Search This Blog

jeudi 12 juillet 2018

Speaker ReBUILD Septembre 2018

Hello,

J'ai la joie de vous annoncer que je serais speaker pour la première fois au ReBUILD de Nantes qui se déroule le en septembre , à la rentrée donc.

Je donnerais une session sur Azure AD - AAd Connect.

voici la liste des speakers retenus , que du beau monde :) 



Un grand merci à Kevin Trelohan pour son travail formidable pour cet événement qui dur depuis des années maintenant.

Voici le lien pour vous inscrire : https://www.eventbrite.fr/e/billets-rebuild-46877819821?utm-medium=discovery&utm-campaign=social&utm-content=attendeeshare&aff=esli&utm-source=li&utm-term=listing

 on vous attend nombreux ! donc venez :) 

Cdt,
ST


Microsoft MVP 2018.- 2019

Hello,

C'est avec un peu de retard que je vous annonce mon renouvellement Microsoft MVP pour la 4 eme fois de suite.

C'est toujours avec la même joie, passion que je reçois ce titre très important pour moi, ce qui me permet de partager avec vous ma passion autour des technologies Microsoft ( Azure - EMS  et Cloud datacenter Management )



Pour cette nouvelle année je vous réserve quelques surprises, comme l’écriture d'un nouveau livre avec ENI, c'est pour cela eue je ne publie plus trop sur le blog, mais bien entendu, plusieurs articles vont venir sur Admin center, Windows Server 2019, Hyper-V comme d'habitude :)

Je vous remercie pour votre soutien , et vous pouvez toujours me contacter si vous avez des questions ou autres.

Cdt,
ST
Microsoft MVP

samedi 23 juin 2018

Ma formation Azure Virtual Network

Bonjour à tous,

Je suis heureux de vous annoncer aujourd’hui ma nouvelle formation chez Alphorm , cette formation traite les Azure Virtual Network.




Description de la formation
Le réseau est un composant important dans les systèmes d’information, dans Azure également, cette formation présente de manière explicite et concrète le design, la configuration et l’administration des Azure Virtual network dans une infrastructure cloud Microsoft Azure.
Cette formation Microsoft Azure début par la présentation de tous ces éléments réseau dans Azure, sans oublier le coté  sécurité comme les Networks Security groupe.
Durant cette formation Microsoft Azure, les participants vont apprendre le fonctionnement des azure Virtual Network, l’inter connexion entre ces Virtual network et un data center on prem.
La partie création, configuration et administration sont traitées dans cette formation de deux façons :
-En interface graphique via le portail Azure
-En PowerShell pour la partie automatisation et Scripting

Objectifs

Comprendre le concept du réseau virtuel dans azure
créer et configurer des réseaux virtuels et subnets dans Azure
Comprendre les méthodes d’interconnexion entre les réseaux virtuels dans azure
Comprendre les méthodes d’interconnexion entre les réseaux virtuels et des data center on prem 
Manipuler les réseaux virtuels network en PowerShell
Sécuriser leur virtuels réseaux dans Azure avec les NSG

Prérequis

Connaissances TCP/IP
Connaissances réseaux et sécurité 
Connaissance PowerShell de base

Public concerné

Ingénieurs IT et cloud
Consultants IT et cloud
Administrateurs systèmes et cloud
Voici le plan de la formation :


Merci de votre soutien, et merci pour vos commentaires et avis sur la formation.

Stay connected, plusieurs choses à venir ... :) 

Cdt,
ST
Microsoft MVP

vendredi 22 juin 2018

aOS Aix-En-Provence 21 juin 2018

Hello,

Juste un petit retour sur notre aOS qui s'est déroulé hier à Aix En Provence ( le 21 juin 2018) , il s'agit du 3 eme aOS sur Aix en moins de deux ans, cela prouve la dynamique de cette ville avec plusieurs MVPs au niveau de l'organisation.




voici l'agenda de la journée :

( pour ma part, j'ai donné une session sur Azure Ad et AAD Connect )



voici quelques photos :










Je vous dis à très bientôt pour d'autres event comme celui ci :)

Merci de votre soutien !!!

Cdt,
ST
Microsoft MVP

dimanche 3 juin 2018

Microsoft Enterprise Mobility + Security

Hello,

Nous allons aujourd’hui abordé la suite EMS de manière high level, ensuite je ferais des article Deep-dive sur chaque composant de cette suite.

Vous pouvez déjà retrouver mes 4 premiers articles sur Azure Ad ( série en cours de finalisation ) :




La sécurité de nos jours est omniprésente, elle touche toutes les briques de nos systèmes d’information.

Nous rencontrons  de plus en plus de cyberattaques, ces attaques peuvent être de tout genre, ce qui obligent les éditeurs à innover afin de proposer à leur clients les meilleurs moyens afin de se protéger contre ces attaques.

Microsoft mis à disposition pour ces clients la suite EMS ( Entreprise Mobility + Security) ce qui permet d’offrir un monde d’entreprise mobile, donc productif et surtout sécurisé.



Entreprise Mobility + Security

EMS est une suite de composants qui permet de répondre à plusieurs besoins des entreprises en terme de mobilité, productivité, et sécurité.

EMS se compose de :

  • ·        Azure Active Directory : C’est le point central, C’est annuaire qui permet de gérer l’identité cloud, cette identité peut être from cloud ou alors synchronisée depuis un Active Directory local , c’est le point centrale de cette suite

Vu globale d’un annuaire AD local synchronisé vers azure AD :




  • Azure information protection : Solution qui permet de faire de la data classification au sein des systèmes d’information, elle permet de classifier les documents, les e-mails. AIP permet également de chiffrer les documents et e-mails afin d’apporter de la sécurité au niveau de la consultation et de gérer les droits des accès aux documents internes de l’entreprise.

AIP fonctionne avec Azure AD en mode full cloud ou alors avec un  Azure AD avec des utilisateurs synchronisées depuis un AD Local :



Le mode de déploiement d‘Azure Information Protection :

o   Full Cloud
o   Hybride, afin de connecter vos serveurs on-prem : serveur Exchange, serveur de fichier ou encore votre SharePoint à AIP via un RMS Connector,  comme ci-dessous :




  • ·        Cloud App Security : Elément essentiel dans un monde qui devient de plus en plus cloud, car cette solution va permettre de garder le contrôle des activités des utilisateurs  internes, elle est capable de proposer des rapports complets sur l’utilisation des applications cloud des utilisateurs, ce qui permet de mieux contrôler ces données, elle permet également de se protéger en détectant des anomalies et incidents basée sur une analyse comportementale des utilisateurs et de leur accès.

  • ·        Intune : Intune  est un MDM ( Mobile Device Management ) composant bien connu qui permet de gérer les appareils d’entreprise ( iPhone, Android, Windows 10 ), Intune permet également de faire du MAM ( Mobile Application Management) afin de gérer les applications d’entreprise de façon sécurisée ; Intune permet de garder le contrôle sur les devices d’entreprise et également faire du BYOD, ce qui offre à vos utilisateurs une mobilité saine sans corrompre  la sécurité de votre système d’information.

  • ·        Microsoft Advanced Threat Analytics : Microsoft ATA est une solution basée sur du machine Learning qui via une analyse comportemental va permettre de sécuriser votre système d’information en se basant sur un élément essentiel : l’Active Directory interne. ATA va collecter et analyser tous le Traffic de l’AD et en fonction de ce qu’il aura appris, il va vous alerter sur les incidents et anomalies que vous avez en interne 
  • L’architecture de Microsoft ATA est composée de plusieurs éléments :

·        D’un ATA center , le cerveau de la solution qui traite le trafic reçue, analyse, envoi les alertes et les stockent également dans une base de données MongoDB


·        La passerelle ATA, l’ATA Gateway, c’est un élément important, car c’est lui qui    capture le trafic de l’AD ( Kerberos, DNS, et tout ce qui passe dans l’AD) et l’envoi pour analyse à l’ATA Center. On distingue deux types , la Gateway classique et l’ATA LightWeight Gateway , celle-ci capture de le trafic des DCs via du port mirroring au niveau physique si nous sommes dans une architecture virtualisée, ou alors via un switch physique dans le cas ou nous avons une infrastructure physique. L’ATA LightWeight est un agent directement installé sur le DC, et c’est le DC via cet agent qui se chargera de capturer et d’envoyer son trafic à l’ATA center 



  • ·        Azure Threat Protection :  Azure ATP est un ATA as a Service basé sur le cloud de Microsoft, qui permet via des sensor installés sur des ATA Gateway classique ou sur les DC de capturer le trafic AD et de l’analyser comme le fait Microsoft ATA, il aussi capable de briser les chaines de cyberattaques telle que la reconnaissance, le mouvement latéral et la persistance. 


Azure AATP est disponible avec EMS E 5.

  
NB : Faut savoir que tous ces composants sont cloud based, sauf la solution Microsoft ATA , qui reste une solution on-prem. Mais Azure ATP vient pallier ce manque et propose un ATA as a Service dans le cloud de Microsoft.

EMS et les licences 

 Microsoft à mis au point deux niveaux de licence, à savoir :
  • ·        EMS E3
  • ·        EMS E 5

Le mode EMS E3 offre :
  •         Azure AD P1
  •         Intune
  •         Azure Information Protection  P1 ( AIP)
  •         Advanced Threat Analytics (ATA)



Tandis que EMS E5 :
  •         Azure AD P1
  •         Intune
  •         Azure Information Protection P2  ( AIP)
  •         Cloud App Security
  •         Azure Advanced Threat Analytics (Azure ATP)


Conclusion

 EMS est une solution qui vous permettra d’augmenter la productivité de vos salariés toute en gardant le contrôle de votre système d’information.  Certains outils de cette solution permettent de répondre aux problématique de la RGPD ( notamment AIP), ce qui permet de mieux gère les informations personnels de vos salariés.

Les briques EMS peuvent s’implémenter de manière complètement indépendantes, il faut savoir que la base est Azure AD, une fois azure AD déployé, il est possible de mettre en place les briques EMS step by step, cette méthode permet d’appréhender au mieux ces nouvelles technologies et mieux les implémenter afin de répondre à vos besoins de mobilité et de sécurité.

D'autres articles viendront compléter cette introduction à EMS :)

Stay connected

Cdt,
ST,
Microsoft MVP

Speaker - aOS Aix-En-Provence - 21/06

Hello,

Juste pour vous annoncer que je serais présent lors de notre aOS le 21 Juin à Aix-En-Provence. Nous avons organisé l’événement avec Nicolas Bonnet et Sébastien Paulet.




Les communautés CMD (Cloud Mobility Datacenter) et aOS (azure Office 365 SharePoint) vous invitent à venir assister à la 3ème édition de l’aOS Aix en Provence au Cési Aix en Provencele 21 Juin 2018.
Pendant une journée entière, vous pouvez rencontrer et échanger avec des experts des technologies Office 365 et Azure. Différentes sessions vous seront proposées où des experts vous apporteront leur retour terrain. Il vous sera ainsi possible de découvrir ou approfondir vos connaissances sur :
  • Les dernières nouveautés Azure
  • La mise en conformité de votre SI avec le RGPD, la sécurisation de vos données, leur géolocalisation
  • La création de Bots multicanaux
  • La collaboration dernier cri avec Microsoft Teams
  • La gestion des identités et les connexions à l’Active Directory
  • La création de rapports Power BI
  • Comment faciliter la collaboration et la créativité lors des réunions avec la Surface Hub
  • Et plein d’autres sujets...
Ce sera aussi l’occasion de partager et échanger entre utilisateurs et professionnels, locaux, nationaux et internationaux, de l’offre Cloud Microsoft.
L'agenda de cette journée sera le suivant :


Nous serons ravis de vous accueillir lors de cette journée.
Vous souhaitez nous contacter pour être partenaire sponsor de l’événement ou toute autre question? Contactez-nous via les réseaux sociaux ou par mail 
J’espère vous voir nombreux à notre bel event
Cdt,
ST
Microsoft MVP

vendredi 25 mai 2018

Azure AD - La fédération d'identité avec ADFS - Partie 4

Bonjour à tous,

Nous allons continuer notre série d'articles autour d'Azure AD / Office365 et l’extension d'un annuaire Active Directory vers Azure AD.

Nous avons vu dans une première partie la présentation d'Azure AD, ensuite dans la deuxième partie, l'étude qui prépare à l’extension de son AD vers Azure AD et en troisième partie la présentation et l'installation d'ADFS.

Voici les trois premières parties :


Introduction

Lors de la partie 3 nous avons vu l'installation d'ADFS, nous allons voici ici l'installation du WAP (Web application Proxy) afin de permettre aux utilisateurs qui sont à l’extérieur du réseau de l'entreprise de se connecter au services Office 365 avec leur compte AD de manière sécurisée ( qui est bien entendu synchronisé avec sut Azure AD).

Présentation du design

Le design que je vous propose contient les éléments suivants:

  • Un serveur ADFS 
  • 3 contrôleurs de domaine Active directory
  • Un Serveur WAP Proxy (placé en DMZ)


Nous allons donc installer le composant WAP afin de compléter notre architecture ADFS et la préparer pour fédérer notre domaine interne. Ceci est pour s’authentifier auprès d'office 365 avec ADFS en utilisant bien entendu notre identité synchronisée dans Azure AD Avec AAD connect.

Avant de commencer, il faut savoir que le WAP est un serveur à part qui se place dans une DMZ et en aucun cas dans le LAN avec l'ADFS interne, de plus ce serveur doit être en Workgroup et non joint au domaine.

Une fois placé en DMZ, il suffit d'ouvrir le flux HTTPs - 443 avec les protocoles de transport TCP/UDP entre ce WAP et le serveur ADFS interne.

Sur le Firewall externe qui gère la DMZ, il faut ouvrir le port HTTPs - 443 avec les protocoles de transport TCP/UDP et rediriger votre 'ip public vers le serveur WAP en 443.

Si vous avez des doutes sur les flux à ouvrir dans une architecture ADFS, merci de consulter la partie 3, dans cette partie j'aborde la partie flux firewall. ==> https://seyfallah-it.blogspot.fr/2018/03/azure-ad-la-federation-didentite-avec.html

Mon infrastructure est sur Azure, afin de pouvoir gérer les flux firewall et placer mes serveurs sur plusieurs Zones (DMZ et LAN) j'ai eu recours aux NSG (Network Security Group) et aux subnets via mon virtual Network dans Azure.

LAN : 192.168.1.0 /24
DMZ: 192.168.2.0/24

Voici la règle FW au niveau du NSG entre le WAP (DMZ)  et l'ADFS Interne (LAN), au niveau de la première ligne avec la priorty 100, celle ci autorise le flux 443 en entré depuis la zone DMZ.



et voici la règle au niveau de la DMZ, qui autorise le flux 443 sur le serveur WAP :


Une fois ces prérequis finalisé, il est recommandé de tester les flux avec un portqry ou telnet afin de s'assurer que tous les flux sont ouvert.


Ps : oubliez pas d'installer le certificat SSL sur le serveur WAP comme effectuée sur le serveur ADFS interne lors de la précédente étape.

Installation du WAP :

Nous allons commencer l'installation du Web Application Proxy.

Commencez donc par ouvrir le server manager et allez dans Manage et allez ensuite dans Add role and Features.

Cliquez ensuite sur suivant,:



Cliquez ensuite sur suivant:



Ensuite choisir son serveur WAP et cliquer sur Suivant.

Ici, il suffit de cocher le rôle "Remote Access" comme ceci : 



Rien à installer au niveau des fonctionnalité, cliquez sur suivant :


Introduction au rôle Access à distance, cliquez sur suivant :




Cliquez ensuite sur Add Features afin d'ajouter la feature qui nous intéresse dans ce cas :


Ici, il faut choisir pour notre besoin le Web application Proxy: 





Cliquez sur Install:



 L'installation commence :





Configuration du WAP :

Une fois que le rôle Remote Access est installé avec la fonctionnalité WAP, nous allons procéder à la configuration de ce dernier.

Après le reboot du serveur, allez sur le sevrer manager et cliquez sur le beau triangle jaune ! cliquez ensuite sur "Open The Web Application Proxy Wizard "


L’assistant de configuration du WAP s’ouvre comme ceci , cliquez ensuite sur suivant :




Veuillez ajouter le nom du service ADFS comme ceci : adfs.nom de domain publique et entrer des informations d’authentification afin que le WAP puisse se connecter au serveur ADFS en interne ( Racine) 

il faut également saisir un compte de service qui doit être membre du groupe administrateur local du serveur ADFS Racine , une fois ces informations saisies, vous pouvez cliquer sur suivant :



Ici il faudra saisir le certificat SSL, nous allons utiliser le même certificat SSL que sur le serveur ADFS interne ( Racine) , cliquez sur suivant :



Voici une confirmation de vos actions, un script PowerShell est généré de manière automatique qui vous aidera à automatiser vos déploiements WAP dans le future.

Cliquer sur Configure afin de commencer la configuration :


Si tous ce passe bien, vous devez voir ceci : cliquer ensuite sur Close.




Publication du service ADFS 

Une fois le WAP configuré, nous pouvons publier le service Web en tant qu’application sur l’extérieur de manière sécurisée vu que ce dernier est dans une DMZ.




Il faut ouvrir la console de management de l’accès distant et cliquer sur Publier comme ceci :



L’assistant de publication d’application s’ouvre, cliquez sur suivant :


Choisir la méthode d’authentification ( Pass-Through) comme ceci :



Au niveau des paramètres de publication, il faut renseigner l’URL de votre service ADFS comme ceci ( externe et interne sont les mêmes URLs) choisir le certificat SSL et cliquez sur suivant:


 Confirmation de vos actions, avec également un script PowerShell qui pourra être réutilisé plus tard , cliquez ensuite sur Publish:


Si tout se passe bien, vous devrez avoir ceci , cliquez sur Close:



Vérification de la web application publiée (ADFS) comme ceci :




Test du WAP Server 

Afin de tester votre WAP, tout d’abord depuis ce dernier, ouvrez un internet explorer et allez sur l’URL suivant :

-        https://adfs.domain.com/adfs/ls/idpinitiatedsignon

 Cette fenêtre, prouve le bon fonctionnement du service WAP:



Il est possible de tester de se connecter avec un utilisateur du domaine, une fois connecté vous devez avoir ceci :



Ä ce stade le WAP est opérationnel. Et le service ADFS est publié de manière sécurisée.

Ce test peut être fait depuis l’extérieur afin de valider la redirection du flux 443 de votre ip publique vers l’ip interne du Wap proxy.

Conclusion

Nous arrivons à la fin de cet article, nous avons installé et configuré le WAP et nous avons publié notre ADFS comme une application de manière sécurisée sur le Net. 

Nous allons voir la prochaine étape (Partie 5) qui va consister à synchroniser les utilisateurs de notre Ad local vers Azure Ad tout en utilisant la méthode de Sign In " ADFS " en créant un trus Office 365 dans notre ADFS.

Je vous dis à la prochaine :) stay Connected !

Cdt,
ST
Microsoft MVP

jeudi 24 mai 2018

Azure Speed Test

Hello,

Aujourd'hui, je vous vous montrer un petit outil sympa qui va vous aider à déterminer le meilleur data center Azure en fonction de votre localisation et votre zone géographique.

Cet outil est important lors d'une phase de design sur des projets Microsoft Azure.

Vous avez à disposition deux outils :


  • Azure Speed Test 2.0
  • Azure Latency Test qui est plus détaillé au niveau du résultat

Azure Speed Test 2.0 

Azure Speed Test 2.0 est accessible directement ici ==> http://azurespeedtest.azurewebsites.net/

Il vous donnera directement la latence  ( du meilleur au moins bon) du data center  Azure en fonction de votre localisation.

Exemple pour ma part : 

On peut voir que le meilleur data center Azure en terme de latence pour moi est celui de l’Europe du nord  (Irlande) , suivi de prêt par west europe ( pays bas)  et la France Centrale.




Azure Latency Test

Accessible ici : http://www.azurespeed.com/

En ce qui concerne Azure Latency Test, ce dernier est plus détaillé et permet d'aller beaucoup plus loin et d’être granulaire pour les tests de performance des Data center Azure

Il est possible de faire les tests suivants :
  • Test de latence
  • CDN Test
  • Test d'upload
  • Test de Download
  • Test de large file Upload 
  • PS Ping 
Exemple : test d'upload entre tous les data center en Europe et un data center aux USA : 


Test de latence  ( Toujours en fonction de ma zone géographique) :





Enjoy !

Cdt,
ST
Microsoft MVP

>