Diagnostic d’un archivage inefficace dans Exchange Online

Dans un environnement Exchange Online, j’ai observé un cas où l’archivage In-Place était activé sur une boîte aux lettres, mais sa taille ne diminuait pas. Autrement dit, même après avoir coché l’option d’archivage, les messages restaient dans la boîte principale. Ce comportement surprenant peut résulter de tags de rétention mal configurés, d’un hold actif ou d’un problème lors du traitement par le Managed Folder Assistant (MFA). Je vous présente ici un retour d’expérience détaillé, illustré par les outils de diagnostic PowerShell et MFCMAPI, afin d’identifier la cause racine de ce dysfonctionnement.

Extraction des logs diagnostics et interprétation des propriétés ELC

Pour investiguer, j’ai utilisé la cmdlet PowerShell Export-MailboxDiagnosticLogs -ExtendedProperties, qui exporte de nombreuses propriétés de la boîte aux lettres pour le diagnostic. Par exemple, Tony Redmond illustre cette approche en important le log au format XML et en filtrant les propriétés dont le nom commence par “ELC” (pour Email Lifecycle)practical365.com. Ces propriétés ELC reflètent l’activité du MFA sur la mailbox : durée de traitement, nombre d’éléments taggés, archivés ou supprimés lors de la dernière exécution, etc.

Les principales propriétés clés sont :

• ElcAssistantLock : indique si le MFA est verrouillé (1) ou non (0) sur la boîte.
• ElcFaiSaveStatus / ElcFaiDeleteStatus : statut de la création/suppression de l’élément FAI (Folder Associated Item) caché pour les tags de rétention. Par exemple SaveSucceeded signifie que le MFA a créé/mis à jour le FAI lors de cette passe.
• ElcLastRunArchivedFromRootItemCount : nombre de messages déplacés depuis la boîte principale vers l’archive lors de la dernière exécution du MFA. (Similairement, les compteurs “Deleted” et “Tagged” indiquent respectivement les suppressions et étiquetages réalisés.)

Première exécution de Export-MailboxDiagnosticLogs (avant traitement MFA). On voit ici que **toutes les valeurs “ElcLastRunItemCount” sont à 0** et ElcFaiSaveStatus = SaveNotAttempted. Cela signifie que le MFA n’a encore appliqué aucun tag ou archivage. En particulier, ElcAssistantLock = 0, confirmant que l’assistant n’était pas en cours d’exécution au moment du log.

Seconde capture après que le MFA a été lancé. On constate que ElcFaiSaveStatus = SaveSucceeded, indiquant que l’élément FAI a été créé/mis à jour. Le compteur ElcLastRunArchivedFromRootItemCount = 918 (flèche rose non présente ici) montre que 918 messages ont été déplacés vers l’archive lors de cette exécution. Les autres compteurs affichent le détail : par exemple ElcLastRunDeletedFromRootItemCount = 495 (éléments supprimés), et 4263 éléments ont été taggés pour suppression (TaggedWithExpiry). Cela montre qu’après activation des tags de rétention, le MFA a bien traité un volume important de messages.

Troisième capture (exécution suivante). ElcAssistantLock = 1 (flèche rose) indique que le MFA était en cours d’exécution lors de la collecte du log. Cette passe n’a pas déplacé de nouveaux éléments (ElcLastRunArchivedFromRootItemCount = 0), mais on observe un pic de 67068 éléments taggés pour suppression (ElcLastRunTaggedWithExpiryItemCount), et un temps de traitement très élevé. Le statut ElcFaiSaveStatus = SaveNotAttempted suggère que le FAI n’a pas été modifié à nouveau ce jour-là. Autrement dit, le MFA a détecté un grand nombre de messages à traiter (vraisemblablement en fonction des tags existants), sans actualiser le FAI ni archiver supplémentaire.

Dans l’ensemble, ces logs ELC montrent qu’un traitement MFA s’est bien déclenché et a appliqué les tags/archives sur plusieurs milliers de messages, mais que la seconde exécution n’a fait qu’étiqueter un très grand nombre d’éléments sans mouvement additionnel. La présence du verrou (ElcAssistantLock = 1) et les compteurs élevés confirment que l’assistant tourne normalement.

Vérification manuelle avec MFCMAPI (PR_RETENTION_DATE)

Pour comprendre pourquoi les éléments tagués n’ont pas été déplacés, j’ai donc inspecté manuellement la propriété PR_RETENTION_DATE d’un message via MFCMAPI. Cette propriété (visible uniquement si un tag personnel ou de boîte a été appliqué) donne la date et l’heure de suppression programmée de l’élément. Par exemple, dans la capture ci-dessous (boîte de “Michael N.”), on voit PR_RETENTION_DATE = 01/10/2024 pour un e-mail (flèche rose). Cela signifie qu’à cette date (en UTC) le message devait expirer selon le tag en vigueur.

Capture MFCMAPI de la boîte de “Michael N.” La flèche rose pointe la propriété PR_RETENTION_DATE d’un e-mail, ici positionnée au 1er octobre 2024. Cette valeur renseigne la date d’expiration effective de l’élément selon le tag de rétention appliqué.

L’observation clé est que les dates de rétention de ces messages sont toutes postérieures au moment du diagnostic. En d’autres termes, même si le MFA a correctement tagué de nombreux messages (comme le montre les logs ELC), ceux-ci ne seront archivés/supprimés qu’à l’échéance de PR_RETENTION_DATE. Tant que cette date n’est pas atteinte, les éléments restent dans la boîte principale.

Analyse croisée et interprétation

La corrélation entre les logs ELC et les dates PR_RETENTION_DATE explique le comportement constaté. Les logs montrent des dizaines de milliers de messages marqués pour suppression (“TaggedWithExpiry”), mais MFCMAPI révèle que la plupart de ces messages sont encore loin de leur date d’expiration.

Autrement dit, aucun conflit technique n’empêchait le MFA de traiter la boîte : l’assistant a tourné et appliqué les tags. Le retard dans l’archivage provient simplement du fait que les tags appliqués ont des durées très longues. Par exemple, si un tag “Supprimer au bout de 365 jours” a été appliqué en mai 2023, la PR_RETENTION_DATE est en octobre 2024, d’où le report du déplacement.

Il n’a pas non plus été nécessaire de forcer l’archivage : le MFA s’exécute automatiquement en cloud (au moins une fois par semaine). Cependant il faut vérifier que RetentionHoldEnabled est à False et qu’ElcProcessingDisabled est False (via Get-Mailbox | fl *Retention*), éliminant un hold éventuel. J’ai également vérifié les tags existants : Microsoft rappelle que les tags désactivés ou configurés en “Never delete/archive” ont priorité et empêchent toute action. Dans notre cas, aucun tag n’était en « jamais archiver » et la politique de rétention utilisée contenait des tags personnels dont la durée, bien que longue, était valide.

En résumé, le diagnostic croisé montre que le MFA fonctionne correctement. Le problème d’« archivage inefficace » tenait au paramétrage des tags : les messages n’étaient pas encore arrivés au terme de leur rétention.

Conclusion et recommandations

Pour diagnostiquer et corriger ce type de situation, il faut retenir plusieurs bonnes pratiques :

• Collecter les logs MFA avec Export-MailboxDiagnosticLogs -ExtendedProperties pour visualiser les compteurs ELC (comme vu ci-dessus). Cela confirme si l’assistant a réellement traité la boîte (présence d’un timestamp et de compteurs non nuls).
• Examiner les propriétés PR_RETENTION_DATE via MFCMAPI ou script (par exemple, avec Get-MessageTrace ou Get-MailboxFolderStatistics) pour vérifier si les dates d’expiration sont atteignables. Un PR_RETENTION_DATE dans le futur explique un archivage différé.
• Forcer manuellement le MFA si besoin (cmdlet Start-ManagedFolderAssistant -Identity <utilisateur> -Archive) et patienter quelques heures pour voir l’effet.
• Vérifier les tags de rétention associés à la boîte : s’assurer qu’aucun tag n’est désactivé et qu’aucun tag “Never” (jamais archiver/supprimer) ne bloque le traitement. Contrôler les durées des tags : les plus longues priment sur les plus courtes.
• Vérifier les propriétés de la boîte : s’assurer que RetentionHoldEnabled et ElcProcessingDisabled sont à False, afin de ne pas empêcher MFA (comme décrit par Microsoft).
• Surveiller l’interface utilisateur : après traitement, on peut aussi confirmer visuellement dans Outlook que les tags sont appliqués aux messages (dans OWA, les tags de rétention apparaissent avec leurs dates d’expiration).

En appliquant ces contrôles, on peut isoler rapidement la cause racine d’un archivage qui ne se matérialise pas.

1. Intelligence Artificielle (IA) et Agents Autonomes

• Agents IA : Les systèmes d’IA deviendront plus autonomes, anticipant les besoins et agissant de manière proactive, transformant ainsi les interactions professionnelles et personnelles.
• Intégration Multimodale : Les modèles d’IA seront capables de traiter simultanément du texte, des images, de l’audio et de la vidéo, améliorant ainsi la compréhension contextuelle et les interactions humaines. (J’attends avec impatience l’intégration miniaturisé dans un casque VR grand public par exemple)

2. Modèles de Consommation en plus Flexibles

• Financement Basé sur la Consommation : Les modèles “as-a-service” et les solutions de financement flexibles deviendront la norme, offrant aux entreprises une plus grande adaptabilité face aux pressions économiques.

3. Cybersécurité

• Menaces Alimentées par l’IA : Les cyberattaques utilisant l’IA deviendront plus sophistiquées, posant des défis significatifs aux mesures de sécurité actuelles. Stay tuned surtout !
• Défenses Améliorées : Parallèlement, l’IA sera utilisée pour renforcer les mécanismes de cyberdéfense, permettant de détecter et de contrer les menaces de manière plus efficace. Voir ce vous faire gagner du temps pour les traiter.

4. Convergence Technologique

• Intégration de Technologies Avancées : Une convergence de l’IA, de l’informatique quantique, de la robotique et de la digitalisation du monde physique transformera divers aspects de la vie quotidienne et professionnelle. On l’a vu avec Optimus (le Robot Tesla) mais il va falloir attendre encore un peu pour en avoir un chez soi… et pousser encore plus loin la domotique question d’Acceptance Factor aussi

5. Réglementation et Éthique de l’IA et de l’UE

• Cadres Réglementaires Renforcés : Des réglementations mondiales plus strictes seront mises en place pour encadrer l’utilisation de l’IA, mettant l’accent sur la transparence, l’éthique et la responsabilité.
• NIS2 & DORA : Application des normes seront appliquées, donc beaucoup de chantier autour de ces sujets là également.

Hi folks,

Souvent on me demande s’il est possible de trouver les comptes des utilisateurs non utilisés, je vous propose ici de voir cela avec un exemple des comptes invités qui sont en grande partie non utilisés sur les environnements, ou bien qui sont utilisés très ponctuellement.

Notre objectif est donc de les identifier et les gérer, notamment en les ajoutant à un groupe pour faciliter leur suppression ou autre action. Mais surtout pas de tous les supprimer… Après vous avez la sauvegarde peut-être sinon c’est dans la corbeille Entra ID pour 30 jours.

1. Créer un groupe cible

• Créez une liste de distribution ou un groupe Microsoft 365 pour regrouper les comptes invités inactifs.
• Vous pouvez utiliser le centre d’administration Exchange/Microsoft 365 ou des cmdlets PowerShell tels que :
  • New-DistributionGroup pour une liste de distribution.
  • New-UnifiedGroup pour un groupe Microsoft 365.

2. Identifier les comptes invités inutilisés :

• Utilisez le cmdlet Get-MgUser du Microsoft Graph PowerShell SDK pour récupérer les comptes invités.
• Filtrez les comptes :
  • Ceux qui n’ont pas signé depuis plus d’un an.
  • Ceux qui n’ont jamais signé (optionnel) mais souvent le cas.
• Exemple de script pour filtrer :
  • $CheckDate = (Get-Date).AddYears(-1)
  • [array]$InactiveGuests = Get-MgUser -All -PageSize 500 -Filter "signInActivity/lastSignInDateTime le $($Checkdate.ToUniversalTime().ToString("yyyy-MM-ddThh:mm:ssZ"))" -Property Id, Mail, displayName, userPrincipalName, signInactivity, UserType
  • $InactiveGuests = $InactiveGuests | Where-Object {$_.userType -eq 'Guest'}
• Éliminez les faux positifs en filtrant les comptes sans adresse e-mail.
  • $InactiveGuests = $InactiveGuests | Where-Object {$null -ne $_.Mail}

3. Ajouter les comptes inutilisés à un groupe :

• Pour une liste de distribution :
  • ForEach ($Id in $InactiveGuests.Id) { Add-DistributionGroupMember -Identity Inactive.Guests.DL -Member $Id -ErrorAction SilentlyContinue }
• Pour un groupe Microsoft 365 :
  • Add-UnifiedGroupLinks -Identity Inactive.Guests.Group -Links $InactiveGuests.Id -LinkType Member
• Désactivez les messages de bienvenue pour éviter de confondre les utilisateurs :
  • Set-UnifiedGroup -Identity Inactive.Guests.Group -UnifiedGroupWelcomeMessageEnabled:$False

4. Automatisation et suivi :

• Planifiez un traitement régulier (par exemple, via un runbook Azure Automation) pour maintenir la liste des invités inactifs à jour.

Suppression des comptes :

• Avant de supprimer, examinez les comptes pour éviter de retirer des comptes importants (par exemple, ceux utilisés uniquement pour des échanges par e-mail).
• Exportez les données dans un fichier CSV pour validation avant suppression.
• Exemple de script pour suppression :
  • [array]$InactiveGuests = Import-CSV "c:\temp\GuestAccountsToRemove.csv" ForEach ($Account in $InactiveGuests) { Remove-MgUser -UserId $Account.Id }

Remarques :

• Tous les comptes inactifs ne doivent pas être supprimés automatiquement. Certains peuvent avoir une raison valable d’être inactifs.
• La suppression est réversible pendant 30 jours via l’interface Entra Admin Center.
• MAIS SURTOUT – Pensez a mettre en place de la gouvernance des identités.

Stay tuned !

Le Microsoft Ignite 2024, c’est l’évènement annuel de Microsoft qui “annonce” et met en avant leur évolution, il réuni plus de 200 000 participants (dont 14 000 en présentiel), met l’accent sur les innovations en intelligence artificielle (IA) et en sécurité. L’événement a pour cette année dévoilé des outils pour développeurs, des fonctionnalités pour Microsoft 365 Copilot, ainsi que des solutions matérielles intégrant l’IA. Bref une masse de news à suivre !

1. Microsoft 365 Copilot et Agents

Agents dans Microsoft 365

• Agents SharePoint : Permettent de créer des agents automatisés liés à des fichiers, dossiers ou sites SharePoint spécifiques. Ces agents respectent les permissions et labels de sensibilité.
• Facilitateur Teams (en préversion) : Prend des notes collaboratives en temps réel et résume les conversations.
• Interprète Teams (disponible début 2025) : Fournit des traductions en neuf langues avec simulation vocale.
• Agent Gestion de projets : Automatisation complète dans Planner (création de plans, suivi, notifications).

Copilot Studio

• Agents autonomes : Agissent sans interaction humaine répétée, déclenchés par des événements (ex. : réception d’email, ajout de fichier).
• Bibliothèque d’agents : Modèles préconfigurés pour les processus métier courants (gestion des congés, accélération des ventes).
• Microsoft 365 Agents SDK : Développement multicanal (Teams, web, applications tierces) avec Azure AI et Semantic Kernel.

Nouvelles fonctionnalités intégrées

• Copilot dans Excel : Création de feuilles de calcul sur mesure avec modèles automatiques.
• Teams : Résumé automatique des fichiers partagés en chat, respectant les politiques de sécurité.
• PowerPoint :
  • Traduction des présentations en 40 langues.
  • Narrative Builder pour générer des diapositives complètes avec transitions et notes.
• Outlook : Planification automatique (ex. : focus time, réunions) et génération d’agendas.

2. Azure et Intelligence Artificielle

Azure AI Foundry

• SDK Azure AI Foundry (préversion) : Outils unifiés pour personnaliser, tester et gérer des applications IA.
• Portail Azure AI Foundry : Interface centralisée pour la gestion des modèles et des ressources.
• Azure AI Agent Service (préversion) : Orchestration et déploiement d’agents d’entreprise avec options comme BYOS (Bring Your Own Storage).

Modèles et collaborations IA

• Azure AI Model Catalog : Ajout de modèles sectoriels (santé, agriculture, finance) et intégration avec des partenaires comme Gretel et Scale AI pour accélérer le fine-tuning des modèles.
• Azure AI Search :
  • Génération améliorée par réécriture de requêtes.
  • Intégration avec GitHub Marketplace pour une gestion simplifiée des indices de recherche.

3. Infrastructure et Calcul Haute Performance

Infrastructures hybrides

• Azure Local : Successeur d’Azure Stack, cette plateforme hybride permet d’exécuter des applications natives au cloud et des charges critiques dans des environnements distribués.
• Intégration avec Azure Arc pour la gestion centralisée de données et d’applications sur des infrastructures multicloud.

VMs de nouvelle génération

• ND GB200 V6 (basées sur NVIDIA Blackwell) :
  • Idéal pour le traitement des modèles IA avancés.
  • Optimisation de la performance pour le training et l’inférence.
• HBv5 VMs (basées sur AMD EPYC Zen4) :
  • Jusqu’à 8x plus rapides que les solutions cloud concurrentes.
  • Mémoire haute bande passante (HBM) pour les charges HPC.

Conteneurs et GPU Serverless

• Azure Container Apps :
  • GPU Serverless (préversion) : Évolutivité à la demande avec facturation à la seconde.
  • Sessions dynamiques : Environnements sécurisés pour exécuter du code généré par des modèles LLM.

4. Sécurité et Gouvernance IA

Azure AI Content Safety

• Évaluation des risques sur les contenus générés (texte, image, multimodal).
• Filtrage et ajustement des données d’ancrage pour des déploiements conformes et sûrs.

Rapports de gouvernance IA

• Génération de rapports (PDF/SPDX) consolidant les versions de modèles, cartes de modèles et métriques d’évaluation.

Copilot Analytics

• Copilot Business Impact Report : Analyse l’utilisation des outils IA en fonction des KPI métier (ventes, marketing, finance).
• Intégration avec Viva Insights pour mesurer la productivité.

---

En faisant un focus sur la partie sécurité qui est un des enjeux plus que majeur de la période actuelle et futur voici ce qui a été annoncé

5. Approche globale de la sécurité

Microsoft a réaffirmé son engagement à la sécurité à travers les principes SFI (Secure Future Initiative) :

• Secure by Design : Intégration de la sécurité dès la conception des produits.
• Secure by Default : Configuration initiale optimisée pour la sécurité.
• Secure Operations : Surveillance et gestion active des risques en production.

Plus de 34 000 ingénieurs chez Microsoft travaillent exclusivement sur des initiatives de sécurité.

6. Sécurité dans Microsoft 365 et Copilot

Copilot Analytics

• Impact et gouvernance de l’IA :
  • Copilot Analytics fournit des tableaux de bord pour suivre l’adoption et les usages des outils d’IA.
  • Rapports détaillés sur les tendances et les actions suggérées, consolidés dans le Microsoft 365 Admin Center.

Protection des données

• Les fonctionnalités Copilot dans Teams, SharePoint et Outlook respectent strictement les permissions d’accès et les labels de sensibilité pour éviter le partage involontaire de données sensibles.

Copilot Control System (préversion)

• Contrôles de gestion des agents : Administration centralisée des données utilisées par Copilot pour garantir leur conformité.
• Protection des données : Les intégrations avec Azure AI Search et Microsoft Purview assurent une gouvernance des données conforme aux exigences réglementaires.

7. Azure et Sécurité IA

Azure AI Content Safety (préversion)

• Détection des risques liés au contenu généré par des modèles multimodaux (texte, images, vidéos).
• Évaluation de la fréquence et de la gravité du contenu potentiellement préjudiciable (même pour des cas complexes comme des mèmes ou des images annotées).
• Personnalisation des filtres de sécurité grâce à Azure AI Content Safety pour mieux contrôler les résultats des modèles d’IA.

Rapports de gouvernance et conformité

• AI Reports : Création de rapports consolidés contenant des détails sur :
  • Les cartes de modèles, versions, configurations des filtres de contenu et métriques d’évaluation.
  • Exports possibles en formats PDF ou SPDX pour audits internes ou réglementaires.
• Intégration au portail Azure AI Foundry pour simplifier la gestion des workflows de conformité.

8. Sécurité des infrastructures et des environnements hybrides

Azure Local

• Azure Local, basé sur Azure Arc, fournit une infrastructure hybride sécurisée pour les charges critiques.
• Permet des déploiements isolés (scénarios déconnectés) pour répondre aux besoins réglementaires et aux exigences de souveraineté des données.

Gestion centralisée avec Azure Arc

• Unification des outils de gestion et de sécurité pour les environnements hybrides et multicloud.
• Intégration d’Azure Policy pour assurer la conformité des configurations et des mises à jour.

Azure Well-Architected Framework

• Nouveau cadre dédié aux charges IA, assurant des standards élevés en matière de :
  • Fiabilité.
  • Sécurité.
  • Efficacité des coûts.

9. Nouveaux outils pour les développeurs et administrateurs

Serverless GPUs

• Permettent une isolation sécurisée des workloads IA sensibles avec une facturation précise à la seconde, optimisant les coûts et la sécurité opérationnelle.

Intégration de Microsoft Purview avec Oracle Database@Azure

• Gouvernance des données : Contrôle fédéré des données pour garantir la conformité, notamment pour les charges critiques dans Oracle Database.

Azure AI Model Catalog

• Les modèles sectoriels ajoutés (ex. : finance, santé) respectent les standards élevés de sécurité et de confidentialité.

---

Après avoir parlé sécurité, je vous propose de passer en revue les news plus orienté Microsoft 365 qui renforce la sécurité à tous les niveaux :

• Intégration fluide avec des outils de gouvernance comme Viva Insights et Microsoft Entra.
• Respect strict des permissions d’accès.
• Contrôles centralisés pour les administrateurs.

10. Sécurité des données et gouvernance dans Microsoft 365

Respect des permissions et sensibilités

• Agents Microsoft 365 Copilot :
  • Les agents (SharePoint, Teams, Outlook) respectent les permissions d’accès et les labels de sensibilité.
  • Cela empêche tout partage involontaire de données sensibles.

Copilot Control System (préversion)

• Administration centralisée : Permet de gérer et surveiller les agents et leurs interactions avec les données Microsoft 365.
• Protection des données : Contrôles renforcés pour s’assurer que les données manipulées par les agents respectent les politiques de sécurité internes.

Rapports de gouvernance avec Viva Insights

• Copilot Business Impact Report (préversion) :
  • Mesure l’impact de l’IA sur la productivité et les KPI métier.
  • Permet de suivre l’utilisation et l’adoption des fonctionnalités Copilot tout en respectant la sécurité et la confidentialité des données.

11. Nouvelles fonctionnalités de sécurité intégrées à Copilot

Sécurité dans Teams

• Résumé des fichiers partagés en chat (préversion) :
  • Copilot peut résumer les documents partagés sans les ouvrir.
  • Les résumés sont accessibles uniquement aux utilisateurs ayant les droits d’accès aux fichiers.

Gestion des e-mails dans Outlook

• Planification sécurisée des réunions :
  • Copilot analyse les calendriers pour trouver les créneaux disponibles tout en respectant les permissions d’accès aux agendas.
  • Génération d’agendas confidentiels alignés sur les objectifs de la réunion.

PowerPoint et sécurité des contenus

• Traduction complète des présentations dans 40 langues tout en préservant les labels de sensibilité et les métadonnées des documents.

12. Sécurité dans l’administration Microsoft 365

Microsoft 365 Admin Center

• Copilot pour administrateurs (préversion) :
  • Résume les tendances d’utilisation des produits Microsoft 365.
  • Fournit des insights sur la conformité et les mises à jour importantes via un tableau de bord.
  • Identifie les problèmes techniques (ex. : qualité des appels Teams) et propose des solutions.

Copilot Analytics

• Adoption et impact :
  • Tableaux de bord out-of-the-box pour suivre l’utilisation de Microsoft 365 et identifier les lacunes.
  • Rapports consolidés disponibles dans le Centre d’Administration Microsoft 365.

---

13. Contrôles de sécurité et gestion des identités

Microsoft Entra pour Copilot

• Authentification et gestion des identités renforcées dans toutes les applications Microsoft 365, garantissant que seules les personnes autorisées accèdent aux fonctionnalités Copilot.

Sécurité des environnements hybrides

• Microsoft Places : Coordination des présences au bureau pour optimiser les connexions en personne sans compromettre la confidentialité des données de localisation.

---

14. Collaboration et sécurité renforcée

Pages Copilot

• Les contenus collaboratifs (ex. : notes, artefacts riches comme diagrammes ou tableaux) sont créés dans des espaces sécurisés.
• Multi-Page Support : Chaque collaborateur voit uniquement les parties du contenu qu’il est autorisé à consulter.

Règles de collaboration :

• Les agents collaboratifs (comme le Facilitateur Teams) respectent strictement les permissions définies dans SharePoint ou Teams.

Stay tuned & Have Fun !

La Fin de Vie de Windows 10 et l’Émergence des Nouveaux PC “CoPilot +PC”

Microsoft a confirmé la fin du support de Windows 10 au 14 octobre 2025, marquant la fin d’une ère pour ce système d’exploitation qui a connu un succès durable dans les entreprises et nos foyers. Au-delà de cette date, Windows 10 ne recevra plus de mises à jour de sécurité, rendant les appareils vulnérables aux cybermenaces. Microsoft encourage donc les utilisateurs à migrer vers Windows 11 pour bénéficier des nouvelles fonctionnalités et de la sécurité renforcée.

Pourquoi Migrer vers Windows 11 ?

Windows 11 a introduit une expérience utilisateur remaniée, optimisée pour la productivité et la flexibilité, avec des fonctionnalités comme le design simplifié et les bureaux virtuels. Windows 11 s’accompagne également de mesures de sécurité avancées (comme la virtualisation pour la protection contre les attaques), répondant aux nouvelles menaces du paysage numérique.

L’Impact de Windows CoPilot : Vers une Nouvelle Génération de PC

Avec l’introduction de l’assistant d’IA “Copilot” dans Windows 11, Microsoft vise à transformer l’interaction entre l’utilisateur et le système d’exploitation. Intégré à Windows, Copilot facilite la productivité en permettant aux utilisateurs d’automatiser des tâches, de rechercher des informations contextuelles et d’obtenir des réponses sans quitter leur environnement de travail. Cet assistant virtuel s’appuie sur l’intelligence artificielle pour offrir des suggestions personnalisées, s’adaptant au comportement de l’utilisateur. On y retrouve également une puissance de calcul hallucinante avec plus de 40TOPS par exemple mais nous y reviendrons, permettant un large éventail de créativité pour les utilisateurs dans MSPaint par exemple. Oui oui Paint !! J’attendai le retour de Clippy mais not for this time

Les Nouvelles Machines “CoPilot + PC” : Conçues pour l’Avenir

Les nouveaux PC “CoPilot +” sont pensés pour exploiter pleinement les capacités de Windows 11 et de Copilot. Ces appareils sont dotés de composants optimisés, tels que des processeurs de dernière génération et des circuits spécialisés pour l’IA. En intégrant directement des fonctionnalités de machine learning et d’accélération graphique, ces machines sont capables d’exécuter Copilot de manière fluide, permettant aux utilisateurs de travailler plus efficacement dans des environnements collaboratifs et de création.

Préparer la Transition

Pour les entreprises et les utilisateurs qui utilisent encore Windows 10, il est essentiel de préparer dès maintenant la migration pour éviter tout risque de sécurité. L’approche recommandée consiste à :

• Évaluer la compatibilité des applications avec Windows 11 et les nouvelles architectures matérielles.
• Planifier le remplacement du matériel si nécessaire, en optant pour des modèles compatibles avec les fonctionnalités de Windows 11 et Copilot.
• Former les équipes aux nouvelles fonctionnalités d’IA pour maximiser l’adoption et la productivité.
• Configurer une forte sécurité permettant de sécuriser les identité, de mettre en place des mécanismes de défense multiplateformes et protéger les données sensibles
• Gérer les endpoints améliorer l’efficience de l’IT, la gestion et la protection des endpoints et délivrer la meilleure expérience avec Windows11.
• Améliorer la collaboration “to empower employees with productivity apps”, de connecter et travailler mieux ensemble, commencer l’usage de l’IA pour les collaborateurs et enfin
• Elever la productivité avec CoPilot

En conclusion

La fin de Windows 10 en 2025 marque une nouvelle étape pour les utilisateurs de Microsoft, qui se dirigent vers un écosystème encore plus axé sur l’intelligence artificielle et l’expérience personnalisée. Les nouveaux PC “CoPilot +PC” incarnent cette transition vers un futur où l’IA s’intégrera de manière transparente dans nos appareils, rendant l’informatique plus intuitive et plus performante. Pour ceux qui envisagent le passage à Windows 11, ces évolutions ouvrent la voie à un environnement de travail plus efficace et adaptable.

Très souvent, on me demande quel est la marche à suivre pour retirer les accès d’un collaborateur qui quitte une société. Alors voici une checklist rapide des éléments à prendre en considération.

1. Bloquer la connexion : Désactivez le compte pour empêcher les nouvelles connexions. Utilisez la commande cmdlet Revoke-MgUserSignInSession pour forcer la déconnexion de toutes les sessions immédiatement.
2. Désactiver le compte AD local : Si votre entreprise utilise Active Directory, désactivez le compte dans l’AD local.
3. Réinitialiser le mot de passe de l’utilisateur : Mettez à jour le compte avec un mot de passe aléatoire pour empêcher l’employé de continuer à accéder au tenant.
4. Soumettre une demande d’effacement sélectif des applications/effacement des appareils : Si Intune est déployé, soumettez une demande d’effacement pour tous les appareils enregistrés.
   • 
5. Soumettre une demande d’effacement ActiveSync : Si Intune n’est pas déployé, soumettez une demande d’effacement pour les appareils utilisant ActiveSync.
   • Clear-MobileDevice -AccountOnly -Identity User -NotificationEmailAddresses "admin@domain.com"
6. Désactiver les appareils de l’utilisateur : Invalidez toute authentification basée sur un compte d’ordinateur en utilisant les cmdlets du Microsoft Graph PowerShell SDK.
   • $Device = Get-MgUserRegisteredDevice -UserId "user@domain.com"
   • Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
7. Activer la délégation sur OneDrive for Business : Déléguez l’accès au OneDrive for Business de l’employé à un utilisateur autorisé.
8. Conserver la boîte aux lettres de l’utilisateur : Convertissez la boîte aux lettres de l’utilisateur en boîte aux lettres partagée ou utilisez des rétentions pour conserver la boîte aux lettres en tant que boîte aux lettres inactive.
   • L’impact sur les éléments chiffrés, tels que les emails ou les documents, peut être significatif lorsqu’un utilisateur est supprimé. Avec l’adoption croissante des étiquettes de sensibilité, des problèmes peuvent survenir pour les éléments stockés dans Microsoft 365. Les étiquettes de sensibilité appliquent des restrictions d’accès et/ou un chiffrement à ces éléments. Si les étiquettes restreignent l’accès de manière à ce qu’un seul utilisateur soit le propriétaire d’un document, et que cet utilisateur est celui qui est supprimé, il n’y a pas de moyen facile d’identifier quels documents ou éléments sont impactés par la suppression du compte utilisateur.
   • Pour résoudre ce problème, il existe une configuration appelée Super User dans Azure Rights Management Service (RMS), qui est la technologie utilisée par les étiquettes de sensibilité pour appliquer le chiffrement et/ou le contrôle d’accès. Le Super User est un compte administratif spécial qui a des droits de propriétaire sur tous les éléments protégés par Azure RMS
9. Supprimer la licence de l’utilisateur : Réduisez les coûts de licence en supprimant la licence de l’utilisateur.
10. Supprimer le compte utilisateur : Après une période de grâce, supprimez le compte utilisateur du système.
11. Services avancés : Cette liste couvre les étapes de base pour les tenants Microsoft 365. Si vous avez des services avancés comme Defender for Cloud Apps, des étapes supplémentaires peuvent être nécessaires.
    • Ajouter les utilisateurs aux politiques de Defender for Cloud Apps : Cela permet de surveiller les téléchargements massifs de fichiers inexpliqués depuis Teams/SharePoint.
    • Configurer les notifications de flux de travail : Configurez un flux de travail de notification dans votre tenant pour que votre équipe IT soit informée lorsque des actions sont nécessaires.
    • Utiliser PowerAutomate pour automatiser le processus : Envisagez d’automatiser le processus en utilisant PowerAutomate cloud flow pour minimiser les interventions manuelles.

Hello folks,

Microsoft continue la sécurisation de ces environnements et par extension du votre, en effet depuis le 9 Septembre 2024, vous ne pourrez plus vus connecter “facilement” nous allons voir ensemble comment s’y connecter :

Step 1 : Enregistrement de l’application dans EntraID

Register-PnPEntraIDAppForInteractiveLogin -ApplicationName “PnP Rocks” -Tenant [votretenant].onmicrosoft.com -Interactive

Step 2 : La connexion

Connect-PnPOnline -Url https://%5Bvotretenant%5D.sharepoint.com/sites/demo -Interactive -ClientId 61[….]36e

source : https://pnp.github.io/powershell/articles/registerapplication.html

Au temps dire que ce mode de connexion nécessitera la connaissance du clientID de l’application ou bien d’un certificat, le MFA étant devenu de rigueur pour tous. En tout cas les règles de déploiement de connexion par certificats vont revenir à l’ordre du jour, tout comme le fait d’appuyer encore sur les règles d’accès conditionnel.

Stay tuned & have fun !

Microsoft a effectivement annoncé la fin de Windows Server Update Services (WSUS), et cela pousse les entreprises à envisager d’autres solutions pour la gestion des mises à jour des systèmes Windows. Dans cet articles nous allons voir les avantages des différentes solutions alternatives à WSUS.

1. Microsoft Endpoint Manager (Intune)

Evidemment Microsoft recommande fortement de migrer vers Microsoft Intune, qui fait partie de la suite Microsoft Endpoint Manager. Il s’agit d’une solution cloud qui permet la gestion des mises à jour, des appareils et des applications sur des environnements Windows, macOS, iOS, et Android.

Avantages :

• Gestion centralisée via le cloud.
• Capacité à gérer des appareils mobiles (MDM) et des PC (intégration avec Autopilot et Microsoft 365) ainsi que des postes Linux, Mac.
• Mises à jour automatiques et déploiements basés sur des stratégies définies.
• Intégration avec Microsoft Defender pour la sécurité des points de terminaison.

2. Windows Update for Business (WUfB)

Windows Update for Business est une autre solution de Microsoft, conçue pour automatiser les mises à jour des appareils Windows, en particulier pour les environnements de type PME ou grands comptes. WUfB offre plus de contrôle sur les mises à jour, permettant de définir des anneaux de mise à jour, des périodes de déploiement différé, et des stratégies de maintenance automatique.

Avantages :

• Pas besoin d’infrastructure on-premises, tout se fait via le cloud.
• Contrôle granulaire des déploiements (périodes de différé, anneaux de mise à jour).
• Réduit la charge administrative par rapport à WSUS.

3. System Center Configuration Manager (SCCM)

Pour les organisations qui souhaitent garder une gestion on-premises, SCCM (aussi appelé Microsoft Endpoint Configuration Manager) reste une option solide, bien que rapidement couteuse en fonction du nombre de machines à maintenir (en dessous d’un certain volume cela n’est pas très intéressant). SCCM permet une gestion complète des mises à jour Windows, mais également des applications, des correctifs de sécurité, et d’autres tâches de gestion d’appareils.

Avantages :

• Solution on-premises, idéale pour les environnements avec des besoins spécifiques.
• Gestion avancée des correctifs et des mises à jour.
• Peut être intégré à Intune pour une gestion hybride (cloud + on-premises).

4. Third-party Patch Management Tools

Il existe plusieurs outils tiers spécialisés dans la gestion des correctifs et des mises à jour qui peuvent servir de remplacement à WSUS. Ces solutions offrent souvent une compatibilité multi-plateforme et des fonctionnalités supplémentaires.

Exemples de solutions tierces :

• Ivanti Patch Management : Gestion centralisée des correctifs pour plusieurs plateformes.
• ManageEngine Patch Manager Plus : Multi-plateforme et supporte une large gamme d’applications tierces.
• SolarWinds Patch Manager : Outil de gestion des correctifs pour environnements Windows et d’autres applications.

5. Azure Update Management

Azure Update Management est une autre option intéressante si vous avez des machines virtuelles (VM) dans Azure ou même des serveurs on-premises hybrides. Cette solution permet de gérer les mises à jour de systèmes d’exploitation sur des machines Windows et Linux via le cloud Azure.

Avantages :

• Gestion dans le cloud des environnements Windows et Linux.
• Peut être utilisé pour des infrastructures hybrides (Azure/on-premises).
• Intégré dans la suite de gestion Azure, facilitant l’automatisation et les rapports.

6. Azure ARC

Azure Arc permet d’étendre la gestion des services Azure à des serveurs physiques et virtuels, qu’ils soient hébergés on-premises ou dans d’autres clouds (AWS, Google Cloud, etc.) pour la gestion des mises à jour. Il offre un contrôle centralisé pour les politiques de mise à jour, la gestion des correctifs et la sécurité, similaire à ce que l’on trouve dans Azure, mais avec une portée beaucoup plus large.

Avec Azure ARC, vous pouvez gérer des machines Windows & Linux situées dans n’importe quel environnement, tout en utilisant des services comme Azure Update Management pour automatiser les mises à jour et les correctifs.

Avantages :

• Centralisation : Gérez des environnements multi-cloud et on-premises depuis un portail unique.
• Flexibilité : Compatible avec des systèmes hors Azure, facilitant la gestion unifiée des infrastructures hybrides.
• Sécurité et conformité : Assurez une application cohérente des correctifs et des stratégies de sécurité sur tous vos environnements.

En Conclusion

La fin de WSUS marque une transition vers des solutions de gestion de mises à jour plus modernes et flexibles, principalement basées sur le cloud. Microsoft Intune et Windows Update for Business sont des alternatives fortement recommandées par Microsoft, tandis que SCCM reste une option solide pour ceux qui préfèrent rester dans un environnement on-premises. Pour ceux qui souhaitent une solution plus spécialisée, des outils tiers comme Ivanti ou ManageEngine peuvent également être explorés. Azure ARC sera lui particulièrement intéressant si vous cherchez à unifier la gestion de vos infra multi-cloud ou hybrides en intégrant vos serveurs dans des workflows de gestion de mises à jour, permettant ainsi une fléxibilité et une potée étendues en comparaison à des solutions exclusivement cloud ou locales.

Hope this helps,

Préparez-vous pour le 14 octobre 2025…

Microsoft a récemment annoncé la fin de vie (End of Life – EOL) de deux de ses produits phares : Exchange Server 2016 et Exchange Server 2019. La date limite est fixée au 14 octobre 2025. Après cette date, Microsoft ne fournira plus de mises à jour de sécurité, de support technique, ni de correctifs pour ces versions. Pour les entreprises et organisations utilisant encore ces solutions, cette échéance marque un tournant important, nécessitant une planification proactive et une migration vers des solutions plus modernes et supportées.

Dans cet article, nous examinerons en détail ce que signifie la fin de vie de ces versions, les risques associés à rester sur une version non supportée, et les meilleures stratégies pour se préparer à cette transition.

Qu’est-ce que la fin de vie de Microsoft Exchange 2016 et 2019 ?

La fin de vie d’un produit Microsoft signifie que celui-ci ne bénéficiera plus de support officiel après une certaine date. Pour Exchange 2016 et 2019, cela implique qu’après le 14 octobre 2025 :

• Plus de mises à jour de sécurité.
• Plus de correctifs pour les problèmes techniques.
• Fin du support client pour ces versions.
• Aucune nouvelle fonctionnalité ou amélioration.

Cela expose les systèmes encore basés sur ces versions à des risques majeurs en matière de sécurité, de conformité, et de fiabilité.

Pourquoi est-il important de migrer avant la fin de vie ?

Rester sur une version non supportée d’Exchange Server expose votre organisation à plusieurs risques :

1. Sécurité : Sans mises à jour de sécurité, les serveurs deviennent vulnérables aux cyberattaques.
2. Conformité : De nombreuses réglementations exigent que les logiciels utilisés soient à jour et reçoivent des mises à jour de sécurité.
3. Support : En cas de problème critique, vous ne pourrez plus compter sur l’assistance de Microsoft.
4. Performance et fiabilité : Les performances de votre système risquent de se dégrader, et des incompatibilités avec d’autres logiciels récents pourraient apparaître.

Les options de migration : Quelles sont vos alternatives ?

1. Migration vers Microsoft Exchange Server 2022

Microsoft prévoit la sortie de Exchange Server 2022, qui sera la version supportée après 2025. Cette option permet de rester en environnement on-premises tout en bénéficiant des dernières mises à jour de sécurité et de fonctionnalités.

2. Migration vers Exchange Online (Microsoft 365)

Migrer vers Exchange Online dans la suite Microsoft 365 est une alternative qui permet de passer à une solution cloud. Cela élimine les besoins en infrastructure on-premises et offre plusieurs avantages :

• Mises à jour automatiques.
• Accès global : Via une simple connexion Internet.
• Scalabilité : Facilité d’adaptation des ressources en fonction des besoins.
• Fonctionnalités supplémentaires : Intégrations avec les autres services de Microsoft 365.

3. Déploiement Hybride

Pour les entreprises souhaitant conserver une partie de leur infrastructure sur site tout en tirant parti du cloud, un déploiement hybride est envisageable. Cette solution combine le meilleur des deux mondes : des boîtes aux lettres sur Exchange Server et Exchange Online.

Étapes pour préparer votre migration

La migration vers une nouvelle plateforme de messagerie demande une planification minutieuse. Voici les étapes recommandées pour une transition réussie :

1. Évaluation de l’infrastructure actuelle :
   • Audit des serveurs : Inventoriez vos serveurs Exchange, bases de données, et dépendances existantes.
   • Analyse des utilisateurs : Identifiez les besoins en mobilité et les volumes de données à migrer.
2. Choix de la solution cible :
   • Décidez si vous souhaitez migrer vers Exchange Server 2022, Exchange Online, ou une solution hybride.
3. Planification de la migration :
   • Testez la migration dans un environnement de test.
   • Formez vos équipes IT aux nouvelles technologies.
   • Communiquez avec les utilisateurs sur les changements à venir.
4. Exécution de la migration :
   • Sauvegardez vos données Exchange.
   • Effectuez une migration par étapes pour minimiser les interruptions de service.
5. Validation post-migration :
   • Vérifiez que toutes les boîtes aux lettres et données ont été migrées correctement.
   • Assurez-vous que tous les utilisateurs accèdent à leurs courriels sans problème.
6. Surveillance et support :
   • Surveillez les performances du système après la migration et offrez un support technique aux utilisateurs.

En Conclusion

La fin de vie de Microsoft Exchange 2016 et 2019 le 14 octobre 2025 représente à la fois un défi et une opportunité pour moderniser votre infrastructure de messagerie. Qu’il s’agisse de migrer vers une version plus récente d’Exchange Server ou de passer à une solution cloud avec Exchange Online, il est crucial de planifier cette transition dès maintenant pour éviter les interruptions de service et les risques de sécurité.

N’attendez pas la dernière minute pour agir. Le temps est venu de préparer votre infrastructure pour l’avenir.

Retrouvez également l’intégralité de l’article sur le blog : co-écrit avec Sebastien Deguines

Une Nouvelle Dimension de Collaboration Virtuelle

La collaboration à distance a pris un tournant révolutionnaire avec l’introduction de Microsoft Mesh pour Teams. Cette technologie apporte une nouvelle dimension aux réunions virtuelles, transformant la manière dont les équipes travaillent ensemble, où qu’elles se trouvent.

Qu’est-ce que Microsoft Mesh pour Teams ?

Microsoft Mesh est une plateforme de réalité mixte qui permet des interactions holographiques entre utilisateurs. Intégré à Microsoft Teams, Mesh permet aux utilisateurs de se connecter dans un espace virtuel partagé, où ils peuvent collaborer, échanger et interagir comme s’ils étaient physiquement présents ensemble.

Les Nouvelles Expériences Apportées par Mesh

Présence Holographique

• Avec Mesh, les avatars holographiques offrent une représentation virtuelle de soi, créant un sentiment de présence réelle dans les réunions, sans avoir à mettre une caméra.
• Les participants peuvent se déplacer, gesticuler et interagir dans un espace tridimensionnel, ce qui enrichit les échanges et renforce les liens entre collègues, même si nous sommes très loin d’une SharePinte ou d’un afterwork

Collaboration Immersive

• Les utilisateurs peuvent collaborer sur des modèles 3D, visualiser des données complexes et travailler ensemble sur des projets en temps réel.
• Les outils de collaboration intégrés, tels que les tableaux blancs virtuels et les annotations, facilitent le brainstorming et la prise de décisions, les applications supplémentaires arrivent pour faciliter les intéractions entre utilisateurs.

Réunions et Événements Virtuels

• Mesh permet d’organiser des réunions, des ateliers et des événements virtuels qui offrent une expérience plus engageante et interactive que les vidéoconférences traditionnelles.
• Les environnements virtuels personnalisables créent des espaces adaptés à différents types d’interactions, des petites réunions d’équipe aux grandes conférences.

Pourquoi Adopter Microsoft Mesh pour Teams ?

Amélioration de la Collaboration

• Mesh brise les barrières géographiques et temporelles, permettant aux équipes de collaborer de manière plus fluide dans un espace propice à la création.
• La possibilité d’interagir dans un espace virtuel partagé réduit les malentendus et améliore la communication.

Innovation et Créativité

• En offrant des outils de visualisation avancés et des environnements immersifs, Mesh stimule l’innovation et la créativité des équipes.
• Les séances de brainstorming deviennent plus dynamiques et productives, favorisant la génération de nouvelles idées (très souvent le cas lors de discussion autour de sujet d’innovation).

Engagement et Productivité

• Les expériences immersives créent un engagement plus fort des participants, réduisant la fatigue des réunions virtuelles et augmentant la productivité.
• Les employés se sentent plus connectés et motivés, ce qui améliore le moral et la collaboration. De par les temps présent nous sommes tous passé du présentiel à la vidéo, puis à l’avatar (presque un jumeau numérique dans certain cas) et enfin la projection de cet avatar dans un contexte plus immersif. Il ne manque plus que les caméras puisse reproduire les gestuelles qui sont faites, comme les memoji sur Apple par exemple, ce qui viendrai enrichir l’expérience.

Une fois la partie adoption, traitée sur le pourquoi du comment, voyons quelques cas d’usage dans différents domaines

Cas d’Usage de Microsoft Mesh pour Teams

Design et Ingénierie

• Les équipes de design et d’ingénierie peuvent collaborer sur des prototypes 3D, effectuer des révisions et apporter des modifications en temps réel.
• La visualisation immersive permet de détecter et de résoudre les problèmes plus rapidement.

Formation et Éducation

• Les programmes de formation peuvent utiliser Mesh pour offrir des expériences d’apprentissage interactives et engageantes. Le retour du monde éducatif est la partie immersive.
• Les étudiants et les stagiaires bénéficient d’une immersion complète dans des scénarios pratiques, facilitant l’apprentissage et la rétention des connaissances.

Santé et Médecine

• Les professionnels de la santé peuvent utiliser Mesh pour des consultations à distance, des formations médicales et des planifications chirurgicales.
• Les simulations immersives améliorent la formation des médecins et la préparation des interventions.

Industrie et Onboarding

• L’onboarding des nouveaux utilisateurs dans une industrie permettant de présenter les services, les personnes, les satellites etc…. permet de crée un sentiment d’adoption plus fort et toujours plus immersif. Par exemple que le fondateur de l’entreprise (enfin son double numérique) vous souhaite la bienvenue et vous fasse faire le tour des différents métier. Beaucoup plus interessant qu’un film ou moins informel qu’un mail ….

Le Casque Meta Quest : Un Accessoire, Pas Une Nécessité

Bien que le casque Meta Quest (anciennement Oculus Quest) puisse améliorer l’expérience immersive avec Mesh, il n’est pas indispensable. Microsoft Mesh est conçu pour être accessible sur diverses plateformes, y compris les ordinateurs de bureau, les tablettes et les smartphones. Les utilisateurs peuvent donc profiter des avantages de Mesh sans nécessiter un équipement coûteux. Cependant, les cas d’usage incluant des casques sont de plus en plus fréquents et de plus en plus convainquant.

L’usage d’un casque rendra l’expérience complètement immersive, cela peut faire gadget au début, ou bien trop tagué gaming, mais au final c’est assez sympa. Surtout que l’environnement propose la possibilité de développer vos propres “monde” en fonction des niveaux de licences. Cela ajoute une notion d’innovation à vos réunions et rends les utilisateurs “curieux” de ce nouveau mode, ce qui favorise en général l’adoption de ces derniers.

En conclusion

Microsoft Mesh pour Teams ouvre un nouveau chapitre dans la collaboration virtuelle, offrant des expériences plus riches, plus engageantes et plus productives. Que ce soit pour améliorer la communication, stimuler l’innovation ou accroître l’engagement, Mesh représente une opportunité excitante pour les entreprises de toutes tailles.

Un REX pour finir

Et si les tâches du prochain projet étaient attribuées en jouant au CornHole ?!

Stay tuned !

Comprendre les Nouveaux Cadres Réglementaires pour les Entreprises

La Directive NIS2 et le Règlement DORA représentent des avancées majeures dans la réglementation de la cybersécurité et de la résilience opérationnelle numérique au sein de l’Union Européenne. Ici nous allons explorer ces deux cadres réglementaires, les opportunités qu’ils offrent pour les entreprises, les bénéfices potentiels, les risques associés, et proposer une feuille de route pour assurer la conformité. L’entrée en vigueur de NIS2 est prévu pour Octobre 2024 et l’application à partir de Janvier 2025, cependant il n’est pas exclu que les sanctions prévues par les textes soient appliquées avant l’été 2025. Ce qui laisse “très” peu de temps à la mise en conformité.

Directive NIS2

La Directive NIS2 (Network and Information Security 2) est une mise à jour de la Directive NIS originale de 2016. Elle vise à renforcer la cybersécurité à travers l’Union Européenne en étendant le champ d’application aux secteurs et services critiques supplémentaires et en imposant des exigences de sécurité plus strictes.

Objectifs de la Directive NIS2

• Amélioration de la cyber-résilience : Renforcer les capacités des États membres en matière de prévention, de détection et de réaction aux incidents de cybersécurité.
• Harmonisation des réglementations : Établir un cadre commun pour la cybersécurité afin de réduire les disparités entre les États membres.
• Renforcement de la coopération : Améliorer la collaboration entre les différents acteurs au niveau national et européen.

Règlement DORA

Le Règlement DORA (Digital Operational Resilience Act) est conçu pour garantir que les entreprises du secteur financier puissent résister, répondre et se remettre des perturbations opérationnelles liées aux TIC (Technologies de l’Information et de la Communication).

Objectifs du Règlement DORA

Sensiblement similaire mais avec quelques nuances

• Résilience numérique : Assurer que les entreprises financières disposent de systèmes robustes pour résister aux cyberattaques et autres interruptions numériques.
• Gestion des risques : Mettre en place des mesures de gestion des risques informatiques, y compris la surveillance, l’identification et la réponse aux incidents.
• Harmonisation et supervision : Fournir un cadre réglementaire uniforme pour la résilience opérationnelle numérique et établir des mécanismes de supervision au niveau européen.

Opportunités pour les Entreprises

Amélioration de la Sécurité et de la Résilience

• Renforcement des systèmes de sécurité : En adoptant les exigences de NIS2 et DORA, les entreprises peuvent améliorer leur posture de cybersécurité et résilience numérique.
• Réduction des risques : Une meilleure gestion des risques informatiques et une préparation aux incidents peuvent réduire les coûts liés aux cyberattaques et aux interruptions.

Avantages Compétitifs

• Confiance accrue : Les entreprises conformes peuvent gagner la confiance des clients, des partenaires et des investisseurs en démontrant leur engagement envers la sécurité et la résilience. Et par conséquent gagner en valeurs
• Accès aux marchés : La conformité peut devenir un prérequis pour opérer dans certains marchés ou pour collaborer avec certaines entreprises.

Risques Associés

Coûts de Mise en Conformité

• Investissements initiaux : Les entreprises devront investir dans des technologies, des processus et des compétences pour répondre aux nouvelles exigences. La suite 365 est une des réponses possibles offrant un bundle de produit permettant de répondre économiquement à ces enjeux.
• Coûts opérationnels : La maintenance continue des mesures de conformité peut entraîner des coûts supplémentaires. Mais cela dépend aussi des sécurités mise en place en termes d’identité, de gestion des données, des serveurs, des data, des réseaux, etc. … et de l’approche ZeroTrust (ZTA) que vous pouvez avoir.

Complexité de la Mise en Œuvre

• Adaptation des processus : Les entreprises doivent adapter leurs processus internes pour se conformer aux nouvelles réglementations, ce qui peut être complexe et chronophage. La mise en place de nouveau processus peut prendre du temps, mais permet également aux utilisateurs d’assurer la sécurité de leur donnée, leur identité, leur appareil aussi
• Formation et sensibilisation : Former le personnel et sensibiliser toutes les parties prenantes aux nouvelles exigences est crucial mais peut être un défi. Effectivement, nous l’avons déjà vu, l’application d’étiquettes de données à la main des utilisateurs est un réel défi, l’application de ces dernières de manière autonome peut nécessité un control des données, mais dans ce cas là, les modèles étant de plus en plus performant, et, entrainer, les controls deviennent moins fréquents. Pensez ici à toujours commencer avec quelques label plutôt que 12… plus simple à comprendre pour les utilisateurs.

Proposition de feuille de route pour la conformité

Concrètement la démarche est connue mais il peut être bon de la rappeler et l’adapter si besoin à votre contexte. Certains produit du marché permettent de vous faciliter la vie, mettant en exergue et corrigeant automatiquement les dérives potentielles des utilisateurs (je pense à des partages sauvages externes – car mal configurés, des règles de redirection de mail également non forcée, etc. …)

Évaluation Initiale

1. Analyse des écarts : Évaluer les différences entre les pratiques actuelles et les exigences de NIS2 et DORA.
2. Évaluation des risques : Identifier les risques actuels et potentiels en matière de cybersécurité et de résilience numérique.

Planification et Mise en Œuvre

3. Développement d’un plan d’action : Élaborer un plan détaillé pour combler les écarts identifiés, avec des étapes claires et des échéances et même des responsables, sponsors moteurs.
4. Mise à jour des politiques et procédures : Adapter les politiques de sécurité et de résilience pour répondre aux nouvelles exigences.

Renforcement des Capacités

5. Investissement en technologies : Acquérir et déployer des technologies de sécurité avancées pour protéger les infrastructures critiques. On peut par exemple parler de SIEM (Microsoft ou non) et de produit tiers.
6. Formation et sensibilisation : Mettre en place des programmes de formation pour le personnel afin de garantir une compréhension et une adhésion complètes aux nouvelles réglementations. Afin de palier pour le cas des étiquettes, au cas de figure de l’utilisateur qui ne va pas savoir si son document est interne ou externe (en grossissant le trait) ou bien si les données contenues sont sensible ou non.

Surveillance et Amélioration Continue

7. Supervision continue : Mettre en place des mécanismes de surveillance pour assurer la conformité continue et détecter rapidement les incidents.
8. Révision et mise à jour régulière : Réviser régulièrement les politiques et les procédures pour s’adapter aux nouvelles menaces et exigences réglementaires.

Et concrètement ?

Dans un environnement Microsoft 365, voici quelques exemples

1. Authentification Multifacteur (MFA)

• Technologie: Utilisation de l’authentification multifacteur via Azure Active Directory (AAD) pour renforcer la sécurité des accès utilisateurs.
• Implémentation:
  • Activez MFA pour tous les utilisateurs.
  • Configurez des options MFA telles que les notifications push, les SMS ou les applications d’authentification comme Microsoft Authenticator.

2. Etiquetage des Données

• Technologie: Utilisation de Microsoft Information Protection pour classifier et protéger les données sensibles.
• Implémentation:
  • Créez des étiquettes de sensibilité pour classer les documents en fonction de leur niveau de confidentialité (Public, Interne, Confidentiel).
  • Appliquez des étiquettes automatiquement en fonction du contenu ou manuellement par les utilisateurs.

3. Gestion des Identités et des Accès (IAM)

• Technologie: Azure Active Directory pour gérer les identités et les accès.
• Implémentation:
  • Utilisez les rôles basés sur les accès (RBAC) pour limiter les permissions aux seules nécessaires pour les utilisateurs.
  • Mettez en place des politiques d’accès conditionnel pour renforcer la sécurité.

4. Protection Contre les Menaces

• Technologie: Microsoft Defender for Office 365 pour protéger contre les menaces telles que les malwares, le phishing et les attaques de ransomwares.
• Implémentation:
  • Configurez les politiques anti-phishing et anti-spam.
  • Activez les fonctionnalités avancées de détection et de réponse aux menaces (ATP).

5. Sauvegarde et Récupération des Données

• Technologie: OneDrive for Business et SharePoint Online pour la sauvegarde et la récupération des données.
• Implémentation:
  • Configurez les stratégies de sauvegarde automatique pour les fichiers critiques.
  • Utilisez la fonctionnalité de restauration des fichiers pour récupérer les données en cas de perte ou de corruption.

6. Gestion des Appareils

• Technologie: Microsoft Intune pour la gestion des appareils mobiles et des points de terminaison.
• Implémentation:
  • Déployez des politiques de conformité pour assurer que tous les appareils accédant aux ressources de l’entreprise répondent aux critères de sécurité.
  • Configurez l’accès conditionnel pour restreindre l’accès aux appareils non conformes.

7. Surveillance et Audit

• Technologie: Microsoft 365 Compliance Center pour la surveillance continue et l’audit des activités.
• Implémentation:
  • Configurez les journaux d’audit pour suivre et enregistrer les activités des utilisateurs et les modifications des fichiers.
  • Utilisez les alertes de conformité pour être informé des activités suspectes ou des violations de politique.

8. Cryptage des Données

• Technologie: Azure Key Vault et BitLocker pour le cryptage des données au repos et en transit.
• Implémentation:
  • Stockez les clés de chiffrement dans Azure Key Vault.
  • Activez BitLocker pour chiffrer les disques sur les appareils Windows.

9. Gestion des Risques

• Technologie: Microsoft Cloud App Security pour la gestion des risques et la surveillance des applications cloud.
• Implémentation:
  • Détectez et évaluez les risques liés à l’utilisation des applications cloud.
  • Appliquez des politiques de sécurité pour contrôler les accès et protéger les données sensibles.

En conclusion

La Directive NIS2 et le Règlement DORA représentent des opportunités d’amélioration significatives pour les entreprises pour leur cybersécurité et leur résilience opérationnelle. En suivant une feuille de route structurée (et avec un bon accompagnement), vous pourrez non seulement assurer votre conformité mais aussi renforcer votre position sur le marché et réduire vos risques opérationnels. Adopter ces nouvelles réglementations est un investissement dans la sécurité et la pérennité de l’entreprise.

Stay tuned !

Hi folks,

Mettre en place l’archivage dans Microsoft 365 revêt une importance cruciale pour plusieurs raisons. Tout d’abord, cela garantit une gestion efficace des données en permettant leur préservation à long terme, favorisant ainsi la conformité aux réglementations légales et aux normes de l’industrie. De plus, l’archivage contribue à libérer l’espace de stockage dans les boîtes aux lettres principales, optimisant ainsi les performances du système. En offrant une visibilité et un accès rapides aux données archivées, cette fonctionnalité facilite également la recherche et la récupération d’informations cruciales. En somme, l’archivage dans Microsoft 365 constitue une stratégie proactive pour assurer la sécurité, la conformité et la gestion efficiente des données au sein de votre environnement professionnel.

La solution la plus simple pour un archivage dans 365 est d’utiliser les options de rétention à travers des Tags.

Ces même Tags sont alors associé à une règle, que vous appliquerez aux boites en question, ou à l’ensemble des utilisateurs.

Dans le cas présent nous allons voir comment archiver une BAL de 95Gb afin de libérer de l’espace.

La première chose à faire est donc de créer votre tag

Ma règle est la suivante : Tout mail reçu agé de 1jours (oui c’est de la démo…) ira en archive

/!\ Les policies de type personnal sont laissées a la main de l’utilisateur, donc si votre policie doit etre appliquée à tout les utilisateurs (a qui la règle est appliqué (étape 3) alors choisissez default mode)

https://compliance.microsoft.com/exchangeinformationgovernance

La seconde est de créer la policie associée :

La création de la policie est simple, c’est un nom et un Tag (celui de l’étape 1)

Troisième étape : Associer la policie à une BAL en particulier

Ici nous allons choisir d’appliquer la règle Default 1 Day Archive à la boite de Bill.

Alors bien évidemment il est nécessaire que l’archivage soit actif sur la BAL de l’utilisateur, sinon, il ne ce passera rien …

Tout les éléments sont presque bons.

Noter que par défaut l’assistant de gestion des folders (la cmdlet qui organise le contenu des BALs) peut prendre jusqu’à 7 jours et ne s’exécutera que sur des BALs avec un volume > 100Mb (le chiffre est a vérifier) Puis faire de l’archivage pour 100Mb … c’est une question de gouvernance et donc un autre sujet.

Avant d’aller un peu plus loin, il faut comprendre l’archivage des BALs.

Par défaut vous disposez d’une boite de xGB 50 ou 100Gb en fonction de vos licences et d’une boite d’archive équivalente. Lors de l’archivage, la structure de votre BAL est conservée, folder, sous folder, etc. … pour être le réplicas de votre BAL primaire. Ce qui est plus simple pour les utilisateurs lors d’une recherche.

La partie extra storage arrive uniquement si vous activez l’option de “AutoExpandingArchiveEnabled” vous permettant alors d’aller jusqu’a 1,5Tb de storage additionnel, mais noté que si vous êtes à 1,5Tb de mails archivés la BAL s’arrêtera de fonctionner, et qu’avoir autant de mails suppose des problèmes de gestion et un mauvais usage de la BAL. Qui ouvrirai un fichier texte de 1Tb ?

Donc nous avons ici une boite mail de 95Gb et nous voulons la réduire avec de l’archivage, et bien let’s go, voici quelques cmdlet qui vont vous aider :

Vérifions déjà si la rétention est bien positionnée : get-mailbox bill@nokh.fr | fl *ret*

Parfait – la règle de Default 1 Day Archive est présente. Y’a plus qu’a … MAIS vérifier également que les autres paramètres de rétention soient à “FALSE” et principalement le “RententionHoldEnabled”

Si RetentionHoldEnabled a la valeur True, l’Assistant Dossier managé continue de traiter la stratégie de rétention MRM sur la boîte aux lettres (y compris l’application de balises de rétention aux éléments), mais elle n’expire pas dans les dossiers visibles par l’utilisateur (c’est-à-dire, dans les dossiers de la sous-arborescence IPM de la boîte aux lettres). Toutefois, l’Assistant Dossier managé continue de traiter les éléments du dossier Éléments récupérables, y compris la purge des éléments arrivés à expiration.

/!\ Par conséquent, définir ElcProcessingDisabled sur True est plus restrictif et a plus de conséquences que de définir la propriété RetentionHoldEnabled sur True.

L’option ElcProcessingDisabled est une autre propriété de boîte aux lettres liée au traitement d’une boîte aux lettres par l’Assistant Dossier managé (la valeur par défaut de cette propriété est False). Lorsque la propriété ElcProcessingDisabled est définie sur True (à l’aide de la Set-Mailbox -ElcProcessingDisabled $true commande ), elle empêche l’Assistant Dossier managé de traiter la boîte aux lettres. Ainsi, en plus de ne pas traiter la stratégie de rétention MRM, les autres fonctions effectuées par l’Assistant Dossier managé, telles que l’expiration des éléments dans le dossier Éléments récupérables en les marquant pour suppression définitive, ne seront pas effectuées.

Start-ManagedFolderAssistant bill@nokh.fr pour lancer les jobs d’archivage défini pour la boite de bill.

Si jamais cela ne fonctionne pas, vous pouvez passer par le ExchangeGUID

get-mailbox bill@nokh.fr | fl *guid*

Start-ManagedFolderAssistant <ExchangeGUID>

Alors parfois vous aurez besoin de savoir si le job c’est bien déroulé

$logProps = Export-MailboxDiagnosticLogs bill@nokh.fr -ExtendedProperties
$xmlprops = xml
$xmlprops.Properties.MailboxTable.Property | ? {$_.Name -like "ELC*"}

Ce qui va nous intéresser ici est le LastSuccessTimeStamp, permettant d’être 100% certain que le job est passé !

Un élément intéressant, mais surtout lié à PowerShell est de créer une routine d’export sous forme de report pour savoir quand est-ce que le job est passé pour la dernière fois pour les BAL disposant d’une archive, car je le rappel, meme si la MRM est configurée, mais que vous ne disposer pas d’archive active, … rien ne se passera.

Allez voici le résultat, vous constaterez que les structures sont conservés, et l’expérience utilisateur est conservée

Vous me direz, oui mais alors la différence avec le dossier archive ? Et bien aucun rapport avec de l’archivage, c’est un dossier … comme un autre

Tous les comptes ont accès à un dossier d’archivage. Pour les comptes Microsoft 365, Outlook.com et Exchange, le dossier d’archivage correspond à l’un des dossiers par défaut d’Outlook (par exemple, Boîte de réception, Éléments envoyés ou Éléments supprimés). Ce dossier ne peut pas être supprimé. Si vous utilisez Outlook avec un compte Exchange ou Exchange Online, les stratégies de dossier telles que les stratégies de rétention s’appliquent au dossier d’archivage.

L’utilisation du bouton Archiver pour déplacer des messages vers le dossier d’archivage ne réduit pas la taille de votre boîte aux lettres. Si vous devez réduire la taille de votre boîte aux lettres, vous pouvez utiliser l’archive en ligne dans Microsoft 365 pour les entreprises.

Stay tuned !

Hello folks,

La gestion efficace du courrier électronique est cruciale pour toute organisation cherchant à maintenir un environnement de travail productif et sécurisé. Exchange Online, offre des fonctionnalités avancées pour lutter contre les menaces et le courrier indésirable.

Dans ce guide complet, nous allons explorer étape par étape la configuration de l’anti-spam dans Exchange Online pour assurer une protection maximale.

Accéder au Centre d’Administration Exchange ou celui de Sécurité

Connectez-vous au Centre d’Administration Exchange via le portail Office 365. Accédez à l’onglet “Protection” pour commencer la configuration de l’anti-spam. Ou bien rendez-vous directement sur https://admin.exchange.microsoft.com/#/mailboxes ou encore mieux dans le centre de sécurité https://security.microsoft.com/

Activer les règles de base et de Filtrage

Sous la rubrique Policies & Rules > Threats Policies

Activez le filtrage de base pour bloquer les messages évidemment indésirables. Cela inclut le filtrage basé sur l’émetteur, le destinataire et le contenu.

Un certain nombre de menu vont vous permettre de sécuriser votre AntiSpam.

Une première option intéressante est la sécurisation basée sur un modèle existant :

Le configurateur vous aidera à vérifier la performance des règles en place, tout en vous suggérant l’intégration de règles pour vous éviter de recréer la règle from scratch.

Focus sur les politiques

L’ensemble de ces règles vont dépendre de vos besoins de sécurité et des métiers également.

Même si un certain nombre de chose sont mise en place par défaut, il conviendra de les ajuster à vos besoins.

Focus sur les règles

Une règle s’applique lorsqu’un message réponds (ou pas) à une politique définie.

C’est ici par exemple que vous allez définir les rapports d’envoi de messages non délivrés (spam ou autres) aux utilisateurs, leur permettant si besoin de débloquer un message identifier comme devant être mis en quarantaine.

Quand les règles de sécurité sont en place, il faut maintenant penser à celles du mail flow.

Typiquement la gestion des MailHeader, des types de pièce jointe (leurs extensions, leur taille, …) seront gérées ici, tout comme la gestion du disclaimer et du journaling

Faisons un rapide focus sur les éléments à considérer lors de la mise en place

Le Filtrage de Connexion	Prévenez les menaces dès la connexion en configurant le filtrage de connexion. Bloquez les connexions provenant d’adresses IP suspectes ou de zones géographiques indésirables.
Le Filtrage de Réputation	Exploitez le filtrage de réputation pour évaluer la réputation des expéditeurs en fonction de leur historique d’envoi. Configurez les niveaux de sensibilité selon vos besoins métiers.
Créer une Liste d’Expéditeurs Approuvés	Assurez-vous que les messages de sources fiables ne sont pas bloqués en créant une liste d’expéditeurs approuvés. Configurez des règles pour garantir la réception de ces messages.
Le Filtrage des Destinataires Approuvés	Personnalisez le filtrage en configurant des règles pour permettre la réception de messages provenant de certaines adresses e-mail ou domaines.
Activer l’Analyse Heuristique	Détectez les modèles de messages suspects ou malveillants en activant l’analyse heuristique. Cela renforce la capacité de votre système à identifier les menaces inconnues. Ces règles sont publiées sur le réseau global toutes les 2 heures afin d’offrir à votre organisation un niveau de protection supplémentaire contre les attaques.
Filtrer les Pièces Jointes	Mettez en place des règles pour bloquer ou filtrer les pièces jointes potentiellement dangereuses, telles que les fichiers exécutables. C’est évidemment un élément crucial.
Mises à Jour Fréquentes	Assurez-vous que votre système est constamment à jour en termes de définitions de filtrage anti-spam. Les mises à jour fréquentes garantissent une protection contre les nouvelles menaces. Et une review des règles doit être planifier au moins une fois par mois.
Reporting et Suivi	Configurez des rapports pour surveiller l’efficacité du filtrage anti-spam. Utilisez ces informations pour ajuster les paramètres en conséquence et rester proactif face aux menaces émergentes. Ces rapports et alertes sont disponibles directement depuis Exchange Online.

Comment reprendre les règles de mon AntiSpam actuel ?

Il est nécessaire de comprendre qu’en fonction de la solution utilisée, les mêmes règles, ne seront pas nécessairement transposable vers EOP, il est donc temps de faire un point sur ces dernières et voici les options possibles.

• La règle n’est pas utilisée, donc elle ne sera pas reprise.
• La règle est utilisée, et est transposable dans l’EOP, elle est donc reprise.
• La règle est utilisée, et n’est pas transposable, il convient de trouver une alternative ou bien abandonner la règle

Have fun & Stay Tuned !

Cet article est une réflexion autour du sujet, et n’engage que mes opinions personnelles.

Avec l’apparition du graph depuis un certain temps, l’intégration de l’IA offre la possibilité d’accomplir des tâches plus rapidement, permettant de se concentrer sur l’essentiel.

L’Intelligence Artificielle se profile comme un acteur majeur dans l’évolution du monde professionnel. La question cruciale qui émerge est celle du déploiement rapide de cette technologie en entreprise. Certains soutiennent qu’une intégration rapide est la clé pour rester compétitif, tandis que d’autres appellent à la prudence, soulignant les défis associés à une adoption précipitée. Les deux points de vue se comprennent, mais à mon sens, s’il est nécessaire de rester compétitif rapidement, une intégration rapide doit être envisagée en conservant un interrupteur de secours.

Vers une métamorphose des méthodes de travail

Si l’IA était déployée massivement, les méthodes de travail telles que nous les connaissons seraient transformées. L’automatisation des tâches répétitives libérerait du temps permettant aux travailleurs de se concentrer sur des aspects plus créatifs et stratégiques de leur métier. Les systèmes autonomes pourraient optimiser les processus, améliorant ainsi l’efficacité opérationnelle. Par exemple, la génération de code, pour le moment trop imparfaite à ce jour, permet néanmoins d’accélérer certaine tâches simple.

Un autre exemple déjà embarqué dans votre vie professionnelle est l’intégration complète d’outils de productivité (je pense à la Plateforme User Experience de Microsoft qui est la plus aboutie)

La Collaboration Humain-Machine

La démocratisation de l’IA soulève la perspective d’une collaboration accrue entre l’homme et la machine. Les outils d’IA pourraient agir comme des partenaires, offrant des insights et des suggestions, créant ainsi un environnement de travail collaboratif et novateur. Un peu comme un bot et le PVA déjà largement répandue, donc en réalité l’aspect collaboratif humain/machine est déjà adressé, le fait de le mettre plus en avant est un simple “cap” à passer en terme d’adoption.

Cette collaboration peut-elle représenter un risque ?

Cependant, derrière le potentiel révolutionnaire se cachent des risques significatifs. La perte d’emplois due à l’automatisation suscite des inquiétudes, nécessitant une réflexion sur la reconversion professionnelle et le soutien aux travailleurs affectés. De plus, les préoccupations éthiques liées à la confidentialité des données et à la prise de décision autonome soulèvent des questions cruciales quant à la responsabilité. Il est donc important dans certain cas, de penser à un bouton d’arrêt d’urgence. Et surtout d’être en capacité de définir quels sont les contenus sensible auxquels la machine peut ou pas avoir accès.

Avant de plonger tête baisser dans l’IA, il est donc nécessaire au delà de parler d’interrupteur, de poser un cadre règlementaire qui tienne la route. Des directives claires sur l’utilisation éthique, la transparence des algorithmes et la protection des données sont essentielles pour assurer un déploiement responsable et éthique de l’IA. Ce qui rejoins la vitesse de déploiement, ou de mise en place de l’IA en entreprise.

Nous parlons de collaboration, mais au final, les utilisateurs sont ils vraiment prêt ? Et comment les accompagner dans cette nouvelle démarche ?

La réussite de l’intégration d’un nouvel outil dans un environnement professionnel dépend en grande partie de la qualité de l’accompagnement des utilisateurs avec de la communication, des sessions de formations interactives, des tutoriels, des guides, mais aussi un support technique qui ce doit d’être réactif au même titre que du gain de temps proposé par l’outil, tout en laissant la possibilité de soumettre son feedback, sans oublier les communautés d’ambassadeur de ces nouveau outils. Le rapport aux outils informatique pour beaucoup ce limite a un usage, mais si vous êtes lecteur de ce blog, évidemment vous faites déjà beaucoup plus dans vos métiers. En tout état de cause, l’accompagnement, le change management et les cas métiers d’application de l’IA devront être murement réfléchis avant d’être mis entre les mains des utilisateurs de la vie de tous les jours

Vers un équilibre

L’intégration de l’IA en entreprise ouvre donc une nouvelle ère d’opportunités et de défis. (Précision, Vitesse, gain de Temps, etc. …)

Un déploiement rapide nécessite une évaluation minutieuse des implications sociales, éthiques, économiques, technologique, financière, et sécuritaire bien entendu.

Avec un leadership éclairé, des réglementations adaptées et une attention particulière aux enjeux humains, l’IA est j’en suis convaincu le moteur d’une transformation positive dans le monde du travail.

Hope this helps

Have fun & stay tuned !

L’hybridation entre un serveur Exchange local et Exchange Online est une configuration courante pour les entreprises cherchant à combiner les avantages des services de messagerie OnPremise et Cloud. Cependant, il peut y avoir des raisons de supprimer cette hybridation, que ce soit pour consolider votre infrastructure, économiser des coûts ou pour d’autres raisons. Alors quelles sont les étapes nécessaires pour supprimer l’hybride en toute sécurité ?

Avant toutes choses, demandez vous quelles sont les raisons de conserver un serveur hybride, la conservation d’un serveur Exchange hybride, même après avoir migré vers Exchange Online, peut être justifiée pour plusieurs raisons :

1. Migration progressive : Si la migration vers Exchange Online ce fait de manière progressive, vous pouvez choisir de maintenir un serveur Exchange hybride pour coexister avec les boîtes aux lettres Exchange OnPremise. Cela permet une transition en douceur et la possibilité de migrer les boîtes aux lettres à leur propre rythme.
2. Gestion unifiée : Un serveur Exchange hybride permet d’avoir une gestion unifiée des boîtes aux lettres locales et cloud, simplifiant les tâches administratives.
3. Fonctionnalités hybrides : Exchange hybride offre certaines fonctionnalités avancées telles que le partage de calendrier entre boîtes aux lettres locales et cloud, ce qui peut être utile dans des scénarios spécifiques (emplacement des données, règles de conformité, etc. …).
4. Archivage et rétention : Si une entreprise utilise des fonctionnalités avancées d’archivage et de rétention, il peut être plus simple de les gérer avec un serveur Exchange hybride.
5. Applications dépendantes d’Exchange OnPremise : Si des applications ou des services internes dépendent d’un serveur Exchange local, la conservation d’un serveur hybride peut être nécessaire pour assurer leur fonctionnement.
6. Intégration avec d’autres services locaux : Si l’entreprise utilise d’autres services locaux qui nécessitent une intégration étroite avec Exchange, la conservation d’un serveur hybride peut être nécessaire également.
7. Réversibilité : En conservant un serveur Exchange hybride, vous gardez la possibilité de revenir en arrière et de réimporter des boîtes aux lettres d’Exchange Online vers le serveur local si cela devait devenir nécessaire.

Cependant, il est essentiel de noter que la conservation d’un serveur Exchange hybride peut également entraîner des coûts et de la complexité supplémentaire en termes de gestion et de maintenance. Il est important de peser soigneusement les avantages et les inconvénients pour décider si la conservation d’un serveur Exchange hybride est appropriée pour votre entreprise.

Si tout les éléments si dessus sont clair, alors voici les étapes à considérer :

Préparation et Planification

La première étape essentielle est une préparation minutieuse afin de s’assurer des services utilisés et des répercutions possibles. Il est donc naturel de commencer par une :

• Sauvegarde des données : Des sauvegardes complètes de toutes les données critiques, y compris les boîtes aux lettres, les règles de transport et autres paramètres dont vous pourriez avoir besoin.
• Communication avec les utilisateurs : Informez vos utilisateurs de tout impact potentiel sur leurs boîtes aux lettres, y compris les interruptions possibles pendant le processus.
• Vérifier les dépendances des publics folders, très souvent oubliées.

Routage du Courrier

• Redirigez le courrier sortant : Configurer votre serveur Exchange hybride pour rediriger le courrier sortant vers votre serveur Exchange Online.
• Redirigez le courrier entrant : Redirigez le courrier entrant destiné aux boîtes aux lettres Exchange locales vers les boîtes aux lettres Exchange Online.

Déplacement des Boîtes aux Lettres

• Si nécessaire, déplacez les boîtes aux lettres d’Exchange OnPremise vers Exchange Online. Pour les BAL restantes, optez pour des PST.
• Désactivation de la synchronisation de boîte aux lettres : Si vous utilisez Azure AD Connect pour synchroniser des comptes, vous devez envisager de désactiver cette synchronisation. Mais nous verrons cela plus tard.

Suppression de l’Hybride

• Utilisez l’Assistant de Configuration de l’hybride d’Exchange pour supprimer la configuration d’hybridation. Cette étape doit faire parti de votre plan d’atterrissage.
• N’oubliez pas la partie OAuth si nécessaire.

Mise à Jour des SCP et Enregistrements DNS

• Mettez à jour les enregistrements DNS pour acheminer le courrier correctement vers votre environnement Exchange local, en modifiant les enregistrements MX et autodiscover.
• Retirer les connecteurs d’envoie du serveur OnPremise
• Retirer les connecteurs depuis Office 365
• Supprimer les configurations de partage organisationnel

Tests et Validation

• Tester pour vous assurer que le courrier est acheminé correctement, que les boîtes aux lettres fonctionnent comme prévu, et que tous les utilisateurs ont accès à leurs données.

Suppression d’Exchange OnPremise

• Si nécessaire, vous pouvez supprimer les boîtes aux lettres Exchange OnPremise ainsi que les bases de données associées, ainsi que les boites qui sont sous monitoring. De toute manière le wizard vous indiquera si un élément est manquant et vous empêchera de supprimer tout éléments non décommissionnés proprement. . (Elément qui aura été sauvegardé dès la première étape).

Nettoyage et Vérification

• Supprimez les objets hybrides inutiles, tels que les objets de synchronisation Active Directory, et vérifiez que tout est correctement configuré dans votre environnement Exchange local.

Conclusion

La suppression de l’hybridation d’un serveur Exchange avec Exchange Online est une opération complexe, mais avec une planification minutieuse et des tests rigoureux, elle peut être réalisée avec succès.

Hope this helps, & stay Tuned

Hi folks,

La sécurité des données est une préoccupation majeure dans le monde numérique d’aujourd’hui, et Google Workspace offre un ensemble de fonctionnalités de sécurité robustes pour protéger vos comptes et vos informations. Que vous utilisiez Google Workspace pour votre entreprise, ou vos besoins personnels, comprendre et mettre en œuvre ces mesures de sécurité est essentiel pour garantir que vos données restent confidentielles et sécurisées.

Authentification Multi-Facteurs (MFA)

L’authentification multi-facteurs (MFA) est l’une des premières lignes de défense pour la sécurité des comptes. Google Workspace propose le MFA, ce qui signifie que vous devrez fournir une deuxième forme d’authentification, en plus de votre mot de passe, pour accéder à votre compte. Cela peut inclure un code généré par une application mobile, un SMS ou une clé de sécurité. Le MFA rend la tâche beaucoup plus difficile pour les pirates qui tentent d’accéder à vos comptes, car ils devront alors être aussi en possession de votre numero de téléphone, ou du téléphone lui-même et disposer du code de déverrouillage, voir de vos code biométrique… bref c’est beaucoup plus compliqué pour eux

Contrôle d’Accès Basé sur les Rôles aka RBAC

Google Workspace permet une gestion fine des autorisations. Vous pouvez attribuer différents niveaux d’accès à vos utilisateurs en fonction de leurs rôles. Par exemple, un employé du service des ressources humaines peut avoir un accès limité aux données financières, tandis qu’un directeur financier a un accès complet. Cette granularité des autorisations garantit que seules les personnes autorisées ont accès aux informations sensibles.

Il est également possible avec l’accès conditionnel de Microsoft de limiter ces contrôles en fonction d’une zone géographique précise. Par exemple, le directeur financier dans son bureau aura un accès complet alors que s’il est en déplacement dans un pays étranger son accès pourrait être restreint.

Chiffrement des Données

Google Workspace utilise le chiffrement des données en transit et au repos. Cela signifie que vos données sont cryptées lorsqu’elles sont transférées entre les serveurs de Google et lorsqu’elles sont stockées sur leurs serveurs. Même si quelqu’un interceptait ces données, elles resteraient indéchiffrables sans la clé appropriée.

Gestion des Appareils Mobiles

Avec le nombre croissant d’appareils mobiles utilisés pour accéder aux comptes Google Workspace, il est essentiel de les gérer en toute sécurité. Vous pouvez mettre en œuvre des politiques de gestion des appareils pour imposer des règles de sécurité, telles que la configuration de mots de passe ou la suppression à distance des données en cas de perte d’un appareil. Le MDM et le MAM permettent de répondre à ce type de besoin.

Filtrage des Courriels et des Contenus

Google Workspace intègre des outils de filtrage des courriels et des contenus pour détecter et bloquer les menaces. Les filtres antiphishing et antimalware protègent votre boîte de réception contre les courriels dangereux, tandis que les règles personnalisées vous permettent de contrôler le contenu sortant pour prévenir la fuite de données sensibles.

Audits et Surveillance

Les audits et la surveillance sont essentiels pour garder un œil sur l’activité de votre compte. Google Workspace propose des outils pour examiner les journaux d’audit, identifier les anomalies et prévenir les menaces potentielles. Vous pouvez également configurer des alertes pour être informé en temps réel de tout comportement suspect.

Sensibilisation à la Sécurité

La sécurité dépend également de la sensibilisation des utilisateurs. Assurez-vous que votre équipe est formée aux meilleures pratiques de sécurité, telles que la création de mots de passe forts, le signalement des courriels suspects et l’utilisation de MFA.

Conclusion

La sécurité des comptes et des données dans Google Workspace est une priorité absolue, mais elle dépend également de la vigilance de l’utilisateur qui reste en réalité la première faille du système. En combinant les fonctionnalités de sécurité de Google Workspace avec une utilisation responsable et informée, vous pouvez garantir que vos informations restent en sécurité et confidentielles. N’oubliez pas de mettre à jour régulièrement vos pratiques de sécurité pour rester en avance sur les menaces en constante évolution.

N’oubliez pas que la sécurité est un processus continu, et il est essentiel de suivre les dernières mises à jour de sécurité et de rester au fait des menaces potentielles pour garantir la sécurité de vos comptes et de vos données dans Google Workspace ou n’importe quel environnement Cloud.

Stay tuned & Have fun,

Hi folks,

La sécurité des mots de passe est cruciale dans le monde actuel, où les menaces en ligne sont omniprésentes. Microsoft 365 propose plusieurs options pour renforcer la sécurité des mots de passe, dont le Password Hash Synchronisation (PHS). Dans cet article, j’explore en détail ce qu’est le PHS, comment il fonctionne, et pourquoi il est important pour la sécurité et la gestion des mots de passe dans Microsoft 365.

Qu’est-ce que le Password Hash Synchronisation (PHS) ?

Le Password Hash Synchronisation est un composant essentiel de la suite de sécurité de Microsoft 365. Il permet de synchroniser les hachages de mots de passe depuis un environnement local, tel qu’un Active Directory, vers Azure Active Directory (Azure AD). Cette synchronisation simplifie la gestion des mots de passe en garantissant que les utilisateurs n’ont qu’un seul mot de passe à gérer, tout en renforçant la sécurité.

Comment fonctionne le PHS ?

Le PHS fonctionne en copiant le hash du mot de passe de l’utilisateur à partir de l’environnement local (Active Directory) vers Azure AD. Lorsqu’un utilisateur tente de se connecter à un service Microsoft 365, son mot de passe est haché localement et comparé au hachage stocké dans Azure AD. Si les hachages correspondent, l’utilisateur est authentifié avec succès. (Sur le principe c’est plutôt fastoche)

L’avantage majeur du PHS est que les mots de passe réels ne sont jamais transmis à Azure AD, garantissant ainsi la confidentialité des mots de passe. Mais il y en a qque autres :

Avantages du PHS

• Sécurité renforcée : Le PHS renforce la sécurité des mots de passe en évitant la transmission de mots de passe en texte brut vers Azure AD, ce qui réduit le risque de compromission.
• Simplicité de gestion : Les utilisateurs ont un seul mot de passe à gérer, ce qui simplifie leur expérience et réduit le risque de réutilisation de mots de passe faibles. (SSO)
• Compatibilité avec les solutions locales : Le PHS fonctionne bien avec les solutions locales existantes, notamment Active Directory, ce qui facilite la migration vers Microsoft 365.

Ca vous plait ? alors voyons comment mettre ça en place

Mise en place du PHS

La mise en place du PHS dans votre environnement Microsoft 365 nécessite des étapes spécifiques, notamment la configuration de l’outil Azure AD Connect. Voici un aperçu des étapes :

• Installation d’Azure AD Connect
• Configuration de la synchronisation de hachage de mots de passe
• Validation et surveillance de la synchronisation

Considérations de sécurité

Lors de l’activation du PHS, il est important de prendre en compte des mesures de sécurité supplémentaires, telles que la protection de l’environnement local et la surveillance des journaux d’audit.

Quelques Best Practices

Voici quelques recommandations back from field pour mettre en place le PHS de manière sécurisée :

1. Utilisez une infrastructure sécurisée : Assurez-vous que l’infrastructure locale, en particulier votre serveur Active Directory, est correctement sécurisée. Appliquez les correctifs de sécurité, utilisez des sécurités solides et surveillez activement votre environnement.
2. Mise à jour d’Azure AD Connect : Utiliser la version la plus récente d’Azure AD Connect, car Microsoft publie régulièrement des mises à jour avec des corrections de sécurité et des améliorations.
3. Utilisez un compte de service dédié : Pour la synchronisation, créez un compte de service dédié avec des privilèges limités au sein de votre environnement local. Évitez d’utiliser des comptes d’administrateur à haut privilèges.
4. Authentification multifacteur (MFA) pour les administrateurs : Activez l’authentification multifacteur pour les comptes d’administrateur Azure AD et les comptes associés à Azure AD Connect. Cela ajoute une couche de sécurité supplémentaire. Pareil pour l’accès conditionnel.
5. Surveillance des journaux d’audit : Surveillez régulièrement les journaux d’audit de votre infrastructure locale et d’Azure AD Connect pour détecter toute activité suspecte ou des problèmes de synchronisation.
6. Accès basé sur les rôles : Limitez l’accès à Azure AD Connect et aux paramètres de synchronisation à un groupe restreint d’administrateurs. N’accordez ces droits qu’aux personnes qui en ont besoin.
7. Mise en place de règles de mot de passe robustes : Assurez-vous que des règles de mot de passe solides sont en place dans votre environnement local. Poussez l’utilisation de mots de passe complexes et la rotation régulière des mots de passe.
8. Sécurité physique et réseau : Protégez physiquement les serveurs hébergeant Azure AD Connect et l’infrastructure locale.
9. Formation des utilisateurs : Sensibilisez les utilisateurs finaux à l’importance de la sécurité des mots de passe et de la protection de leurs identifiants. Encouragez l’utilisation de l’authentification multifacteur (MFA) et/ou de l’accès conditionnel.
10. Plan de réponse aux incidents : Élaborez un plan de réponse aux incidents pour réagir rapidement en cas de compromission potentielle ou de problèmes de sécurité liés au PHS.
11. Cryptage des canaux de communication : Assurez-vous que les canaux de communication entre votre environnement local et Azure AD sont cryptés à l’aide de protocoles sécurisés, tels que TLS.
12. Restauration et sauvegarde : Mettez en place des procédures de sauvegarde pour les données sensibles et pour la configuration d’Azure AD Connect afin de pouvoir restaurer en cas de besoin.

Conclusion :

Le Password Hash Synchronisation (PHS) est un outil puissant pour renforcer la sécurité des mots de passe et simplifier leur gestion dans Microsoft 365. En comprenant son fonctionnement, ses avantages et en suivant les best practices, votre entreprise peut améliorer significativement sa sécurité informatique tout en offrant une expérience utilisateur fluide.

Le PHS ne doit toutefois pas être la seule mesure de sécurité en place. Combiné à d’autres stratégies telles que l’authentification multifacteur (MFA), l’accès conditionnel et la sensibilisation des utilisateurs, il contribue à créer un environnement de sécurité informatique robuste.

Have fun & Stay Tuned !

Hi folks,

J’espère que vous allez bien,

La sécurisation de la messagerie Exchange Online est cruciale pour les entreprises qui souhaitent protéger leurs communications sensibles et leurs données confidentielles. Dans cet article, nous passerons en revue les points indispensables à prendre en compte pour assurer une protection solide de votre environnement Exchange Online. Nous aborderons également les actions nécessaires dès le départ ainsi que celles qui peuvent être envisagées ultérieurement pour renforcer davantage la sécurité.

Points indispensables pour la sécurisation de la messagerie Exchange Online :

• Authentification forte : Mettez en place une authentification multi-facteurs (MFA) pour tous les utilisateurs afin d’ajouter une couche supplémentaire de sécurité lors de la connexion.
• Accès conditionnel : Mettre en place des règles d’accès conditionnelles est également quelque chose qui vous permettra en fonction des contextes de garder le contrôle de QUI QUOI OU COMMENT des accès.
• Gestion des droits d’accès : Définissez des autorisations et des rôles appropriés pour chaque utilisateur, en limitant l’accès aux fonctionnalités et aux données uniquement aux personnes autorisées.
  • Privilèges administratifs : Évitez d’accorder des privilèges administratifs excessifs. Limitez l’accès aux fonctionnalités d’administration aux seules personnes qui en ont besoin pour leurs tâches spécifiques. (PIM par exemple)
  • Groupes de sécurité : Utilisez des groupes de sécurité pour gérer les autorisations plutôt que d’accorder des autorisations individuelles, ce qui facilite la gestion des droits d’accès.

• Chiffrement des données : Activez le chiffrement (TLS) de bout en bout pour les e-mails sensibles, aussi bien en transit qu’au repos, afin de protéger les informations contre les attaques et les fuites éventuelles.
• Protection contre les menaces : Utilisez des solutions de sécurité avancées, telles que Microsoft Defender for Office 365, pour détecter et bloquer les attaques de phishing, les logiciels malveillants, les safe links, ransomware, et autres menaces.
• Gestion des journaux d’audit : Surveillez les activités des utilisateurs et des administrateurs en activant les journaux d’audit pour détecter rapidement toute activité suspecte ou non autorisée.
• Sensibilisation à la sécurité : Organisez régulièrement des formations de sensibilisation à la sécurité pour les utilisateurs, afin de les informer des meilleures pratiques et des risques potentiels liés à la messagerie.

Actions nécessaires dès le départ :

1. Configuration initiale sécurisée : Lors du déploiement d’Exchange Online, assurez-vous de suivre les bonnes pratiques de sécurité recommandées par Microsoft pour une configuration initiale solide.
   • Pour les éléments liés à l’identité des utilisateurs / administrateurs
   • Pour les éléments liés à la configuration du device, voir du device lui même
   • Pour les éléments liés à la donnée (notion de conformité des données par exemple)
2. Surveillance proactive : Mettez en place des outils de surveillance pour détecter les incidents de sécurité potentiels et les vulnérabilités, afin de réagir rapidement aux menaces émergentes. (XDR vous aidera sur ces types de sujets et va très loin dans l’aide à la prise de décision)

Actions intéressantes à envisager ultérieurement :

1. Intégration de solutions tierces : Explorez des solutions tierces pour compléter la sécurité de votre messagerie Exchange Online, telles que des outils de détection avancée des menaces et des solutions de gestion des droits d’accès. (XDR, CASB)
2. Analyse comportementale : Utilisez des outils d’analyse comportementale pour identifier les activités anormales ou suspectes dans les comptes d’utilisateurs, ce qui peut indiquer des compromissions potentielles.
3. Pare-feu applicatif : Mettez en place des pare-feux applicatifs pour contrôler le trafic entrant et sortant de votre environnement Exchange Online, renforçant ainsi la protection contre les attaques.

https://techcommunity.microsoft.com/t5/microsoft-defender-for-office/bg-p/MicrosoftDefenderforOffice365Blog/label-name/Email%20Protection%20Basics

La sécurisation de la messagerie Exchange Online est un impératif pour toutes les entreprises qui cherchent à protéger leurs données sensibles et à prévenir les attaques de plus en plus sophistiquées. En appliquant les points indispensables évoqués dans cet article et en prenant des mesures dès le départ, les entreprises peuvent créer une base solide. De plus, en envisageant des actions intéressantes ultérieurement, elles peuvent renforcer leur posture de sécurité et se prémunir contre les menaces émergentes. La messagerie est l’une des principales cibles, et il est essentiel de rester vigilants et proactifs pour faire face aux défis de la cybersécurité contre les menaces dans un environnement en constante évolution.

Hope this helps,

Hi folks,

J’espère que vous allez bien,

Dans cet article je vais vous présenter AuthenticatorLite, alors à quoi ça sert ? Comment l’activer ? Qui l’active ? Ce que ca change ? c’est par ici

Tout d’abord il faut savoir que Authenticator Lite est disponible pour l’application Outlook sur les plateformes iOS et Android.
L’application Outlook va alors permettre aux utilisateurs qui ne disposent pas de l’application Authenticator (la vraie) installée, de pouvoir approuver les demandes de MFA.

Cette nouveauté (de Juin 2023) va permettre pour les utilisateurs qui utilisaient la voix et le SMS de pouvoir renforcer leur sécurité. (Et oui, car le SMS et la voix ne sont pas complètement sécurisé – sms en clair, pstn de l’opérateur, etc etc. …) Tout les détails du pourquoi sont par ici >> Lien 

Donc une fois activé, l’utilisateur de l’application Outlook (iOS / Android) sera alors prompté pour enregistrer son compte directement depuis l’app.
Cela corresponds à la partie authenticator settings de votre tenant afin d’être “Microsoft Managed”
Et, si vous ne souhaitez pas l’activer, passer l’option en disabled ou bien créer une règle d’exclusion pour les utilisateurs.

Pourquoi l’activer ? Et bien disons qu’il y a très peu de raison de le désactiver surtout…
Oui certaines entreprises préfèrent un déploiement contrôlé avec de petits groupes d’utilisateurs. Et, d’autres pourraient être en plein déploiement du MFA et souhaiteraient pousser authenticator lite un peu plus tard.
En tout cas, les paramètres d’administration vous donnent la flexibilité nécessaire afin de gérer ça comme vous l’entendez

Ceci dit, c’est bien mais …. (forcément)
Authenticator reste de loin la meilleure expérience que vous puissiez offrir à vos utilisateurs pour la mise en place du MFA et du SSO.

Authenticator Lite, ne permet pas de :
– Faire du Self Service Password Reset (SSPR)
– Etre utiliser comme un passwordless
– Etre enregistré sur la page aka.ms/mysecurityinfo
– Gérer des contextes (localisation, etc. …)
– Stocker vos password (comme un keypass ou autre)
et surtout il fonctionne comme un broker d’application.

Je vous partage le lien d’administration par ici >> Lien

Happy déploiement !

& Stay Tuned