Nouveautés

• Un nouveau modèle prédéfini a été publié dans le 365 Tenant Manager, offrant un ensemble complet de paramètres et de stratégies conformes au CIS Microsoft 365 Foundations Benchmark v4.0. Ce modèle automatise les rapports et les actions correctives pour un large éventail de directives de sécurité, aidant les organisations à simplifier la conformité, réduire les risques et appliquer les meilleures pratiques dans leur environnement Microsoft 365.
• Les paramètres prédéfinis suivants ont été ajoutés à la bibliothèque, couvrant Exchange, Microsoft 365 (Général), Microsoft Teams et SharePoint :
  • Exchange
    • HS-S0058 – S’assurer que les enregistrements SPF sont publiés pour tous les domaines Exchange
      Vérifie que les enregistrements SPF sont publiés pour tous les domaines Exchange afin de prévenir l’usurpation d’identité par e-mail.
    • HS-S0059 – S’assurer que DKIM est activé pour tous les domaines Exchange Online
      Vérifie que DKIM est activé pour chaque domaine et que les enregistrements DNS CNAME des sélecteurs sont correctement configurés. Si l’option « Appliquer » est activée, DKIM est imposé.
    • HS-S0060 – S’assurer que les enregistrements DMARC sont publiés pour les domaines Exchange
      Vérifie que les enregistrements DMARC sont présents avec les indicateurs requis.
    • HS-S0084 – S’assurer que la dérogation à l’audit est désactivée
      Vérifie que la dérogation à l’audit est désactivée pour certains boîtes aux lettres dans Microsoft 365.
    • HS-S0099 – Restreindre les rôles interdits dans la stratégie d’attribution par défaut
      Vérifie que la stratégie d’attribution par défaut n’inclut pas des rôles comme MyCustomApps, MyMarketplaceApps ou MyReadWriteMailboxApps.
  • Microsoft 365 (Général)
    • HS-S0080 – S’assurer que Microsoft Authenticator protège contre la fatigue MFA
      Vérifie que Microsoft Authenticator est configuré et que la stratégie exige l’affichage de l’application et de l’emplacement pendant l’authentification multifacteur.
    • HS-S0088 – S’assurer que l’accès des invités est restreint
      Limiter l’accès invité empêche l’énumération malveillante des groupes et objets utilisateur dans Microsoft 365.
    • HS-S0092 – S’assurer que la création de nouveaux inquilinos par les utilisateurs non administrateurs est désactivée
      Cela empêche la création non autorisée ou incontrôlée de ressources.
    • HS-S0093 – S’assurer que tous les membres sont compatibles avec la MFA
      Vérifie que tous les utilisateurs sont enregistrés et activés avec une méthode forte autorisée par la stratégie.
    • HS-S0096 – S’assurer que les méthodes d’authentification faibles sont désactivées
      Contrôle l’accès à des méthodes telles que SMS, appel vocal ou code OTP par e-mail, afin d’imposer une authentification plus robuste.
    • HS-S0097 – S’assurer que les invitations sont limitées au rôle Guest Inviter
      Restreint la capacité d’invitation à des rôles spécifiques pour éviter des accès non contrôlés.
    • HS-S0100 – Supprimer les licences des utilisateurs bloqués
      Supprime les licences des utilisateurs dont l’authentification est bloquée pour optimiser l’usage des licences.
  • Microsoft Teams
    • HS-S0064 – Restreindre la participation des utilisateurs anonymes aux réunions selon la stratégie globale
      Garantit que les utilisateurs anonymes ne peuvent pas rejoindre les réunions selon la stratégie GLOBAL.
    • HS-S0065 – Restreindre l’accès direct des utilisateurs par appel téléphonique à une réunion (GLOBAL)
      Les utilisateurs PSTN doivent attendre dans le lobby conformément à la stratégie GLOBAL.
    • HS-S0066 – Seuls les utilisateurs invités sont automatiquement admis (GLOBAL)
      Appliqué à la stratégie globale, seuls les invités peuvent entrer automatiquement en réunion.
    • HS-S0067 – S’assurer que le chat en réunion n’est pas disponible pour les utilisateurs anonymes
      Désactiver le chat évite les discussions non surveillées et les risques de fuite de données.
    • HS-S0070 – S’assurer que les utilisateurs ne peuvent pas envoyer d’e-mails à une adresse de canal
      Contrôle qui est autorisé à envoyer des e-mails aux canaux Microsoft Teams.
    • HS-S0071 – Restreindre la présentation aux organisateurs uniquement
      Seuls les organisateurs peuvent présenter ou partager du contenu, réduisant les perturbations.
    • HS-S0073 – S’assurer que les stratégies DLP sont activées dans Microsoft Teams
      Les stratégies de prévention contre la perte de données protègent les informations sensibles.
    • HS-S0077 – S’assurer que le partage de fichiers avec des services cloud tiers est restreint aux approuvés
      Autorise uniquement certains fournisseurs comme Google Drive, Dropbox, Box, etc.
    • HS-S0079 – S’assurer que la communication avec Skype est désactivée
      Respecte les recommandations de sécurité CIS en désactivant la communication Skype.
    • HS-S0081 – S’assurer que l’enregistrement des réunions est désactivé par défaut
      L’enregistrement n’est possible que pour les organisateurs ou coorganisateurs.
    • HS-S0082 – S’assurer que le chat externe est désactivé dans la stratégie globale
      Désactive les conversations avec des utilisateurs externes dans les réunions Teams.
    • HS-S0083 – S’assurer que ZAP est activé dans la stratégie de protection globale de Teams
      Active Zero-hour Auto Purge (ZAP) pour supprimer automatiquement les menaces.
    • HS-S0085 – S’assurer que les utilisateurs peuvent signaler les risques de sécurité
      Permet de signaler des messages de phishing ou contenus suspects dans Teams.
    • HS-S0086 – S’assurer que la communication avec des utilisateurs Teams non gérés est désactivée (GLOBAL)
      Réduit les risques en bloquant toute interaction avec des utilisateurs non gérés.
    • HS-S0087 – Empêcher les utilisateurs externes de demander le contrôle pendant le partage d’écran
      Bloque les demandes de contrôle à distance dans les réunions Teams.
    • HS-S0091 – Restreindre les domaines externes dans Microsoft Teams
      Autorise uniquement certains domaines ou bloque tout accès externe non autorisé.
  • SharePoint
    • HS-S0076 – S’assurer que l’exécution de scripts personnalisés est restreinte
      Bloque les scripts personnalisés qui peuvent accéder à des données via les permissions de l’utilisateur.
    • HS-S0078 – S’assurer que l’intégration SharePoint/OneDrive avec Entra B2B est activée
      Permet une gestion unifiée des invités avec authentification via Entra ID.
    • HS-S0089 – S’assurer que le partage externe est limité aux domaines sur liste blanche ou noire
      Restreint les partages à certains domaines spécifiés.
    • HS-S0090 – S’assurer que les invités ne peuvent pas partager du contenu qu’ils ne possèdent pas
      Empêche les partages non autorisés de contenu par des invités.
    • HS-S0094 – S’assurer que les liens de partage sont restreints
      Définit un type de lien de partage et des autorisations plus sécurisés par défaut.
    • HS-S0095 – S’assurer que la réauthentification avec code est requise après un certain temps
      Oblige les invités à se réauthentifier après un certain délai.
    • HS-S0098 – S’assurer que l’accès invité expire automatiquement
      Supprime automatiquement l’accès des invités après un délai défini pour éviter des fuites de données.
• Les politiques prédéfinies suivantes pour Entra – Accès conditionnel ont été introduites dans la bibliothèque de politiques prédéfinies :
  • Entra – Accès conditionnel
    • HS-P0029 – S’assurer que la fréquence de connexion est appliquée et que les sessions persistantes sont désactivées pour les administrateurs
      Renforce la sécurité en exigeant des connexions régulières sans sessions permanentes.
    • HS-P0031 – S’assurer que les connexions à risque moyen ou élevé sont bloquées
      Bloque les connexions identifiées comme risquées pour éviter des compromissions.
    • HS-P0032 – S’assurer que l’accès aux portails d’administration est réservé aux rôles administratifs
      Protège les données sensibles en limitant l’accès aux seuls utilisateurs privilégiés.
    • HS-P0033 – S’assurer qu’un appareil géré est requis pour l’inscription MFA
      Réduit les risques d’enregistrement frauduleux en exigeant un appareil approuvé.
    • HS-P0034 – S’assurer que la synchronisation OneDrive est bloquée pour les appareils non gérés
      Bloque OneDrive et SharePoint pour tous les appareils non joints ou enregistrés dans Entra ID.