Search This Blog

vendredi 27 mars 2020

AzureAD - Unable to install AzureADPreview Powershell Module

Bonjour à tous,

Voici un petit article afin de vous aider à installer le module AzureAd Preview si vous avez rencontrés ce souci.

Le souci :
Quand vous tentez d’installer le module AzureAD Preview, vous pourrez avoir ce message d’erreur :


Ceci veut dire que le PowerShell module AzureAD est déjà installé. Il faut savoir que le module AzureAD Preview est un nouveau module et il apporte plusieurs cmdlets.
Afin de pouvoir installer le module AzureAD Preview, il faut tout d’abord désinstaller le module AzureAD existant.

Pour ce faire, merci d’exécuter la commande suivante :
Uninstall-Module AzureAD


Une fois le module AzureAD désinstallé, vous pouvez installer le module AzureAD Preview avec la commande suivante :


 Une fois installé, importez le module comme ceci import-module et faites un get-module afin de vérifier l’existence du nouveau module AzureAD Preview :


Et voilà, 😊

Pour info, si vous n’avez pas ce module, vous pourrez pas lancer le script de Microsoft qui permet d’interdire la création de teams aux utilisateurs.

Le script en question :
$GroupName = "GR_ADMINS"
$AllowGroupCreation = "False"

Connect-AzureAD

Import-Module AzureADPreview

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
         $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
       $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
}

Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values


Merci pour votre soutien,

ST

Microsoft MVP

jeudi 26 mars 2020

Mes formations - Azure - Identity and Access

Bonjour à tous,

Vous pouvez retrouver ici toutes mes formation sur Azure, Microsoft ATA, AATP et autres :

 https://www.alphorm.com/formateur/seyfallah-tagrerout




ST
Microsoft MVP

aOS Online - COVID-19 - Ma session Microsoft Threat Protection - Speaker

Bonjour à tous,

aOS se mobilise et propose des events online durant cette période de COVID-19. Ceci permet aux participants de se connecter directement depuis leur domicile et d'assister à ces events gratuits :)

J'ai le plaisir de présenter une session technique jeudi prochain ( 2 avril) qui va porter sur la sécurité d'un environnement digital Workplace avec Microsoft Threat Protection.


C'est gratuit et il suffit de suivre ce lien :)

https://www.eventbrite.fr/e/inscription-aos-online-n3-2-avril-2020-100933266116


ST
Microsoft MVP

Formation Microsoft Azure Assessment

Bonjour à tous,

J'ai le plaisir de vous présenter ma nouvelle formation sur Azure Assessment


voici le lien de la formation :

https://www.alphorm.com/tutoriel/formation-en-ligne-ms-cloud-assessment-maitriser-la-migration-ver-azure


N'hesitez pas à revenir vers moi en cas de questions,

Enjoy !

ST
Microsoft MVP

jeudi 27 février 2020

Advanced Threat Protection for Azure Storage

Hello,

C'est tout chaud, aujourd’hui, Microsoft annonce la sortie en Preview d'Advanced Threat Protection pour les comptes de stockage dans Azure , pour les services Blob.

Advanced Threat Protection for Azure Storage, va vous aider à sécuriser vos comptes de stockage en détectant  les activités suspectes, les anomalies ou encore  les activités anormales et dangereuses.

L'option de l'activation d'ATP for Azure Storage est disponible directement au niveau du compte de stockage... Dans la catégorie SettingsAdvanced Threat Protection :


Threat detection est disponible pour le service Blob au niveau du compte de stockage, la partie alerte est intégrée dans Azure Security Center, ce qui permet de rassembler les alertes dans un seul dashboard et surtout d’être alerté par email en cas de souci sur le compte de stockage (Activités anormales,anomalies etc ..)

Ses avantages :

  • Activation facile 
  • Intégration avec Azure Security Center 
  • Alerté par email en cas d'activités dangereuses ou anormales
  • Détection d'anomalies, activités suspectes, ou encore les comportements anormaux au niveau du compte de stockage 

Comment activer ATP for Azure Storage :

C'est simple; il suffit de se rendre comme indiqué plus haut, dans la catégorie  Settings - Advanced Threat Protection  comme ceci :



Cliquez ensuite sur "ON" afin d'activer ATP sur le compte de stockage et cliquez sur "Save"


Plutôt simple hein ? maintenant ATP est activé et va récolter plusieurs informations concernant votre compte de stockage et vous alertera en fonction des activités remontées dans Azure Security Center.


@ bientôt

ST
Microsoft MVP

lundi 13 janvier 2020

Azure Application Proxy - Part 1


Introduction

De nos jours, il est important d'offrir un monde mobile aux utilisateurs afin que ces derniers puissent être productifs depuis n'importe quel endroit, maison, lieux public ou même en voyage dans le train par exemple. Il est important donc de donner l'accès aux applications de l'entreprise depuis l'extérieur du système d'information de l'entreprise sans compromettre la sécurité.

Comment donner l'accès aux utilisateurs afin qu'ils puissent se connecter sur une application interne depuis l'extérieur, depuis un réseau non sécurisé et surtout non managé ?

Jusqu’à présent, les administrateurs optent pour deux solutions bien connus :
  • La mise en place d'un VPN point to site qui permet de connecter l'utilisateur au système d'information au travers d'une connexion VPN sécurisée, une fois connecté, l'utilisateur pourra accéder aux applications de l'entreprise
  • La mise en place d'une DMZ, où les serveurs applicatifs y sont placés afin que ces derniers puissent être joints depuis l'extérieur

Ces solutions fonctionnement, mais elle représentent plusieurs inconvénients pour les administrateurs:

  • Effort d'administration et création de règles au niveau des pare-feu pour la DMZ
  • Administration et maintenance du VPN
  • Demande beaucoup d'efforts de maintenance au quotidien
  • Difficile à sécuriser et demande beaucoup d'effort du à la complexité de ces architectures

 Avec Azure Active Directory, Microsoft propose une nouvelle méthode moderne qui permet l'accès aux applications internes de manière totalement plus sécurisée et surtout simplifiée. Cette méthode se nomme Azure Application Proxy.


Présentation


Azure Application Proxy est un moyen qui permet l'accès aux applications web internes d'une entreprise depuis l'extérieur, en offrant une authentification SSO sécurisée. L'avantage de cette solution, c'est l'utilisation des applications internes intégrées dans Azure Active Directory, ce qui offre aux utilisateurs une authentification unifiée avec le même compte, donc un utilisateur, avec le même compte Azure Active Directory pourra accéder aux application SaaS, aux applications internes web publiées via Azure Application Proxy, on en revient encore : une identité pour plusieurs applications, la force d'Azure Active Directory.

Azure Application Proxy présente plusieurs avantages :
  • Les utilisateurs auront une expérience d'authentification similaire aux autres applications SaaS de l'entreprise
  • Pas de modifications ni configurations particulières ni de mise à jours pour les applications internes que vous souhaitez publier avec Azure Application Proxy
  • Accès moderne et plus sécurisé aux applications internes depuis l'extérieur de l'entreprise
  • Pas d'infrastructure à créer et a gérer afin d'avoir l'Azure Application Proxy, ce service est déjà intégré dans Azure Active directory, reste plus qu'a le consommer
  • Pas d'architecture complexe on-premise
  • Facilité de publication et de gestion depuis la console Azure Active Directory admin center
  • Protection contre les attaques de type DOS/DDOS
  • Possibilité d'avoir du HA en déployant plusieurs serveurs connecteurs application Proxy, ces connecteurs peuvent être dédiés sur des serveurs spécifiques
  • Aucune connexion entrante, fonctionnement qu'avec des connexions et flux sortants à savoir du 80 et 443 en sortie du pare-feu
  • Tout le trafic est sécurisé avec SSL

Azure Application proxy permet la publication des applications suivantes:

  • Application intégrée à Active Directory qui utilise ADAL
  • Application Web avec l'authentification Windows intégrée
  • Application Web avec l'authentification Header Based
  • API web
  • Application derrière une architecture Remote Desktop Gateway

Fonctionnement

l'Azure Application Proxy fonctionne en 7 étapes afin de permettre à vos utilisateurs d'accéder à une application Web depuis l'extérieur de manière sécurisée et avec une bonne expérience au niveau authentification.
Dans une configuration Azure application proxy, nous avons les composants suivants:

  • Un annuaire Azure Active Directory
  • Le service Azure Application Proxy au niveau de l'annuaire
  • Un annuaire Active Directory local
  • Un serveur on-premise connecteur Azure application proxy
  • Une application Web exemple : un serveur IIS avec une application WEB
  • Utilisateur pour l'accès aux applications

Voici une illustration qui permet de montrer les différents flux qui sont envoyés lors d'une utilisation d'Azure application proxy depuis l’extérieur de l'entreprise:







Voici les 7 étapes nécessaires pour son fonctionnent

Etape 1: l'utilisateur souhaite se connecter à l'application locale depuis l'extérieur via le servir Azure Application Proxy, il sera redirigé vers la page d'authentification Azure Active Directory

 Etape 2: Une fois que l'utilisateur est authentifié, un jeton est crée et envoyé au poste de travail de l'utilisateur

Etape 3: Ensuite, le poste de travail envoie ce jeton au service Azure Application Proxy, ce dernier va récupérer l'UPN de l'utilisateur (User Principal Name) et le SPN du jeton et rédiger la requête vers le serveur connecteur Proxy installé en local

Etape 4: Interrogation de l'Active Directory si des authentifications sont nécessaires pour la connexion

Etape 5: Le serveur connecteur Proxy va à son tour envoyer la requête à l'application local

Etape 6: l'application envoi une requête à l'utilisateur, cette requête va passer le serveur connecteur proxy et le service Azure Application proxy présent dans Azure Active Directory

Etape 7:  l'utilisateur peut s'authentifier à l'application depuis l'extérieur de l'entreprise de manière sécurisée

Exemple d'applications:

Il est possible de publier les applications suivantes au travers de l'Azure Application Proxy :

  • Sites SharePoint on-premise
  • L'accès à distance avec RDP depuis extérieur au machine local de l'entreprise
  • Outlook webAccess
  • Toute application Web LOB ( Line of Business)

Dans la partie 2, nous allons voir la partie mise en place et publicaion d'une application à travers ce fameux Azure Application Proxy.

Cdt,

Seyfallah Tagrerout
Microsoft MVP

lundi 30 décembre 2019

Speaker MWCP 2019

Bonjour à tous,

j'ai eu la joie de faire deux sessions avec Jeff à la MWCP organisé par Patruck, Gokan et Sebastien.


Nous avons donnés deux sessions sur la securité d'un digital workplace avec les outils Microsoft ( Azure Security Center, Azure Log analytics, la suite EMS , etc .. )

Voici le descriptif des deux sessions :


Sécuriser votre « Modern Workplace » avec Microsoft 365 et Azure, partie 1

Pour les équipes en charge de la sécurité, il est primordial d'accéder très rapidement aux informations portant sur les menaces à l'encontre du SI et de mener toutes les investigations et opérations requises afin de bloquer la "Cyber Kill Chain". Basé sur des scénarios de menaces et intrusions, vous découvrirez lors de cette session de quelle manière protéger votre Modern Workplace efficacement avec les solutions de sécurité de Microsoft 365 et Azure.
pour plus d'informations : https://modern-workplace.pro/agenda/#page-content

Cdt,
ST
Microsoft MVP

vendredi 27 septembre 2019

AAD connect - nouvelle version

Bonjour à tous,

la nouvelle version de l'AAD connect 1.4.18.0 est sortie le 25-09-2019.

Cette nouvelle version apporte plusieurs nouveautés :


  • De nouveaux outils de résolution des problèmes permettent de corriger les scénarios « utilisateur non synchronisé », « groupe non synchronisé » ou « membre de groupe non synchronisé ».
  • Ajout d’une prise en charge des clouds nationaux dans le script de résolution des problèmes d’AAD Connect
  • Les clients doivent être informés que les points de terminaison WMI dépréciés pour MIIS_Service sont désormais supprimés. Toutes les opérations WMI doivent à présent être effectuées par le biais des applets de commande PS.
  • Amélioration de la sécurité en réinitialisant la délégation contrainte sur l’objet AZUREADSSOACC
  • Lors de l’ajout ou de la modification d’une règle de synchronisation, si des attributs sont utilisés dans la règle et qu’ils se trouvent dans le schéma du connecteur, mais ne sont pas ajoutés au connecteur, ces attributs sont automatiquement ajoutés au connecteur. Il en va de même pour le type d’objet affecté par la règle. Si quelque chose est ajouté au connecteur, le connecteur sera marqué pour une importation complète au cours du prochain cycle de synchronisation.
  • L’utilisation d’un administrateur d’entreprise ou de domaine en tant que compte de connecteur n’est plus prise en charge.
  • Dans le gestionnaire de synchronisation, une synchronisation complète est exécutée lors de la création, de la modification ou de la suppression d’une règle. Une fenêtre contextuelle s’affiche pour toute modification de règle, notifiant l’utilisateur que l’importation complète ou la synchronisation totale va être exécutée.
  • Ajout d’étapes d’atténuation pour les erreurs de mot de passe à la page Connecteurs > Propriétés > Connectivité
  • Ajout, dans la page des propriétés du connecteur, d’un avertissement de dépréciation du gestionnaire du service de synchronisation. Cet avertissement prévient l’utilisateur que des modifications doivent être apportées par le biais de l’Assistant AADC.
  • Ajout d’une nouvelle erreur pour les problèmes liés à la stratégie de mot de passe d’un utilisateur.
  • Prévention d’une erreur de configuration du filtrage de groupe par les filtres de domaine et d’UO. Le filtrage de groupe affiche une erreur lorsque le domaine ou l’unité d’organisation du groupe entré est déjà filtré et empêche l’utilisateur de poursuivre tant que le problème n’est pas résolu.
  • Les utilisateurs ne peuvent plus créer de connecteur pour Active Directory Domain Services ou Windows Azure Active Directory dans l’ancienne interface utilisateur.
  • Résolution du problème d’accessibilité des contrôles d’interface utilisateur personnalisés dans Synchronization Service Manager
  • Activation de six tâches de gestion de la fédération pour toutes les méthodes de connexion dans Azure AD Connect. (Auparavant, seule la tâche « Mettre à jour le certificat SSL AD FS » était disponible pour l’ensemble des connexions.)
  • Ajout d’un avertissement lors de la modification de la méthode de connexion, qui passe de la fédération à la synchronisation de hachage de mot de passe (PHS) ou à l’authentification directe (PTA), convertissant tous les utilisateurs et domaines Azure AD en authentification managée.
  • Suppression des certificats de signature de jeton dans la tâche « Réinitialiser Azure AD et l’approbation AD FS » et ajout d’une sous-tâche distincte pour mettre à jour ces certificats.
  • Ajout d’une nouvelle tâche de gestion de la fédération appelée « Gérer les certificats », qui contient des sous-tâches permettant de mettre à jour les certificats de signature de jeton ou les certificats SSL de la batterie de serveurs AD FS.
  • Ajout d’une nouvelle sous-tâche de gestion de la fédération appelée « Spécifier le serveur principal », qui permet aux administrateurs de préciser un nouveau serveur principal pour la batterie de serveurs AD FS.
  • Ajout d’une nouvelle tâche de gestion de la fédération appelée « Gérer les serveurs », qui comporte des sous-tâches permettant de déployer un serveur AD FS, un serveur proxy d’application web et de spécifier le serveur principal.
  • Ajout d’une nouvelle tâche de gestion de la fédération appelée « Afficher la configuration de la fédération », qui affiche les paramètres AD FS actuels. (En raison de cet ajout, les paramètres AD FS ont été supprimés de la page « Vérification de votre solution ».)


Comment mettre à jour mon AAD connect ? 

Je vais vous présenter la démarche pour effectuer les mises à jours de votre serveur AAD connect, notez que cette démarche est applicable et valable pour les configuration suivantes :

  • Un serveur AAD connect et moins de 100 000 objets 

Pour cela rien de plus simple, dans un premier temps il suffit de télécharger la dernière version de l'AAD connect via le lien Microsoft ci-dessous:




Il est possible de vérifier la version et la date de publication de celle ci au moment du téléchargement comme ceci :

Une fois téléchargé, placez le MSI  dans votre serveur AAD connect et lancez le comme ceci :



Nous arrivons ensuite sur la fenêtre d'upgrade de l'AAD connect comme on peut le voir. 

Veuillez noter ce détail important : "durant la mise à jour, la synchronisation des objets vers azure Ad sera interrompue"

Cliquez ensuite sur Upgrade.



Une Authentification avec votre compte global admini Azure Ad sera demandée comme ceci, entrez vos informations ( user + mot de passe).



Une fois connecté, laissez l'option "Start the synchronization process when configuration completes" et cliquez sur Upgrade afin de commencer la mise  à jours de votre AAD connect.


Une fois la mise à jours terminé et réussie, vous devrez obtenir le message suivant.

Vous pouvez à présent cliquer sur Exit afin de fermer l'assistant de l'AAD connect , à l'issue de la fermeture, la synchronisation reprendra son cycle.

  

Vérification 


Afin de vérifier  , il suffit de lancer le Synchronization Service comme ceci :



Une fois lancé, allez dans Help et cliquez sur About  :



On peut voir que l'AAD connect est bien mis à jour avec la version la nouvelle version 1.4.18.0:




Il faut penser aussi à vérifier vos règles de synchronisation en lançant l’éditeur de règle de synchronisation :




Bonne montée de version :)

Cdt,
ST
Microsoft Azure MVP



>