Innovations en matière de sécurité dans Microsoft Entra

Si vous utilisez :

• des applications qui se connectent à Entra ID

• des Scripts powershell en connection avec Entra ID

Vous devriez lire cet article.

Il présente les dernières fonctionnalités et annonces de modifications dans Microsoft Entra. c’est important car vous pourriez être impacté notament pas l’abandon de Azure AD PowerShell hérités Azure AD PowerShell Preview et MS Online.

Certes, vous avez encore un peu de temps mais cela n’empeche qu’il faut en mesurer l’impact et entreprendre eventuellement certaines corrections 😉

Article original : https://techcommunity.microsoft.com/blog/identity/whats-new-in-microsoft-entra—november-2024/4253152

Le paysage de la sécurité des identités évolue à un rythme sans précédent. Alors que les événements mondiaux et l’évolution rapide de l’IA remodèlent l’environnement de la cybersécurité, le maintien de la sécurité est devenu plus essentiel que jamais. Pour faire face à l’ampleur et à l’impact croissants des cyberattaques, Microsoft a lancé la Secure Future Initiative (SFI) , une initiative cohérente qui exploite toutes les capacités de Microsoft pour améliorer la cybersécurité dans l’ensemble de notre organisation et de nos produits. Cette initiative reflète à la fois les informations internes et les précieux commentaires des clients, des gouvernements et des partenaires, nous guidant pour nous concentrer sur les moyens les plus significatifs de façonner l’avenir de la sécurité.

Lors de Microsoft Ignite le mois dernier, nous avons annoncé plusieurs mises à jour clés pour garder une longueur d’avance sur l’évolution du paysage des menaces et sécuriser l’accès à l’ère de l’IA, notamment :

• Security Copilot dans Microsoft Entra : extension de l’aperçu public pour intégrer Security Copilot directement dans le centre d’administration Microsoft Entra, permettant un accès facile aux informations d’identité au sein de l’expérience d’administrateur.
• Améliorations dans Microsoft Entra Private Access : introduction de nouvelles fonctionnalités telles que les stratégies d’accès rapide, la découverte d’applications, le système de noms de domaine privé (DNS) et les connecteurs réseau.
• Avancées dans Microsoft Entra Internet Access : ajout de la prise en charge de l’évaluation de l’accès continu (CAE) et de l’inspection de la sécurité de la couche de transport (TLS).
• Détection de mot de passe en temps réel dans Microsoft Entra ID Protection.
• Prise en charge de la clé d’accès liée à l’appareil dans Microsoft Authenticator pour iOS et Android.
• Authentification native dans Microsoft Entra External ID.
• Quoi de neuf dans l’expérience Microsoft Entra et la surveillance de l’état de santé .

Pour une analyse plus approfondie de ces mises à jour, lisez le blog « Ignite : innovations AI et SASE dans Microsoft Entra » sur le Microsoft Community Hub.

Et aujourd’hui, nous partageons les améliorations et les innovations en matière de sécurité dans Microsoft Entra d’octobre à novembre 2024, organisées par produit pour une navigation plus facile.

Pour en savoir plus, regardez la vidéo Nouveautés de Microsoft Entra pour un aperçu rapide des mises à jour du produit et explorez la lame Nouveautés du Centre d’administration Microsoft Entra pour des informations détaillées.

https://cdn.embedly.com/widgets/media.html?src=https%3A%2F%2Fwww.youtube.com%2Fembed%2FNESTW0B1nAQ%3Ffeature%3Doembed&display_name=YouTube&url=https%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DNESTW0B1nAQ&image=https%3A%2F%2Fi.ytimg.com%2Fvi%2FNESTW0B1nAQ%2Fhqdefault.jpg&type=text%2Fhtml&schema=youtube

Identifiant Microsoft Entra

Nouveautés

• Unités administratives dynamiques
• Surveillance de l’état de santé de Microsoft Entra, fonctionnalité de mesures de l’état de santé
• Le schéma des journaux de connexion aux analyses de journaux est en parité avec le schéma MSGraph

Annonces de changement

Améliorations de sécurité

Mise à jour des paramètres de sécurité par défaut

[Une action peut être requise]

Conformément à  l’initiative Secure Future de Microsoft , nous  supprimons l’option permettant d’ignorer l’enregistrement de l’authentification multifacteur (MFA) pendant 14 jours lorsque les paramètres de sécurité par défaut sont activés . Tous les utilisateurs devront s’inscrire à l’authentification multifacteur lors de leur première connexion après l’activation des paramètres de sécurité par défaut. Cette modification affecte les tenant nouvellement créés à partir du 2 décembre 2024 et sera déployée sur les tenants existants à partir de janvier 2025.

Activation des clés d’accès dans Authenticator pour les organisations à clé d’accès (FIDO2) sans restrictions de clé

À partir de la mi-janvier 2025, après la disponibilité générale des clés d’accès dans Microsoft Authenticator,  les organisations dont la stratégie de méthodes d’authentification par clé d’accès (FIDO2) est activée sans restrictions de clé pourront utiliser les clés d’accès dans Microsoft Authenticator en plus des clés de sécurité FIDO2 . Dans les informations de sécurité, les utilisateurs auront la possibilité d’ajouter la clé d’accès dans Microsoft Authenticator comme méthode d’authentification. De plus, lorsque la stratégie de renforcement de l’authentification par accès conditionnel applique l’authentification par clé d’accès, les utilisateurs sans clé d’accès seront invités à enregistrer une clé d’accès dans Microsoft Authenticator. Les organisations qui préfèrent ne pas activer cette modification doivent activer les restrictions de clé dans la stratégie de méthodes d’authentification par clé d’accès (FIDO2). Cliquez ici pour en savoir plus.

Jetons d’accès cryptés pour les API Microsoft

À compter d’octobre 2024, Microsoft active progressivement les jetons d’accès chiffrés sur un plus grand nombre de ses API. Ce changement modifie le format des jetons d’accès pour les API appartenant à Microsoft.

Action requise : les applications clientes doivent traiter les jetons d’accès comme des chaînes opaques, ce qui signifie qu’elles ne doivent pas tenter de les lire, de les inspecter ou de les analyser. Seules les API Web qui sont les destinataires prévus des jetons d’accès doivent les analyser et les valider.

Pourquoi cela est important : si les applications s’appuient sur des formats de jetons spécifiques, par exemple en attendant un URI dans la revendication « aud » plutôt qu’un GUID, ces hypothèses peuvent entraîner des problèmes de fonctionnalité à mesure que les formats de jetons changent.

Si votre application cliente analyse actuellement les jetons d’accès, veuillez vérifier et mettre à jour votre code conformément aux meilleures pratiques décrites dans la documentation de Microsoft Identity Platform .

Modification du format de la réclamation aud dans les jetons d’accès pour Microsoft Graph

Compte tenu de notre engagement continu en matière de sécurité, nous apportons une modification mineure aux jetons émis pour Microsoft Graph après le 15 janvier 2025. Dans de rares cas, cela peut avoir un impact sur les applications   si  l’application cliente analyse le jeton d’accès et attend un format spécifique de la   revendication aud . 

Comme décrit dans  la documentation , les jetons d’accès doivent être analysés et validés uniquement par l’API de ressources, et les applications clientes doivent traiter le jeton d’accès comme une chaîne opaque pour éviter l’impact de ces modifications ou de modifications futures.

Assurez-vous que les bonnes personnes peuvent continuer à accéder aux avis de sécurité dans Azure Service Health

[Une action peut être requise]

Pour garantir que les avis de sécurité sensibles ne soient reçus que par des personnes disposant d’autorisations élevées, nous apportons des modifications au contrôle d’accès basé sur les rôles (RBAC) dans Azure Service Health à compter du 28 février 2025. Pour effectuer cette modification, nous allons :  

• Introduisez une nouvelle version de l’API Resource Health le 28 février 2025, qui garantit que les événements de conseil de sécurité ne seront accessibles qu’aux utilisateurs privilégiés.
• Activez RBAC pour les événements de conseil de sécurité dans le portail Azure le 31 août 2025.
• Activez RBAC pour les événements de conseil de sécurité dans Azure Resource Graph le 15 septembre 2025. 

Ces changements peuvent vous concerner si vous recevez des avis de sécurité de l’une des manières répertoriées ci-dessous.

Action requise 

Si vous utilisez le portail Azure : 

• Révisez vos attributions RBAC de sécurité avant le 31 août 2025 et apportez les modifications ou les ajouts nécessaires. 

Si vous accédez aux événements via l’API Resource Health : 

• Mise à jour de la nouvelle API Resource Health avant que les anciennes versions ne deviennent obsolètes le 15 septembre 2025.
• Utilisez  FetchEventDetails pour afficher les informations de sécurité sensibles à l’avenir.  

Si vous utilisez Azure Resource Graph : 

• Passez en revue les propriétés ServiceHealthResources qui nécessiteront un accès élevé et apportez des modifications ou des ajouts avant le 15 septembre 2025. 

Visitez Microsoft Learn pour en savoir plus sur ces changements et rester informé des problèmes de sécurité Azure.

Actualisation de l’aperçu public – Jetons OATH matériels 

Le 14 novembre, nous avons lancé une nouvelle version de l’aperçu public des jetons Hardware OATH. Cette mise à jour prend en charge l’auto-attribution, l’activation et l’accès administrateur délégué par l’utilisateur final. Pour plus de détails, reportez-vous à la documentation publique . 

Pour profiter de cette mise à jour, créez des jetons à l’aide de l’ API MS Graph . La nouvelle expérience fonctionnera parallèlement à la version héritée jusqu’à son abandon, qui sera annoncé via les publications « Quoi de neuf dans Microsoft Entra ? » et le centre de messages M365. 

Pour migrer maintenant, supprimez les jetons de l’ancien système et recréez-les dans le nouveau à l’aide de MS Graph. Lors de la disponibilité générale, une API MS Graph sera disponible pour la migration de jetons par utilisateur sans interruption de service.

Entra ID : extension de WhatsApp en tant que canal de distribution de codes d’accès à usage unique MFA

À partir de décembre 2024, les utilisateurs en Inde et dans d’autres pays pourront commencer à recevoir des SMS MFA via WhatsApp. Seuls les utilisateurs autorisés à recevoir des SMS MFA comme méthode d’authentification et disposant déjà de WhatsApp sur leur téléphone bénéficieront de cette expérience. Si un utilisateur disposant de WhatsApp sur son appareil est injoignable ou n’a pas de connexion Internet, il reviendra rapidement au canal SMS habituel. De plus, les utilisateurs recevant des OTP via WhatsApp pour la première fois seront informés du changement de comportement par SMS.

Si vous êtes un client Microsoft Entra et que vous utilisez actuellement la méthode d’authentification par SMS, nous vous recommandons d’informer votre service d’assistance de ce changement à venir. De plus, si vous ne souhaitez pas que vos utilisateurs reçoivent des SMS MFA via WhatsApp, vous pouvez désactiver les SMS comme méthode d’authentification dans votre organisation. Veuillez noter que nous encourageons vivement les organisations à utiliser des méthodes plus modernes et plus sécurisées telles que Microsoft Authenticator et les clés d’accès au lieu des méthodes des applications de télécommunication et de messagerie. Cette mise à jour de fonctionnalité est disponible par défaut. Consultez notre documentation sur l’authentification par téléphone pour en savoir plus.

Ce déploiement se fera automatiquement, sans intervention de l’administrateur. Vous souhaiterez peut-être informer vos utilisateurs de ce changement et mettre à jour toute documentation pertinente, le cas échéant.

Modernisation de l’identité

Mise à jour importante : retrait d’Azure AD Graph  

Le retrait du service d’API Azure AD Graph a commencé en septembre 2024 et aura à terme un impact sur les applications nouvelles et existantes. Nous terminons actuellement les déploiements de la première phase du retrait d’Azure AD Graph, et les nouvelles applications ne pourront pas utiliser les API Azure AD Graph à moins qu’elles ne soient configurées pour un accès étendu. Microsoft Graph remplace les API Azure AD Graph, et nous vous recommandons vivement de migrer immédiatement l’utilisation des API Azure AD Graph vers Microsoft Graph et de limiter tout développement ultérieur à l’aide des API Azure AD Graph.  

Calendrier de mise hors service progressive du service API Azure AD Graph

Date de début de la phase	Impact sur les applications existantes	Impact sur les nouvelles applications
1er septembre 2024	Aucun.	Les nouvelles applications ne peuvent pas utiliser les API Azure AD Graph, sauf si l’application est configurée pour autoriser l’accès étendu à Azure AD Graph en définissant blockAzureAdGraphAccess sur false. Toutes les nouvelles applications doivent utiliser Microsoft Graph
1er février 2025	L’application ne peut pas effectuer de demandes aux API Azure AD Graph, sauf si elle est configurée pour autoriser l’accès étendu à Azure AD Graph en définissant blockAzureAdGraphAccess sur false.
1er juillet 2025	Azure AD Graph est entièrement retiré. Aucune demande d’API Azure AD Graph ne fonctionnera.

Action requise  

Pour éviter les interruptions de service, veuillez suivre nos instructions pour migrer les applications vers les API Microsoft Graph.

Si vous devez étendre l’accès à Azure AD Graph pour une application jusqu’en juillet 2025  

Si vous n’avez pas entièrement terminé la migration des applications vers Microsoft Graph, vous pouvez prolonger ce retrait. Si vous définissez l’attribut blockAzureADGraphAccess sur false dans la  configuration authenticationBehaviors de l’application , l’application pourra utiliser les API Azure AD Graph jusqu’au 30 juin 2025. Vous trouverez une documentation supplémentaire ici .   

Les nouvelles applications recevront une erreur 403 lorsqu’elles tenteront d’accéder aux API Azure AD Graph, sauf si ce paramètre est défini sur false. Pour toutes les applications existantes qui ne termineront pas la migration vers Microsoft Graph en 2024, prévoyez de définir cette configuration maintenant.  

Si vous devez rechercher des applications dans votre locataire à l’aide des API Azure AD Graph

Nous avons fourni deux recommandations Entra qui affichent des informations sur les applications et les principaux de service qui utilisent activement les API Azure AD Graph dans votre locataire. Ces nouvelles recommandations peuvent vous aider à identifier et à migrer les applications et les principaux de service concernés vers Microsoft Graph.

Références: 

• Migrer d’Azure Active Directory (Azure AD) Graph vers Microsoft Graph
• Liste de contrôle de planification de la migration des applications Azure AD Graph
• Questions fréquentes sur la migration d’Azure AD Graph vers Microsoft Graph 

Mise à jour importante : abandon d’AzureAD et MSOnline PowerShell 

À compter du 30 mars 2024, les modules Azure AD PowerShell hérités, Azure AD PowerShell Preview et MS Online sont obsolètes . Ces modules continueront de fonctionner jusqu’au 30 mars 2025, après quoi ils seront retirés et cesseront de fonctionner. Microsoft Graph PowerShell SDK remplace ces modules et vous devez migrer vos scripts vers Microsoft Graph PowerShell SDK dès que possible.  

Pour vous aider à identifier l’utilisation d’Azure AD PowerShell dans votre locataire, vous pouvez utiliser la recommandation Entra intitulée Migrer les principaux de service des API Azure AD Graph en cours de retrait vers Microsoft Graph . Cette recommandation affichera les applications des fournisseurs qui utilisent les API Azure AD Graph dans votre Tenant, y compris AzureAD PowerShell. Les journaux de connexion Microsoft Entra peuvent également être utilisés pour identifier les connexions effectuées à partir de MS Online et Azure AD PowerShell dans votre Tenant. Les événements de connexion (interactifs et non interactifs) avec le nom d’application Azure Active Directory PowerShell sont effectués par les clients MS Online et/ou Azure AD PowerShell.   

Nous réalisons des investissements importants, nouveaux et futurs, dans l’expérience PowerShell pour la gestion de Microsoft Entra, avec la préversion publique du module Microsoft Entra PowerShell . Ce nouveau module s’appuie sur le SDK Microsoft Graph PowerShell et propose des applets de commande axées sur les scénarios. Il est entièrement interopérable avec toutes les applets de commande du SDK Microsoft Graph PowerShell, ce qui vous permet d’effectuer des opérations complexes avec des commandes simples et bien documentées. Le module offre également une option de compatibilité descendante pour simplifier la migration à partir du module AzureAD obsolète.

Lancement d’un nouvel abonnement gratuit : Microsoft Entra ID Free 

À compter du 11 décembre 2024, les tenants créés via une inscription aux produits M365 bénéficieront d’un nouvel abonnement intitulé « Microsoft Entra ID Free ». Ce déploiement s’étendra à tous les flux d’inscription aux produits d’ici le 7 février 2025.  

Pour les tenants nouvellement créés, cela apparaîtra dans votre liste d’abonnements de facturation sous « Tous les abonnements de facturation » dans les portails Entra et Azure ou sur la page « Abonnements » dans le centre d’administration M365. Il s’agit d’un abonnement au niveau du tenant sans coût associé et qui ne nécessite aucune action.  

À l’avenir, cet abonnement conservera la trace de tous les nouveaux tenants créés avec le même compte de facturation, ce qui permettra aux clients de conserver un inventaire de tous les nouveaux tenants et de prouver la propriété d’un tenant au cas où les clients perdraient un jour leur accès administratif. Pour plus d’informations sur ce que vous pouvez faire dès maintenant pour trouver tous vos tenants, veuillez consulter https://aka.ms/TenantDiscoveryFAQ .

Améliorer l’expérience utilisateur

Forfaits d’accès suggérés dans Mon Accès

Comme indiqué précédemment , nous sommes ravis de présenter une nouvelle fonctionnalité Microsoft Entra ID Governance dans My Access : une liste organisée de packages d’accès suggérés . Cela permettra aux utilisateurs de visualiser rapidement les packages d’accès les plus pertinents (en fonction des packages d’accès de leurs pairs et des demandes précédentes) sans avoir à parcourir une longue liste. Nous déploierons cette fonctionnalité auprès de tous les clients Microsoft Entra ID Governance sous forme d’aperçu d’ici la fin décembre, avec un message intégré au produit pour mettre en évidence le changement. Vous souhaiterez peut-être mettre à jour toute documentation pertinente pour refléter l’expérience utilisateur actualisée, le cas échéant.

Gouvernance de Microsoft Entra ID

Nouveautés

• Microsoft Entra Connect Sync version 2.4.27.0 est désormais disponible

Annonces de changement

Abandon de la fonctionnalité de création de rapports hybrides Microsoft Identity Manager (MIM) vers le journal d’audit Microsoft Entra

[Une action peut être requise]

La fonctionnalité de création de rapports hybrides MIM , introduite avec Microsoft Identity Manager (MIM) 2016, est en cours d’obsolescence. Cette fonctionnalité permettait à l’agent de création de rapports hybrides MIM d’envoyer des journaux d’événements du service MIM à Microsoft Entra, ce qui permet de générer des rapports pour la réinitialisation du mot de passe à l’aide de la réinitialisation de mot de passe en libre-service (SSPR) et de la gestion de groupe en libre-service (SSGM) dans le journal d’audit Microsoft Entra. Elle est remplacée par l’utilisation de l’agent Azure Arc pour envoyer ces journaux d’événements à Azure Monitor , car cela permet des rapports plus flexibles. À compter de novembre 2025, les points de terminaison cloud utilisés par l’agent de création de rapports hybrides MIM ne seront plus disponibles et les clients devront passer à Azure Monitor ou à un service similaire. Les autres fonctionnalités MIM et Entra ID Connect Health ne sont pas affectées par cette obsolescence.

ID externe Microsoft Entra

Nouveautés

• SMS comme méthode MFA dans Microsoft Entra External ID

Annonces de changement

Améliorations apportées à la collecte d’attributs dans Microsoft Entra External ID

[Aucune action n’est requise]

À partir de janvier 2025, nous sommes ravis d’annoncer une mise à jour importante de la page de collecte d’attributs dans Entra External ID. Lorsque les utilisateurs s’inscrivent, ils verront désormais une étiquette persistante à côté de chaque champ de saisie pour les attributs intégrés et personnalisés. Cette amélioration répond à deux objectifs principaux :

• Accessibilité améliorée : les étiquettes persistantes contribueront à garantir la conformité aux normes d’accessibilité, rendant le processus d’inscription plus convivial pour tous.
• Contexte amélioré :  en étiquetant clairement chaque champ de collection d’attributs avec le nom d’attribut utilisateur correspondant, les utilisateurs disposeront d’un meilleur contexte, en particulier lorsque les valeurs sont préremplies.

Accès privé à Microsoft Entra

Nouveautés

• Politiques d’accès rapide