Veeam a annoncé jeudi que la poursuite de son partenariat avec Microsoft sur la protection des données des clients Azure et Microsoft 365 inclura également une intégration des « services Microsoft Copilot et AI ». Veeam, qui propose diverses solutions de protection des données, à la fois en tant que service et pour des installations sur site, affirme protéger plus de 450 000 clients dans le monde. Les deux entreprises ont signé une collaboration sur les solutions de sauvegarde et de restauration qui répondent aux problèmes de cybersécurité, en plus des protections . Plus précisément, les entreprises collaborent sur les solutions Veeam pour la « protection des données » et la « récupération des ransomwares » pour les clients Microsoft 365 et Azure, mais aussi l’intégration avec les outils d’intelligence artificielle générative Copilot de Microsoft.
« Ce partenariat permettra également de réaliser d’incroyables innovations conjointes, notamment en apportant les capacités de Microsoft Copilot à la famille de produits Veeam« ,
Anand Eswaran le PDG de Veam Software
Les collaborations en matière d’IA comprendront l’intégration de Microsoft Copilot pour générer des « analyses de données automatisées » avec les solutions de sauvegarde et de restauration de Veeam. Les deux entreprises ont également promis de nombreux autres efforts conjoints, tels que « le support intégré des dernières API pour Microsoft 365 Backup Storage » et « le lancement de nouvelles fonctionnalités de sauvegarde et de restauration de Veeam pour Microsoft Azure ».
Les deux entreprises prévoient de commercialiser les solutions de protection et de restauration des données de Veeam pour les utilisateurs de Microsoft 365 et Azure. Il y a également un support commun pour les migrations des clients vers la nouvelle solution de sauvegarde en tant que service Veeam Data Cloud, qui est hébergée sur l’infrastructure Microsoft Azure, offrant des protections de données pour les clients Azure et Microsoft 365. En outre, les clients peuvent utiliser la plateforme de protection des données Kasten de Veeam lors de la migration vers le service Azure Kubernetes de Microsoft.
Depuis l’acquisition officielle de VMware, Broadcom a pris plusieurs mesures : suppression des licences perpétuelles pour des dizaines de produits, retrait des partenaires VMware Cloud et licenciement de milliers de personnes. Aujourd’hui, Broadcom vend son activité « End User Computing » (EUC) à la société d’investissement KKR pour un montant de 4 milliards de dollars. Objectif officiel : « en faire une « société autonome, pour lui permettre d’avoir un meilleur accès au capital de croissance et une orientation stratégique dédiée à l’autonomisation des clients et des partenaires dans le monde entier grâce à des solutions numériques innovantes pour l’espace de travail« . Ils disent tous cela 🙂
EUC englobe deux produits phares de VMware en matière de travail à distance : Horizon, la solution d’infrastructure de bureau virtuel (VDI), et Workspace ONE, la plateforme intégrée phare d' »espace de travail numérique ». Le communiqué précise qu’elle continuera d’être dirigée par son directeur général actuel, Shankar Iyer.
Le repreneur promet de mettre davantage l’accent sur la R&D et sur de « nouveaux partenariats stratégiques », ainsi que sur des « investissements significatifs dans les fonctions de mise sur le marché ». Il prévoit également de lancer un « programme d’actionnariat salarié, qui permettra à tous les salariés d’être propriétaires de leurs entreprises respectives aux côtés de KKR ».
Dans une note interne consultée par Business Insider, Robert Ruelas, vice-président d’EUC, a demandé aux employés de communiquer avec les clients actuels au sujet des changements à venir et d’accélérer les « renouvellements et les commandes supplémentaires » … Pas toujours un signal très positif…
Mardi, Microsoft faisait le point sur la transition de son nom pour Azure Active Directory, qui s’appelle désormais « Entra ID ». Plusieurs changements annoncés : nous aurons un « Microsoft Entra ID Free », un « Microsoft Entra ID P1 », et un « Microsoft Entra ID P2″ le 1er octobre 2023 ». Le changement de nom pour Entra ID devrait être en grande partie terminé « à la mi-novembre de cette année ».
Microsoft a insisté sur le fait que seul le nom change. Il n’y a « aucun changement au niveau des capacités, des licences, des conditions de service ou de l’assistance ». Microsoft propose des conseils aux organisations qui prévoient de renommer Azure AD sur leurs sites de contenu dans ce document. Les produits Entra reçoivent également de nouvelles icônes, qui peuvent être téléchargées (selon les conditions de Microsoft) sur cette page.
Le changement de marque Entra d’Azure AD avait été annoncé publiquement pour la première fois en juillet, alors que le changement de marque général Entra pour les services d’identité de Microsoft ait été introduit l’année dernière
Si la plupart des produits d’identité de Microsoft abandonnent le nom Azure AD au profit d' »Entra ID », il y a quelques exceptions. Ainsi, les noms ne changent pas pour Active Directory, les outils de développement, Azure AD B2C, ni pour les fonctionnalités, caractéristiques ou services obsolètes ou retirés », explique Microsoft dans ce document.
L’un des noms qui ne changent pas est Azure AD B2C. Dans son annonce de mardi, Microsoft a toutefois assuré qu’elle maintenait son « engagement envers le service et nos clients » avec Azure AD B2C. ceci serait sans doute anecdotique, si les commandes PowerShell ne seraient pas elles aussi modifiées à terme. Dans un premier temps pas de panique, Microsoft précise que toutes les URL de connexion existantes, les API, les cmdlets PowerShell et les bibliothèques d’authentification Microsoft ne bougerons pas. Microsoft souhaite cependant que les développeurs passent du module Azure AD PowerShell au module Microsoft Graph PowerShell pour l’administration des tâches d’identité. Le module Azure AD PowerShell sera supprimé le 30 mars 2024. Des conseils pour migrer vers le module Microsoft Graph PowerShell sont disponibles dans ce document.
Microsoft précise aussi que le nom Active Directory ne disparaît pas des environnements locaux.
« Nous continuerons à soutenir et à améliorer Windows Server Active Directory pour la gestion des identités et des accès sur site et la connexion à Azure et à d’autres nuages, car de nombreuses organisations continuent à s’appuyer sur cette solution »,
L’équipe de Microsoft, parlant du changement de nom d’Entra dans la vidéo ci-dessous, a souligné que le changement de nom était principalement motivé par la proéminence de l’accès conditionnel dans les services d’identité et d’accès de Microsoft.
En juillet dernier, Joy Chik, président de l’identité et de l’accès au réseau chez Microsoft, a décrit une « solution Microsoft Security Service Edge » qui sous-tend les services d’identité. Elle expliquait alors, à propos de la solution Security Service Edge, que « nous faisons converger les contrôles de l’identité et de l’accès au réseau afin que vous puissiez créer des politiques d’accès conditionnel unifiées qui étendent toutes les protections et la gouvernance à l’ensemble des identités et des ressources ».
Microsoft a annoncé cette semaine quelques améliorations à assez interessantes pour l’Azure Active Directory :
Les « Converged Authentication Methods »
Cette amélioration promet une gestion centralisée de toutes les méthodes utilisées pour l’authentification et la réinitialisation des mots de passe au lieu d’aller dans les profondeurs des menus pour configurer telle ou telle option comme c’était le cas. Il sera ainsi possible de mieux cibler les usages et les configurations associés par groupes d’utilisateurs.
Les méthodes d’authentification multi-factorielles (MFA) et de réinitialisation de mot de passe en libre-service pourront désormais être gérées dans une meme approche, aux côtés des méthodes sans mot de passe telles que les clés de sécurité FIDO2 et l’authentification basée sur un certificat. Interessant là aussi pour suivre ce que l’on peut établir dans un groupe d’utilisateurs pilotes. Microsoft précise aussi dans son annonce que les méthodes d’authentification convergentes centralisent également la gestion de méthodes d’authentification multiples telles que les SMS, les appels vocaux, les logiciels tiers OATH et l’OTP par email.
Microsoft en profite pour « conseiller » (sachant qu’en 2024 l’entreprise annonce la suppression des anciennes méthodes d’authentifications) d’améliorer votre sécurité en abandonnant les SMS et la voix et d’activer des méthodes plus sûres comme Microsoft Authenticator et les clés de sécurité FIDO2…
La protection par jeton pour les ouvertures de sessions
L’idée derrière la protection des jetons pour les sessions de connexion est de lier un jeton à l’appareil auquel il est destiné afin de contrecarrer l’utilisation de jetons volés, comme l’explique Microsoft.
« La protection des jetons garantit que les jetons ne peuvent être utilisés que sur l’appareil auquel ils sont destinés. Lorsqu’elle est appliquée par le biais de politiques d’accès conditionnel, les jetons autorisant l’accès aux ressources doivent provenir de l’appareil sur lequel l’utilisateur s’est connecté à l’origine. Vous bénéficiez ainsi de la meilleure protection possible pour vos utilisateurs et vos données de grande valeur contre les violations impliquant le vol de jetons« .
Ceci (en preview donc) ne fonctionne actuellement qu’avec les applications Office 365 : Exchange et SharePoint, et il se concentre uniquement sur le blocage des jetons de rafraîchissement du client Windows (10 ou 11). Cependant, Microsoft prévoit d’étendre ses protections à davantage d’applications et de données, d’autres plateformes clients (Mac, iOS, Android et Linux) et d’autres types de jetons dans un avenir proche. Quand à l’application phare de l’éditeur, à savoir Teams, se sera « pour bientôt » sans plus de précisions.
Enfin, un nouveau rapport d’activité « suspecte »
Microsoft a mis à jour sa fonction d’alerte à la fraude MFA existante avec une nouvelle capacité de rapport d’activité suspecte, qui a été publiée en beta. Elle fonctionne avec le service Azure AD Identity Protection.
La nouvelle fonction Report Suspicious Activity permet aux utilisateurs finaux de signaler les invites MFA suspectes lorsqu’elles sont reçues via un téléphone ou même via le Microsoft Authenticator. Ces rapports placent l’utilisateur dans la catégorie « utilisateur à haut risque » et les administrateurs peuvent alors prendre des mesures, telles que limiter l’accès de l’utilisateur ou activer le changement de mot de passe obligatoire. Ces activités suspectes apparaitront dans le rapport de connexion comme le précise Microsoft Microsoft dans ce document.
Si vous hébergez en interne des machines virtuelles, cette annonce de Microsoft ne vous laissera pas indifférent… En effet Hotpatch permet de mettre à jour une machine virtuelle Windows Server sans redémarrage. Ingénieux, Hotpatch peut réaliser cet exploit parce qu’il applique le correctif en mémoire, ce qui ne perturbe pas les processus en cours.
Microsoft a annoncé en fin de semaine dernière que sa fonctionnalité Hotpatch est désormais disponible en beta publique ppour les utilisateurs de Windows Server 2022 Datacenter Azure Edition avec l’option d’installation « Desktop Experience », ainsi que logiquement pour les utilisateurs d’Azure Stack HCI.
Microsoft avait déjà publié la fonctionnalité Hotpatch pour les utilisateurs de Windows Server 2022 Datacenter Azure Edition, mais elle ne fonctionnait qu’avec l’option d’installation Headless Server Core pour les machines virtuelles Windows Server. Désormais, elle fonctionnera également si la machine virtuelle Windows Server a été installée à l’aide de ce que l’on appelle Desktop Experience, qui ajoute des capacités de gestion de l’interface utilisateur graphique ce qui est sans doute plus courant en particulier pour des machines servant aux développeurs et aux accès en mode « terminal ».
Cette beta de Hotpatch pour les machines virtuelles Windows Server avec Desktop Experience est disponible dans la galerie Microsoft Azure Marketplace.
Microsoft fournit également des instructions d’installation pour Hotpatch lorsqu’il est utilisé avec des « machines virtuelles construites à partir d’une ISO » pour Windows Server 2022 Datacenter Azure Edition dans ce document. pour ce qui est du déploiement sur Azure Stack HCI il faudra encore patienté pour obtenir un mode opératoire détaillé comme le précise Microsoft :
Si votre entreprise utilise Windows Server Update Services (WSUS) ou Configuration Manager elle devrait recevoir la semaine prochaine un téléchargement de 10 Go qui donnera le coup d’envoi de la plate-forme de mise à jour unifiée (UUP) de Windows 11 version 22H2. Et après le 28 mars, toutes les futures mises à jour locales de Windows 11 version 22H2 suivront l’approche de service UUP.
Microsoft annonce également que les mises à jour mensuelles seront réduites de 30 %, et un seul redémarrage sera nécessaire pour les intégrations de mises à jour de fonctionnalités. Les packs linguistiques et les fonctionnalités à la demande seront conservés lors des mises à jour de fonctionnalités. Très interessant également, Microsoft promet que le nouveau schéma de service UUP permettra de réparer les corruptions dans la mise à jour cumulative combinée en utilisant le contenu stocké sur les points de distribution.
L’UUP existe depuis des années et a surtout été présenté comme un moyen de réduire la taille des mises à jour de Windows. Microsoft vante désormais les autres avantages de l’UUP, décrits ci-dessus. Selon Microsoft, l’UUP sur site facilitera également les mises à jour pour les systèmes Windows « air-gapped » (non connectés à l’internet).
Le téléchargement de 10 Go dans les points de distribution de logiciels des entreprises aura donc lieu le 28 mars via une mise à jour de sécurité que les entreprises ont probablement déjà reçue la semaine dernière (le 14 mars). Le nom et le contenu de la mise à jour de sécurité KB5023706 du 28 mars seront identiques à ceux de la version KB5023706 du 14 mars (à l’exception de la taille du fichier) et elle remplacera donc logiquement cette version. Mais attention, histoire de compliquer un peu la chose, même si la mise à jour de sécurité du 28 mars remplacera celle du 14 mars, Microsoft demande aux entreprises des conserver la version du 14 mars qui est nécessaire pour bénéficier des avantages de l’UUP… Pourquoi faire simple 🙂
Il sera possible de définir des approbations automatiques pour les mises à jour WSUS, via la console d’administration WSUS. Si votre entreprise souhaite utiliser Microsoft Connected Cache avec ces mises à jour de Windows 11 version 22H2, elle doit là encore logiquement s’assurer que WSUS est mis à jour avec la mise à jour KB5003217.
Enfin autre changement, les mises à jour cumulatives seront publiées dans le Microsoft Update Catalog sous la forme d’un fichier MSU uniquement. Microsoft cessera donc à l’avenir de publier des fichiers au format CAB pour ces mises à jour.
Microsoft vient d’annoncer la version beta publique de Windows Autopatch. Pour une disponibilité prévue cet été.
Le principe de Windows Autopatch est que Microsoft prenne en charge une grande partie de la mise à jour mensuelle pour les entreprises, y compris les correctifs de qualité et de sécurité. Le service doit gèrer également les mises à jour automatiques des pilotes mais aussi les mises à jour des fonctionnalités…
Attention ceci est destiné uniquement aux organisations utilisant les éditions Windows 10 et Windows 11 Enterprise, et éventuellement aussi Microsoft 365 E3/E5. Les organisations disposant de telles licences et remplissant les conditions préalables d’Autopatch peuvent utiliser Windows Autopatch, qui sera mis à leur disposition sans frais supplémentaires.
Microsoft a récemment donné quelques restrictions sur le fonctionnement du système :
Autopatch ne gère pas tous les besoins en correctifs d’une organisation. On s’en doutait un peu mais c’est aussi le cas pour les applications intégrées comme par exemple le navigateur Microsoft Edge et Microsoft Teams qui ont leurs propres mécanismes de correction et ne font pas partie du service Autopatch, par exemple.
Il n’est pas prévu de prendre en charge Windows Server avec Autopatch.
Les scénarios BYOD (bring-your-own device) ne sont pas actuellement pris en charge.
Les appareils avec un domaine local pur ne sont pas pris en charge. Il est nécessaire que les appareils soient joints via Azure AD ou Azure AD synchronisé avec Active Directory local.
Autre points importants :
Autopatch se charge de regrouper et de trier les périphériques pour cibler les mises à jour de fonctionnalités de Windows avec un petit groupe d’utilisateurs avant un déploiement plus important du système d’exploitation.
En ce qui concerne les mises à jour d’Office 365, Autopatch se contente d’appliquer les correctifs mensuels du canal entreprise. Il n’y a pas de test préliminaire sur un nombre plus réduit de personnes sur d’autres canaux .
Logiquement Autopatch est basé sur Windows Update for Business mais est simple à utiliser ainsi que le précise Heather Poulsen, responsable de la communauté technique de Microsoft :
« Windows Autopatch exploite Windows Update for Business et d’autres composants de service pour mettre à jour les appareils. Il fournit simplement une solution pour les entreprises qui recherchent une approche plus automatisée et ‘sans intervention’ pour déployer les mises à jour. Ceux qui veulent ou doivent gérer et personnaliser l’expérience de mise à jour — en utilisant des outils tels que Windows Update for Business, Microsoft Endpoint Manager et WSUS — peuvent continuer à le faire.«
Microsoft a profité mardi de sa conférence sur l’avenir du travail hybride pour annoncer de nouvelles fonctions à son offre Microsoft 365 afin de permettre d’une part une meilleure gestion de l’ensemble des terminaux, mais aussi afin de rentre plus attractive l’offre. Et c’est vrai que sur le papier au moins ces nouvelles fonctions semblent assez interessantes.
Remote Help
Pour commencer, Microsoft a démontré une nouvelle application appelée « aide à distance » (Remote Help) qui est liée à Endpoint Manager et permet aux services d’assistance de se connecter aux PC des employés en toute sécurité (liaison sécurisée et partage de code éphémère). L’intégration avec Endpoint Manager garantit que les connexions peuvent être effectuées sur des PC gérés dans le cloud ou sur des machines sur site, avec des contrôles d’accès basés sur les rôles (RBAC) fonctionnant en tandem avec un modèle de sécurité Zero Trust. Cette fonction est disponible immédiatement.
L’objectif final est de faire d’un terminal le lieu de travail et d’utiliser les connaissances et l’intelligence artificielle pour résoudre les problèmes de manière proactive plutôt que d’attendre qu’un employé contacte le service d’assistance.
VPN à la demande sur des machines perso
Avec les modification sur l’environnement de travail qui devient de plus en plus « hybride », nous l’avons tous constaté, de nombreux employés utilisent des appareils mobiles personnels pour accéder aux ressources de l’entreprise. Microsoft ajoute maintenant une couche d’abstraction de sécurité sur ce processus en permettant aux administrateurs d’activer des connexions VPN pour les appareils mobiles perso via Microsoft Tunnel. Une limite, cependant, cette fonctionnalité nécessitera l’usage du navigateur Microsoft Edge sur leur mobile. Mais en revanche cela sera ouvert également aux machines Linux. Linux perso pour accéder aux ressources de l’entreprise, on est à mon avis plutôt sur un usage de niche mais bon… Tout est bon pour montrer que Microsoft et Linux « c’est du solide » 🙂
Microsoft affirme que sa solution est unique car elle conjugue authentification forte via Azure Active Directory , l’expertise de l’entreprise en matière de politiques de protection des applications mobiles natives et de la validation des identités d’entreprise via un VPN.
Gestion des Smartphones AOSP
D’autres fonctionnalités de gestion des terminaux ont été également annoncées. Les administrateurs pourront désormais fournir des appareils Android Open-Source Project (AOSP) en version publique avec un accès conditionnel aux ressources de l’entreprise. De même, les personnes qui possèdent plusieurs comptes pourront bientôt accéder aux ressources avec des limites et des politiques de protection des données appropriées.
Notifications des administrateurs
Retour d’une fonction vieille comme le monde des réseaux locaux (Lan Manager et Netware pour ceux qui s’en souviennent et étaient nés à cette époque…), les administrateurs pourront envoyer des messages ciblés aux utilisateurs de Windows 11 sur le bureau, sur l’écran de verrouillage et au-dessus de la barre des tâches à l’aide de Endpoint Manager. L’idée est d’améliorer la communication en offrant un canal encore plus direct.
Windows Autopath
Windows Autopatch est un nouveau service qui sera également disponible pour les licences Windows E3 en juillet 2022. Il permettra aux administrateurs de s’assurer que les terminaux sont sains et conformes grâce à des déploiements échelonnés. Les administrateurs auront également la possibilité d’annuler facilement les mises à jour si quelque chose ne va pas.
Nouvelles automatisations
Enfin, Microsoft travaille également sur trois initiatives d’automatisation. La première permettra aux employés de disposer temporairement de privilèges d’administrateur local pour des tâches spécifiques, avec des règles et des capacités de surveillance pour les administrateurs. Ensuite, la gestion du cycle de vie des certificats sera plus rationalisée. Enfin, les organisations seront en mesure de configurer et d’automatiser la gestion de la vulnérabilité des périphériques.
Microsoft continuera à parler de ces fonctionnalités et à les déployer sous forme de modules complémentaires aux différents plans Microsoft 365 existants. Mais dès qu’un nombre « suffisant » de fonctionnalités sera disponible, elles seront regroupées sous forme d’une combinaison autonome à acheter.
Parce qu’il n’y a pas que le cloud dans la vie 🙂 Microsoft vient de rendre disponible sa dernière version de sa suite d’administration System Center. Sans surprise cette version 2022 intègre des améliorations des composants : System Center Operations Manager (SCOM), Virtual Machine Manager (VMM), System Center Orchestrator (SCORCH), Service Manager (SM) et Data Protection Manager (DPM). Mais elle offre aussi de nouvelles fonctionnalités centrés en particulier sur Azure Stack HCI et les déploiements VMWare. L’éditeur indique fournir aussi de nouvelles documentations intégrées pour offrir, je cite : « un meilleur contrôle de l’administration de l’environnement et une collaboration accrue avec les équipes DevOps« .
Nous reviendrons sur tout ceci lors du prochain Briefing Calipia, en particulier sur une session dédiée faisant le point sur Azure Stack. Mais voici quelques améliorations :
Capacités de contrôle d’accès améliorées dans SCOM facilitent la gestion des autorisations sur les données de surveillance et les actions d’alerte.
Intégration des alertes avec Microsoft Teams : les développeurs peuvent être informés des alertes concernant leurs applications sur les canaux Teams.
Possibilité d’attribuer des adresses IPv4 et IPv6 aux déploiements de réseaux définis par logiciel (SDN) avec VMM
Prise en charge de Windows Server 2022 (cette version de plus nécessite cette plateforme)
Prise en charge des hôtes VMware 7.0 et des dernières distributions Linux.
Prise en charge de la gestion d’Azure Stack HCI 21H2
Il est ainsi possible de créer, configurer et enregistrer les clusters HCI 21H2, contrôler les machines virtuelles sur les clusters HCI, configurer les contrôleurs SDN et gérer les pools de stockage à partir de VMM. Il existe de nouveaux packs de gestion dans SCOM pour surveiller les clusters Azure Stack HCI. Pour protéger les machines virtuelles sur les clusters Stack HCI, il est désormais aussi possible d’utiliser Microsoft Azure Backup Server.
Bonne nouvelle si votre entreprise est équipée de machine Microsoft Surface et que vous utiliser la solution Endpoint Manager, Microsoft a ajouté un nouveau portail de gestion des Surface au sein du produit Microsoft Endpoint Manager. Ce nouveau portail fournit des informations sur tous les appareils Microsoft Surface pris en charge, qu’il s’agisse d’appareils Surface deux-en-un, d’ordinateurs portables ou même d’appareils de conférence Surface Hub de Microsoft. Le portail de gestion Surface est disponible pour les abonnés à Microsoft Endpoint Manager. Autre précisions qui va sans doute de soit : les appareils Surface doivent être inscrits via Microsoft Intune, pour que le nouveau portail fonctionne.
Le portail de gestion Surface fournit affiche les informations suivantes :
Actions requises
Périphériques Surface inactifs
Statut de conformité de la politique des périphériques
Limites de stockage basses sur les appareils
les garanties Surface qui arrivent à expiration.
Il est aussi possible pour les administrateurs de créer des tickets d’assistance matérielle pour les appareils Surface directement dans le portail de gestion Surface.
Le portail comprend également un nouveau hub d’information ainsi que le précise l’équipe Surface :
« Grâce à la fonction d’actualités du portail de gestion Surface, les clients peuvent désormais se tenir au courant des dernières mises à jour de l’équipe d’ingénieurs Surface, élaborées uniquement pour le public informatique de l’entreprise« ,
Calipia : le blog 