Search This Blog

vendredi 27 septembre 2019

AAD connect - nouvelle version

Bonjour à tous,

la nouvelle version de l'AAD connect 1.4.18.0 est sortie le 25-09-2019.

Cette nouvelle version apporte plusieurs nouveautés :


  • De nouveaux outils de résolution des problèmes permettent de corriger les scénarios « utilisateur non synchronisé », « groupe non synchronisé » ou « membre de groupe non synchronisé ».
  • Ajout d’une prise en charge des clouds nationaux dans le script de résolution des problèmes d’AAD Connect
  • Les clients doivent être informés que les points de terminaison WMI dépréciés pour MIIS_Service sont désormais supprimés. Toutes les opérations WMI doivent à présent être effectuées par le biais des applets de commande PS.
  • Amélioration de la sécurité en réinitialisant la délégation contrainte sur l’objet AZUREADSSOACC
  • Lors de l’ajout ou de la modification d’une règle de synchronisation, si des attributs sont utilisés dans la règle et qu’ils se trouvent dans le schéma du connecteur, mais ne sont pas ajoutés au connecteur, ces attributs sont automatiquement ajoutés au connecteur. Il en va de même pour le type d’objet affecté par la règle. Si quelque chose est ajouté au connecteur, le connecteur sera marqué pour une importation complète au cours du prochain cycle de synchronisation.
  • L’utilisation d’un administrateur d’entreprise ou de domaine en tant que compte de connecteur n’est plus prise en charge.
  • Dans le gestionnaire de synchronisation, une synchronisation complète est exécutée lors de la création, de la modification ou de la suppression d’une règle. Une fenêtre contextuelle s’affiche pour toute modification de règle, notifiant l’utilisateur que l’importation complète ou la synchronisation totale va être exécutée.
  • Ajout d’étapes d’atténuation pour les erreurs de mot de passe à la page Connecteurs > Propriétés > Connectivité
  • Ajout, dans la page des propriétés du connecteur, d’un avertissement de dépréciation du gestionnaire du service de synchronisation. Cet avertissement prévient l’utilisateur que des modifications doivent être apportées par le biais de l’Assistant AADC.
  • Ajout d’une nouvelle erreur pour les problèmes liés à la stratégie de mot de passe d’un utilisateur.
  • Prévention d’une erreur de configuration du filtrage de groupe par les filtres de domaine et d’UO. Le filtrage de groupe affiche une erreur lorsque le domaine ou l’unité d’organisation du groupe entré est déjà filtré et empêche l’utilisateur de poursuivre tant que le problème n’est pas résolu.
  • Les utilisateurs ne peuvent plus créer de connecteur pour Active Directory Domain Services ou Windows Azure Active Directory dans l’ancienne interface utilisateur.
  • Résolution du problème d’accessibilité des contrôles d’interface utilisateur personnalisés dans Synchronization Service Manager
  • Activation de six tâches de gestion de la fédération pour toutes les méthodes de connexion dans Azure AD Connect. (Auparavant, seule la tâche « Mettre à jour le certificat SSL AD FS » était disponible pour l’ensemble des connexions.)
  • Ajout d’un avertissement lors de la modification de la méthode de connexion, qui passe de la fédération à la synchronisation de hachage de mot de passe (PHS) ou à l’authentification directe (PTA), convertissant tous les utilisateurs et domaines Azure AD en authentification managée.
  • Suppression des certificats de signature de jeton dans la tâche « Réinitialiser Azure AD et l’approbation AD FS » et ajout d’une sous-tâche distincte pour mettre à jour ces certificats.
  • Ajout d’une nouvelle tâche de gestion de la fédération appelée « Gérer les certificats », qui contient des sous-tâches permettant de mettre à jour les certificats de signature de jeton ou les certificats SSL de la batterie de serveurs AD FS.
  • Ajout d’une nouvelle sous-tâche de gestion de la fédération appelée « Spécifier le serveur principal », qui permet aux administrateurs de préciser un nouveau serveur principal pour la batterie de serveurs AD FS.
  • Ajout d’une nouvelle tâche de gestion de la fédération appelée « Gérer les serveurs », qui comporte des sous-tâches permettant de déployer un serveur AD FS, un serveur proxy d’application web et de spécifier le serveur principal.
  • Ajout d’une nouvelle tâche de gestion de la fédération appelée « Afficher la configuration de la fédération », qui affiche les paramètres AD FS actuels. (En raison de cet ajout, les paramètres AD FS ont été supprimés de la page « Vérification de votre solution ».)


Comment mettre à jour mon AAD connect ? 

Je vais vous présenter la démarche pour effectuer les mises à jours de votre serveur AAD connect, notez que cette démarche est applicable et valable pour les configuration suivantes :

  • Un serveur AAD connect et moins de 100 000 objets 

Pour cela rien de plus simple, dans un premier temps il suffit de télécharger la dernière version de l'AAD connect via le lien Microsoft ci-dessous:




Il est possible de vérifier la version et la date de publication de celle ci au moment du téléchargement comme ceci :

Une fois téléchargé, placez le MSI  dans votre serveur AAD connect et lancez le comme ceci :



Nous arrivons ensuite sur la fenêtre d'upgrade de l'AAD connect comme on peut le voir. 

Veuillez noter ce détail important : "durant la mise à jour, la synchronisation des objets vers azure Ad sera interrompue"

Cliquez ensuite sur Upgrade.



Une Authentification avec votre compte global admini Azure Ad sera demandée comme ceci, entrez vos informations ( user + mot de passe).



Une fois connecté, laissez l'option "Start the synchronization process when configuration completes" et cliquez sur Upgrade afin de commencer la mise  à jours de votre AAD connect.


Une fois la mise à jours terminé et réussie, vous devrez obtenir le message suivant.

Vous pouvez à présent cliquer sur Exit afin de fermer l'assistant de l'AAD connect , à l'issue de la fermeture, la synchronisation reprendra son cycle.

  

Vérification 


Afin de vérifier  , il suffit de lancer le Synchronization Service comme ceci :



Une fois lancé, allez dans Help et cliquez sur About  :



On peut voir que l'AAD connect est bien mis à jour avec la version la nouvelle version 1.4.18.0:




Il faut penser aussi à vérifier vos règles de synchronisation en lançant l’éditeur de règle de synchronisation :




Bonne montée de version :)

Cdt,
ST
Microsoft Azure MVP



mercredi 21 août 2019

Speaker - aOS Monaco

Hello,

j'ai le plaisir de nous annoncer ma participation à l'aOS Monaco en tant que speaker.





voici l'agenda de la journée  :




Pour ma part je vais présenter Microsoft Threat Protection.

au plaisir de vous voir sur Monaco :)

Cdt,
ST
Microsoft Azure MVP


lundi 29 juillet 2019

Microsoft MVP Azure 2019-2020

Hello à tous,

Comme chaque année, le 1 er juillet est la date à la quelle Microsoft nous informe des renouvellement des titres Microsoft MVP.

Je suis heureux de vous annoncer mon renouvellement pour la 5 eme année de suite. Un grand changement cette année, après 4 ans de MVP dans la catégorie Cloud and Datacenter Management, je suis passé Microsoft MVP Azure.






Un grand merci à vous, la communauté Microsoft qui me suis au quotidien.

Un grand Merci à mon MVP lead Martine pour le travail qu'elle effectue auprès des MVPs et pour finir un grand Merci à Microsoft.

@bientot les amis pour d'autres articles et surprises comme toujours ;)

ST,
Microsoft Azure MVP 


samedi 22 juin 2019

Azure Bastion - Public Preview


Bonjour à tous,

Nous allons aujourd’hui traiter un nouveau sujet :  Azure Bastion. C’est un service très prometteur qui vient de sortir et qui est disponible en public Preview.

Le 18 juin 2019, les équipes Azure annoncent la sortie d'Azure Bastion.



Ce service est en preview et accessible depuis le portail preview d’Azure. Il est important de rappeler qu’il n’est pas conseillé de déployer Azure Bastion sur vos tenants de production, et attendre la version GA qui sortira dans quelques mois. 

Si vous souhaitez tester Azure Bastion Preview, testez le uniquement sur vos environnements de LAB uniquement.

Introduction


Avant Azure Bastion,  nous avions les possibilités suivantes pour se connecter sans VPN aux machines virtuelles Azure ( Windows - Linux):

  •         La mise en place d’une zone DMZ avec un serveur de rebond (JumpBox) exposé sur le net en 3389 / 22. Grâce à ce serveur on peut ensuite rebondir et se connecter sur les machines virtuelles présentes dans le LAN du virtual network.


  •         La mise en place d’une infra bastion basée sur RDS qui est très coûteuse et très contraignante au niveau administration.


Bien entendu ici je parle dans le cas ou nous n’avons pas de VPN entre le site local et Azure, car dans ce cas, il est bien entendu possible de se connecter sur les machines virtuelles avec leur adresse ip privées au travers du VPN ( site to site ) ou alors Point to site.


Azure Bastion


Azure Baston est simplement un service PaaS qui permet l’accès aux machines virtuelles (Windows – Linux) depuis l’extérieur de manière sécurisée. 

Plus besoin d’une zone de rebond ou d’une infrastructure  bastion coûteuse, Azure Bastion va permettre aux administrateurs se connecter aux machines virtuelles Azure en un clic via du HTML5 directement depuis le portail Azure.

Il est important de noter :  Azure Bastion est déployé sur votre Virtual Network et va interagir avec les subnets internes, ceci permet  d’éviter d’avoir des adresses ip publics pour vos machines virtuelles, il évite donc l’exposition des adresses ip publics des machines virtuelles sur le net.

  
Azure Bastion Design :

Voici le fonctionnement en détail d’Azure Bastion : nous avons le service Azure Bastion qui est exposé en 443 sur le net, ce dernier est intégré au Virtual network et permet de se connecter à toutes les machines virtuelles qui sont derrière ce Virtual network avec leur adresse ip privées.

Toutes les communications entre l’administrateur ( qui se trouve à l’extérieur) et l’Azure Bastion sont chiffrées via du SSL.

Il est important de rappeler qu'aucun agent n’est nécessaire sur les machines virtuelles, tout se fait au niveau réseau entre le service Bastion et les machines virtuelle Azure.


Le déploiement d’Azure bastion se fait par virtual network et non par tenant, donc si vous avez plusieurs Virtual network, il est nécessaire de déployer Azure bastion pour chaque virtuel network.

Les avantages qu’offre Azure Bastion :
  •         Déploiement et intégration très simple
  •         Infrastructure bastion peu coûteuse
  •         Connexon en RDP et SSH en un clic depuis l’extérieur de manière sécurisée
  •         Pas d’exposition de vos machines en RDP ou SSH sur le net
  •         Possibilité d’utiliser ses propres clés SSH
  •         Connexion chiffrée (SSL)
  •         Connexion web moderne avec du HTML 5


Disponibilité du service 

Il est possible de déployer Azure Bastion sur les régions suivantes :
·        West US
·        East US
·        West Europe
·        South Central US
·        Australia East
·        Japan East


Comment je peux déployer Azure Bastion ?

Azure Bastien est disponible sur le portail Azure Preview, pour la suite de cet article, il est nécessaire d’aller sur le portail suivant :

-        http://aka.ms/BastionHost

De quelles manières je peux le déployer ?

Il y a deux façons :
  •         En créant le service Host azure Bastion depuis le marketplace Azure
  •         Depuis une machine virtuelle directement ( au niveau des paramètres)




Tarif :

Voici les tarifs que propose Microsoft. En euro pour la région Europe de l’ouest :



 En franc Suisse :



Microsoft offre 50% du tarif sur la version preview du service.

Déploiement Azure Bastion :

Avant de commencer la création et le déploiement de votre Host Azure Bastion, il est important d’enregistrer AllowBastionHost  au niveau de votre tenant Azure.

Pour cela, il est nécessaire de passer les commandes PowerShell suivantes :

#Installation du Module AzureRM
Install-Module AzureRM - AllowClobber

Set-ExecutionPolicy Unrestricted

#Import du module AzureRM

Import-Module AzureRM

#connexion en Powershell à votre tenant Azure
Connect-AzureRmAccount


#Enrollment de la fonctionnalité BAstionHost dans le provider Microsft.Network
Register-AzureRmProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network

#enregsitrement de votre tenant
Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Network


#Vérification
Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Network


Il est possible aussi de le faire directement via votre Azure cloudshell comme ceci :






Il est aussi possible de vérifier l’enregistrement du provider Microsft.Network comme ceci :




Il est temps maintenant de créer notre host Bastion. Pour cela nous allons tout d’abord crée un subnet au niveau de notre Virtual network nommé : AzureBastionSubnet comme ceci : ( car Azure Bastion requière un subnet nommé ainsi en /27

Les caractéristiques  du subnet :
  •         Nom : AzureBastionSubnet
  •         Masque de sous-réseau : /27
  •         Ne pas appliquer de NSG dessus pour l’instant

  
Une fois le subnet AzureBastionSubnet crée, il est possible maintenant de créer notre host bastion, pour cela, depuis le portail Azure preview, cliquez sur « Create a ressource » vous allez arriver sur le marketplace.

Ensuite, cherchez le service simplement avec le mot Bastion , et cliquez  sur le résultat « Bastion (Preview) » comme ceci :


Cliquez ensuite sur « Create » : 




Ensuite, saisir les informations suivantes :


  •         Suscription : choisir votre Suscription 
  •         Ressource group : choisir le ressource groupe
  •         Name : donner un nom à votre host Azure Bastion
  •         Région : choisir la région disponible pour Azure Bastion
  •         Virtual network : choisir votre virtual network avec le quelle vous voulez activer Azure Bastion
  •         Subnet : choisir votre subnet précédemment crée pour Azure Bastion « AzureBastionSubnet »
  •         Public IP : choisir « Create new » afin de créer une nouvelle ip public pour votre Host Azure Bastion ( par défaut elle est statique)
  •         Public IP address name : choisir le nom de votre IP public
  •         Le SKU : par défaut il est en standard


Une fois terminé, il est possible de créer des tags si vous le souhaitez en cliquant sur « Next Tags ». Ensuite cliquez sur Create afin de créer votre premier Host Azure Bastion :


Le déploiement de l’host Azure Bastion commence, cela prendra environ 5 minutes :




On peut voir le détail du déploiement comme ceci :


Une fois déployé, on peut voir le statut « OK »,  le déploiement se fait en deux phases :
  •         Phase 1 : création de l’ip public
  •         Phase 2 : création l’host Azure Bastion 
 

Une fois déployé, il est possible de retrouver l’host Azure bastion au niveau du ressources groupe comme ceci :

Voici quelques informations concernant l’host Azure Bastion « AZ-BS01 » :




À ce stade nous avons déployé notre host Azure bastion, il reste plus qu’a le tester avec une connexion sur une machine virtuelle Windows depuis l’extérieur et sans IP public sur la machine virtuelle comme on peut le constater




Se connecter avec Azure Bastion

Pour se connecter via votre host Azure bastion rien de plus simple, allez sur une machine virtuelle, cliquer sur « connecte » et choisir « Bastion » comme ceci :



Il faut bien sur saisir vos identifiants ( nom utilisateurs et mots de passe ) , vous avez aussi la possibilité d’ouvrir une nouvelle fenêtre en cochant l’option « Open in new Window ».

Et me voilà connecté via du HTML 5 en SSL sur ma machine virtuelle depuis l’extérieur et sans IP public car c’est le host Azure Bastion qui s’occupe de rediriger la connexion de manière sécurisée en 443 :



Le copier – Coller :

La fonction copier – coller fonctionne bien avec les navigateurs qui supportent « Advanced Clipboard API access, »

Comme ceci :


Pour le reste des navigateurs il est possible d’utiliser l’outil mis en place afin de faciliter le copier – coller :








Roadmap et la suite ?

Microsoft prévoit bien entendu plusieurs améliorations au niveau d’Azure Bastion :

  •         L’intégration avec Azure Active Directory
  •         La prise en charge du Seamless SSO avec Azure AD avec du MFA
  •         Enregistrement de la session ( qui proposera pour le coup un vrai use case Bastion)pour de l’audit
 

Conclusion 

Azure Bastion est prometteur, il va nous permettre de se connecter sur nos machines virtuelles depuis l’extérieur de manière sécurisée sans exposer les adresse ip publics de nos VMs. ( si on l'on dipose pas de VPN entre notre site on-prem et Azure)

Ce service complètement managé ( PaaS ) offre un déploiement facile et peu coûteux afin de rendre l’accès aux machines virtuelles depuis l’extérieur plus sécurisé et fluide au travers de HTML5.

Plus besoin d’avoir un serveur de rebond ou une infrastructure RDS bastion complexe, il suffit d’utiliser le service Azure Bastion directement au niveau des virtuel network et automatiquement toutes les machines virtuelles connectées dessus seront atteignable via Azure Bastion.

Testez le, et attention : il n’est pas encore en GA, donc pas de production, mais testez le uniquement sur vos environnement de LAB.

Enjoy

Cdt,
Seyfallah Tagrerout
Microsoft MVP

vendredi 14 juin 2019

Azure Application Proxy - Part 1


Introduction

De nos jours, il est important d'offrir un monde mobile aux utilisateurs afin que ces derniers puissent être productifs depuis n'importe quel endroit, maison, lieux public ou même en voyage dans le train par exemple. Il est important donc de donner l'accès aux applications de l'entreprise depuis l'extérieur du système d'information de l'entreprise sans compromettre la sécurité.

Comment donner l'accès aux utilisateurs afin qu'ils puissent se connecter sur une application interne depuis l'extérieur, depuis un réseau non sécurisé et surtout non managé ?

Jusqu’à présent, les administrateurs optent pour deux solutions bien connus :
  • La mise en place d'un VPN point to site qui permet de connecter l'utilisateur au système d'information au travers d'une connexion VPN sécurisée, une fois connecté, l'utilisateur pourra accéder aux applications de l'entreprise
  • La mise en place d'une DMZ, où les serveurs applicatifs y sont placés afin que ces derniers puissent être joints depuis l'extérieur

Ces solutions fonctionnement, mais elle représentent plusieurs inconvénients pour les administrateurs:

  • Effort d'administration et création de règles au niveau des pare-feu pour la DMZ
  • Administration et maintenance du VPN
  • Demande beaucoup d'efforts de maintenance au quotidien
  • Difficile à sécuriser et demande beaucoup d'effort du à la complexité de ces architectures

 Avec Azure Active Directory, Microsoft propose une nouvelle méthode moderne qui permet l'accès aux applications internes de manière totalement plus sécurisée et surtout simplifiée. Cette méthode se nomme Azure Application Proxy.


Présentation


Azure Application Proxy est un moyen qui permet l'accès aux applications web internes d'une entreprise depuis l'extérieur, en offrant une authentification SSO sécurisée. L'avantage de cette solution, c'est l'utilisation des applications internes intégrées dans Azure Active Directory, ce qui offre aux utilisateurs une authentification unifiée avec le même compte, donc un utilisateur, avec le même compte Azure Active Directory pourra accéder aux application SaaS, aux applications internes web publiées via Azure Application Proxy, on en revient encore : une identité pour plusieurs applications, la force d'Azure Active Directory.

Azure Application Proxy présente plusieurs avantages :
  • Les utilisateurs auront une expérience d'authentification similaire aux autres applications SaaS de l'entreprise
  • Pas de modifications ni configurations particulières ni de mise à jours pour les applications internes que vous souhaitez publier avec Azure Application Proxy
  • Accès moderne et plus sécurisé aux applications internes depuis l'extérieur de l'entreprise
  • Pas d'infrastructure à créer et a gérer afin d'avoir l'Azure Application Proxy, ce service est déjà intégré dans Azure Active directory, reste plus qu'a le consommer
  • Pas d'architecture complexe on-premise
  • Facilité de publication et de gestion depuis la console Azure Active Directory admin center
  • Protection contre les attaques de type DOS/DDOS
  • Possibilité d'avoir du HA en déployant plusieurs serveurs connecteurs application Proxy, ces connecteurs peuvent être dédiés sur des serveurs spécifiques
  • Aucune connexion entrante, fonctionnement qu'avec des connexions et flux sortants à savoir du 80 et 443 en sortie du pare-feu
  • Tout le trafic est sécurisé avec SSL

Azure Application proxy permet la publication des applications suivantes:

  • Application intégrée à Active Directory qui utilise ADAL
  • Application Web avec l'authentification Windows intégrée
  • Application Web avec l'authentification Header Based
  • API web
  • Application derrière une architecture Remote Desktop Gateway

Fonctionnement

l'Azure Application Proxy fonctionne en 7 étapes afin de permettre à vos utilisateurs d'accéder à une application Web depuis l'extérieur de manière sécurisée et avec une bonne expérience au niveau authentification.
Dans une configuration Azure application proxy, nous avons les composants suivants:

  • Un annuaire Azure Active Directory
  • Le service Azure Application Proxy au niveau de l'annuaire
  • Un annuaire Active Directory local
  • Un serveur on-premise connecteur Azure application proxy
  • Une application Web exemple : un serveur IIS avec une application WEB
  • Utilisateur pour l'accès aux applications

Voici une illustration qui permet de montrer les différents flux qui sont envoyés lors d'une utilisation d'Azure application proxy depuis l’extérieur de l'entreprise:







Voici les 7 étapes nécessaires pour son fonctionnent

Etape 1: l'utilisateur souhaite se connecter à l'application locale depuis l'extérieur via le servir Azure Application Proxy, il sera redirigé vers la page d'authentification Azure Active Directory

 Etape 2: Une fois que l'utilisateur est authentifié, un jeton est crée et envoyé au poste de travail de l'utilisateur

Etape 3: Ensuite, le poste de travail envoie ce jeton au service Azure Application Proxy, ce dernier va récupérer l'UPN de l'utilisateur (User Principal Name) et le SPN du jeton et rédiger la requête vers le serveur connecteur Proxy installé en local

Etape 4: Interrogation de l'Active Directory si des authentifications sont nécessaires pour la connexion

Etape 5: Le serveur connecteur Proxy va à son tour envoyer la requête à l'application local

Etape 6: l'application envoi une requête à l'utilisateur, cette requête va passer le serveur connecteur proxy et le service Azure Application proxy présent dans Azure Active Directory

Etape 7:  l'utilisateur peut s'authentifier à l'application depuis l'extérieur de l'entreprise de manière sécurisée

Exemple d'applications:

Il est possible de publier les applications suivantes au travers de l'Azure Application Proxy :

  • Sites SharePoint on-premise
  • L'accès à distance avec RDP depuis extérieur au machine local de l'entreprise
  • Outlook webAccess
  • Toute application Web LOB ( Line of Business)

Dans la partie 2, nous allons voir la partie mise en place et publicaion d'une application à travers ce fameux Azure Application Proxy.

Cdt,

Seyfallah Tagrerout
Microsoft MVP
>