Source : What's new in Autopilot | Microsoft Learn