Konference Microsoft Ignite opět udržela stanovenou laťku a odhalila nemálo zajímavých novinek, které uživatele, ale také správce čekají v cloudových službách již tento rok. Pojďme si je společně představit.
Podpora tabulek v Poznámkovém bloku
Tak na to jsme všichni netrpělivě čekali. No dobře, ne možná všichni. Poznámkový blok, tedy starý dobrý Notepad se v posledních aktualizacích naučil používání jednoduchých tabulek. A to díky podpoře Markdown syntaxe. Funkce naštěstí zcela závisí na uživateli, který může mezi jednotlivými editačními režimy volit.
Ale nyní už na vážnější notu.
Microsoft Security Copilot v licencích Microsoft 365 E5
Jednoduše nejvíc nejdůležitější oznámení celé konference. Security Copilot, který umožňuje správcům využít pomoci AI a AI agentů v konzolích Microsoft Defender XDR, Microsoft Sentinel, Microsoft Purview, Microsoft Intune a Entra ID a který bylo nutné licencovat dle užití pomocí Azure kreditů a poměrně dražších SCU (Security Computing Unit), nyní přichází do licencí Microsoft 365 E5.
Správci tak dle počtu těchto licencí dostanou příslušný počet SCU na daný měsíc v uvedeném poměru. Tedy čím více licencí E5, tím více SCU. Toto je poměrně velké přiblížení tak silného nástroje více organizacím. Navíc těm, které již tyto produkty využívají a mohou svým bezpečnostním i IT správcům nabídnout silné možnosti pro rychlější automatizaci i práci s konzolí.
Do prostředí navíc přicházejí noví agenti, kteří dokáží kontinuálně pomoci s tříděním phishing e-mailů, triáží incidentů, dohledem nad pravidly podmíněného přístupu a jejich optimalizaci a nebo třeba řešením a řízením zranitelností napříč koncovými stanicemi. Dokáží tak příjemně ulevit správcům s každodenními úlohami, které zabíraly nemalý čas.
Pokud licence E5 máte k dispozici v dostatečném počtu, včas obdržíte notifikaci v administračním centru, že vám bude zřízena výchozí instance. A pokud by vám snad poskytnuté SCU nestačily, lze je samozřejmě dále přes Azure zajistit v rámci PAYG modelu.
Intune Suite v licencích Microsoft 365
Nemálo praktičtější oznámení a stejně důležité je pak inkluze Intune Suite balíčku do jednotlivých Microsoft 365 plánů, konkrétně E3 a E5. Logicky pak vyšší plány obdrží všechny funkce, nižší jen některé. Bohužel inkluze Entra Suite jsme se nedočkali.
Remote Help
Vzdálená podpora uživatelů je zásadní částí náplni IT oddělení. Pomáhat přes Teams není vždy optimální a Intune chyběl komplexní nástroj jako byl ve starém dobrém SCCM nebo nověji MECM v podobě Remote Tools. Tak nyní již nechybí. S uživatelem je možno sdílet plochu, komunikovat, celá relace navíc podléhá kontrolám podmíněného přístupu.
Intune Advanced Analytics
Pokročilá analytika koncových bodů rozvíjí myšlenku, že proaktivní přístup brání mnoha problémům. Můžete tedy spouštět různé dotazy vůči inventáři stanic, nebo v rámci Endpoint Analytics sledovat rozšířené reporty o zdraví zařízení, jeho výkonu a zdraví baterie.
Enterprise App Management
Správa balíčků pro instalaci aplikací byla vždy trochu náročná. Hlavně protože mnoho vývojářů stále preferuje tradiční instalátory místo Store distribuce. Tato služba obsahuje připravené balíčky nejznáměnších aplikací k instalaci i automatické aktutalizaci. Opět tak může šetřit čas IT, pokud někdo chce instalovat aplikace, které již v katalogu jsou a jejich detekce, instalace a odebrání již připravil ve formě skriptů samotný Microsoft.
Cloud PKI
Pokud potřebujete certifikáty a nemáte k dispozici veřejnou autoritu nebo interní v podobě servervého řešení, pak plně hostované a integrované řešení otvírá nové scénáře například pro zabezpečení komunikace nebo vydávání certifikátů pro interní účely. Které ovšem můžete snadno spravovat, řídit a pomocí nativní integrace s Intune doručovat na zařízení.
Endpoint Privilege Management
Elevace lokálních práv pomocí UAC (User Access Control) není vždy řešením, stejně jako ponechání práv lokálního správce uživatele obecně. S touto službou IT může poskytnout uživateli možnost časově omezené elevace jen pro schválené aplikace nebo aktivity. Tím eliminovat obrovský prostor pro útok, ale zároveň uživateli umožnit konkrétní volnost, nebo vyřešit problémy konkrétní aplikace, pokud neběží pod identitou správce.
Agent 365
Tato služba umožňuje správcům dohlížet na všechny AI agenty a integrace i aplikace, které přistupují ke službám Microsoft 365 a to samostatně nebo v kontextu uživatelů. Jednodný přehled a evidence odkazují nejen na katalog těchto aplikací, ale také na zajištění souladu s odkazy na doporučená nastavení z oblasti ochrany informací a samotných identit agentů.
Tato oblast bude stále více důležitá společně s nárůstem počtu řešení v této oblasti, především z důvodu, že současné ochranné mechanismy například u provozovaných MCP serverů nemusí vůbec platit.
Windows 365
Moderní virtualizace koncových systému bez infrastrukturního detailu se dočkává příjemných vylepšení, které z ní dělají řešení v kombinaci s předchozí novinkou jako zajímavé řešení pro kontraktory.
Windows 365 Reserve je virtuálním záložním počítačem, který můžete dočasně zapůjčit uživateli v případě selhání jeho primárního zařízení. S tím se pojí značně levnější cena a samozřejmě časové omezení, po jaké lze tento počítač používat.
Windows 365 s podporou B2B je řešením pro přístup externích uživatelů do organizace, kterým tak můžete jednoduše propůjčit celý virtuální počítač s vaší konfigurací a aplikacemi a zároveň po druhé straně vyžadovat jen identitu v Entra ID a aplikaci pro vzdálené připojení.
Windows 365 for Agents podporuje myšlenku, kdy každý agent pro svůj nerušený běh potřebuje svoje zařízení, které by ale mělo být spjato právě s uživatelem, který agenta potřebuje. Takový pak může agentovi svěřit stanici, aniž by jeho běh ovlivňoval práci samotného uživatele.
Passkeys
Nová forma přihlašování, která je jasně spjata s uživatelem i službou se po mobilních platformách dostává i na Windows a do Entra ID. Vývojáři tak mohou využít možnosti pro bezpečnější ověřování do svých aplikací, jak vidíte na obrázku níže.
Správci bezpečnosti pak mnohem lepší ověřování, které bojuje proti phishingu a vydávání se za server, kam by uživatel rád zadal své přihlašovací údaje a nebo předal token obsahující MFA. S Windows Hello for Business pak organizace má automaticky řešené bezpečnější ověřování v čase registrace zařízení do Entra ID právě s automaticky generovaným Device-Bound faktorem, které patří konkrétnímu zařízení. Podpora je samozřejmá mimo koncový systém i ve stávající Microsoft Authenticator aplikaci.
Pokud jste tuto formu přihlašování ještě nezkoumali, doporučujeme se na ní blíže podívat, protože bude v příštím roce nastavena jako výchozí pro uživatele v Entra ID, i systému Windows. Pro bezpečnost totiž jedině dobře.
Edge Management a Mobile Application Management
Prohlížeč Edge je bránou k internetu pro mnohé uživatele. Jeho správné nastavení nyní bylo možné provádět pomocí Intune a AD, tedy pomocí MDM a GPO. Nově ale Edge Management Service umožňuje i bez nasazení těchto technologií ovládat nastavení prohlížeče dle profilu přihlášeného uživatele napříč zařízeními, tedy i mobilními platformami. Do ruky tak brzy dostaneme jednotnou správu pro firemní i BYOD zařízení na Windows, macOS, iOS i Android.
A právě BYOD zařízení, nebo zařízení dodavatelů jsou častým vektorem útoku. Nově s pomocí podpory Mobile Application Management i na desktop operačních systémech umožní Edge řídit například ukládání stažených souborů, nebo jak na obrázku vidět, s pomocí vodotisku jasně určit toho, kdo pořídil snímek obrazovky a vynesl data mimo organizaci.
Defender XDR
Novinek v ochraně bylo nespočet, ale nejzásadnější byl takzvaný Adaptive Hardening. Je to speciální režim, ve kterém XDR ovládá doposud nenastavené bezpečnostní opatření a technologie, které dokáží zabránit pohybu útočníka v prostředí.
Praktický příklad. Organizace doposud nevypnula starší NTLM protokoly pro komunikaci vůči SMB sdíleným složkám. Defender vidí útok, kdy pomocí tohoto protokolu útočník vyčítá a útočí pomocí slabých hashů na okolní stanice a zařízení. Standardně by útok byl dále možný, protože IT nemá tuto ochranu aktivní.
Nově ale Defender po dobu aktivního incidentu tyto ochrany zapne selektivně na dotčených zařízeních, aby zabránil rozšíření incidentu a tím omezí působnost útočníka v prostředí. O tomto stavu a zásahu samozřejmě spraví v konzoli a záznamech celého incidentu. A zároveň dá IT jasnou zprávu o tom, že takové opatření by podobné hrozbě zabránilo zcela a že je na čase jej implementovat standardně.
Microsoft 365 Baseline Security Mode
Novinkou pro správce cloudových služeb je také nový režim bezpečnostního standardu. Ten v rámci konzole doporučuje všechna zásadní bezpečnostní nastavení napříč službami a umožňuje organizaci uzamknout do bezpečnějšího stavu vypnutím starších metod ověřování, nebezpečných aplikací, nedoporučených integrací a dalších nastavení, které moderně fungující organizace nepotřebují.
Umožní tím zvýšit zabezpečení před útočníky a pokud dovolíte sběr anonymních statistik užití, zobrazí a varují, zda nebude mít dané nastavení negativní dopad na uživatele. S pomocí tohoto režimu je tedy zabezpečení mnohem snazší a správce se tak nemusí vydávat tolik do dalších konzolí.
Bezpečnost Windows 11
V neposlední řadě se podívejme na novinky v koncovém operačním systému, které jsou spíše pod pokličkou a jejich projev uvidíme, až je využijeme.
Zero Trust DNS konečně řeší útoky, kdy pomocí tohoto protokolu byly ze sítí zcizovány informace nebo uživatel přesměrován na útočný web i přes další ochrany síťové vrstvy. Umožní IT definovat důvěryhodné DNS servery a zakázat komunikaci s ostatními pro jednotlivé scénáře připojení zařízení k internetu nebo lokálním sítím.
Post-Quantum kryptografie je pro budoucí bezpečný přenos a uchování informací po příchodu kvantových počítačů zásadní. Microsoft tak do systému přidává podporu pro nové šifrovací mechanismy, které jsou proti nim odolné. Podpora tak bude nejen v samotném prohlížeči, ale systému, jeho knihovnách a vyšších funkcích. Pro IT jistě logické, že po koncovém operačním systému přichází podpora pro Server a následně i certifikační autority v dalších vydáních.
Sysmon bude již nativní součástí operačního systému a nebude nutné jej explicitně doinstalovat. O to snazší bude sbírat ze systému relevantní bezpečnostní logy a případně předcházet nákaze ještě o kousek dříve.
Passkeys Sync umožňuje zřizovat tyto metody nejen lokální ve formě bezpečnějšího Device-Bound ověření, ale ukládat je též do Password Manager řešení v rámci Microsoft Edge nebo organizačního profilu ve formátu Syncable ověření, pokud jej služba podporuje a umožňuje. Tím se Windows značně přibližují Apple platformě, kde toto s aplikací Hesla (dříve Klíčenka) funguje již delší čas. S ověřením přes Windows Hello je nyní možné bezpečně uchovat tyto metody a nabídnout jejich vytvoření a použití i aplikacím.
Hardware Accelerated BitLocker potěší majitele novějších počítačů, kde tato funkce uspoří čas CPU, neboť kryptografické operace zařídí na nižší úrovni. Počítače s tímto nastavením tedy budou mít větší výdrž na baterii a dostatek výkonu pro uživatele.
Point in Time Recovery je evolucí bodů obnovy, které reaguje na nedávné incidenty s neúspěšnou aktualizací bezpečnostních nástrojů a doslova se umožní vrátit do poslední zdravé konfigurace a sestavení operačního systému.
Oprávnění pro Agenty a MCP na lokálním systému umožňuje stanovit pravidla přístupu AI například k souborovému systému. Organizace tak bude moci řídit, kterým agentům povoluje přístup, neboť prověřila jejich bezpečnost a soulad a povolila využití uživatelům. Tedy například Copilot ano, ChatGPT nikoliv.
Tím obecně přehled novinek nekončí, na samotné konferenci jich padlo mnohonásobně více. Tyto ale byly ty nejdůležitější právě pro správce IT a naše čtenáře. Pokud chcete získat kompletní přehled, následujte knihu novinek, takzvanou Ignite Book of News 2025.
