Search This Blog

mercredi 24 avril 2019

Global Azure BootCamp 2019 - Organisateur et Speaker

Hello,

J'ai le plaisir de vous annoncer notre prochain GAB qui se déroulera le 27 avril 2019  prochain ( samedi), c'est notre 3 eme GAB de suite  sur Aix en Provence.

Une journée de formation gratuite sur Microsoft Azure : Que vous soyez en phase de découverte ou que vous maîtrisiez déjà les services Azure, vous pourrez lors de cette journée échanger avec les experts de la régions, et participer à des Hands on Labs, ....

et participer à l'un des plus grands événement annuel de ce genre car il se déroule simultanément dans plus de 250 villes et plus de 150 pays dans le monde.

Les thématiques de la journée :
- Le machine learning
- L'infrastructure AS Code
- Azure Devops
- La sécurité dans le CLoud
- La gouvernance pour une transition réussie vers le cloud
- Backup et PRA dans Azure
et d'autres sujets tels que IOT, CHatbot, Azure Function et Logic App, Data Factory...

Voici le programme de la journée :



En plus d'être organisateur avec Jeff, Joel et Remi, je vais présenter Azure ATP ( sécurité des identités)

Pour vous inscrire c'est par ici : https://www.meetup.com/fr-FR/Meetup-Azure-Devops-Aix-en-Provence/events/259728426/

Venez nombreux , de plus, de nombreux cadeaux seront à gagner suite à cette belle journée qui vous attend :)

Cdt,
Seyfallah Tagrerout

samedi 6 avril 2019

Présentation Azure AD

Bonjour à tous,

j'ai eu la chance la semaine passée de présenter une session au tour de la gestion des identités hybrides Azure AD chez Microsoft Suisse - Genève.



Quelques photos :






Sujets abordés:

  •  L’identité Microsoft : Comprendre l’identité chez Microsoft
  •  L’identité hybride : Étendre mon identité en toute sécurité vers Azure Active Directory
  •  Sécurité : Sécuriser mon identité qui se retrouve dans un annuaire Cloud Azure Active Directory en dehors de mon système d’information
  •  Retour d’expérience 

Voici la présentation : https://www.slideshare.net/SeyfallahTagrerout/prsentation-azuread-identit-hybrides-et-securit

Bonne lecture,

Cdt,
Seyfallah Tagrerout
Microsoft MVP

lundi 18 mars 2019

Ma nouvelle formation sur AzureATP

Bonjour à tous,

j'ai le plaisir de vous présenter ma nouvelle formation sur Azure ATP.




Microsoft Azure Advanced Threat Protection

Description de la formation
Azure Advanced Threat Protection (AATP) est une plateforme cloud qui aide à protéger votre entreprise contre plusieurs types d’attaques informatiques ciblées et menaces internes avancées.

Cette formation Azure Advanced Threat Protection (AATP) a pour but de vous faire découvrir le produit Microsoft AATP, c'est à dire de la présentation du produit jusqu’à  sa mise en œuvre en passant par les phases de design et réflexion.

Cette formation Azure Advanced Threat Protection (AATP) est basée sur un retour d'expérience terrain via un déploiement world wide de ce produit, ce qui permet au  formateur de partager son expérience avec des cas pratiques rencontrés en entreprise.

A l'issue de cette formation Azure Advanced Threat Protection (AATP), vous serez capable de comprendre le fonctionnement de Microsoft AATP, de l’installer, de le paramétrer et de l'administrer. Le formateur met également l'accent sur l'aspect design avant l'installation, ce qui vous permettra de bien étudier votre existant avant tout déploiement en production.

Objectifs de la formation
Découvrir le produit Microsoft AATP  au sein de la suite EMS (Entreprise Mobilité + Sécurité)
Design, planification de la solution Microsoft AATP 
Installer et configurer Microsoft AATP
Sécuriser son environnement et son système d’information grâce à Microsoft AATP

Prérequis
Notions de sécurité informatique
Notions Active Directory, Windows Server, Azure et cloud

Public concerné
Architectes et ingénieurs cloud
Consultants IT et Cloud


Enjoy
Cdt,
ST
Microsoft MVP

mercredi 20 février 2019

Afficher les rôles claims présents dans un Token SAML pour les applications intégrées dans Azure Active Directory

Hello,

Nous allons aujourd'hui voir comment afficher les rôles claims avec Microsoft Graph; ces rôles  sont présents dans le token SAML qui est envoyé à l'application intégrée dans Azure AD lors d'une authentification.

Ces rôles, on les retrouve en interface graphique quand on souhaite ajouter un utilisateur ou un groupe au niveau de l'application intégrée :



Avant de commencer, vous devez avoir une application intégrée dans votre Azure AD comme ici dans mon cas l'application Linkedin Learing :



l’authentification SSO avec du SAML doit être configurée au niveau de cette application :



Une fois l'application intégrée et l'authentification SSO avec du SAML configurée, nous allons pouvoir afficher ces rôles claims avec Microsoft Graph.

Rendez vous sur l'URL suivante : https://developer.microsoft.com/graph/graph-explorer

Connectez vous avec votre compte AzureAD Globale Admin , ici je me connecte avec mon compte globale admin de mon tenant.

La première chose à faire est de configurer les permissions de lecture, et d’écriture des rôles ( nous verrons un 2 eme article sur l'ajout d’un nouveau rôle)

Une fois connecté sur Microsoft Graph, allez sur Modify permissions comme ceci :




Sélectionnez les permissions suivantes :

  • Directory.AccessAsUser.All
  • Directory.Read.All
  • Directory.ReadWrite.All 
et cliquez sur Modify Permissions afin de valider.


Il faudra accepter les permissions au niveau de l'utilisateur comme ceci :




Sélectionnez le mode Beta comme ceci, et  copiez ce lien suivant https://graph.microsoft.com/beta/servicePrincipals ; ce lien permet d’afficher les services principales de votre annuaire.

Cliquez ensuite sur Run Query afin de lancer la requête:


Voici le résultat :



 Allez ensuite au niveau de l'application et copier l'ID de l'obbet de l'application comme ceci :


Ensuite faire un CTRL+F et collez l'ID en question; ceci permettra de trouver votre application :


Une fois trouvé, il est possible de voir les rôles claims au niveau de l'object AppRoles , on voit bien nos rôles user et group:




Remarquez plus bas le rôle par défaut msiam_access, ce rôle est crée par défaut pour les applications qui font partie Marketplace d'application Azure:


et voila :); dans le prochain article nous verrons comment ajouter un rôle, avec Microsoft Graph avec l'opération "PATCH"

Cdt;
ST

mardi 12 février 2019

Advanced Threat Protection for Azure Storage

Hello,

C'est tout chaud, aujourd’hui, Microsoft annonce la sortie en Preview d'Advanced Threat Protection pour les comptes de stockage dans Azure , pour les services Blob.

Advanced Threat Protection for Azure Storage, va vous aider à sécuriser vos comptes de stockage en détectant  les activités suspectes, les anomalies ou encore  les activités anormales et dangereuses.

L'option de l'activation d'ATP for Azure Storage est disponible directement au niveau du compte de stockage... Dans la catégorie SettingsAdvanced Threat Protection :


Threat detection est disponible pour le service Blob au niveau du compte de stockage, la partie alerte est intégrée dans Azure Security Center, ce qui permet de rassembler les alertes dans un seul dashboard et surtout d’être alerté par email en cas de souci sur le compte de stockage (Activités anormales,anomalies etc ..)

Ses avantages :

  • Activation facile 
  • Intégration avec Azure Security Center 
  • Alerté par email en cas d'activités dangereuses ou anormales
  • Détection d'anomalies, activités suspectes, ou encore les comportements anormaux au niveau du compte de stockage 

Comment activer ATP for Azure Storage :

C'est simple; il suffit de se rendre comme indiqué plus haut, dans la catégorie  Settings - Advanced Threat Protection  comme ceci :



Cliquez ensuite sur "ON" afin d'activer ATP sur le compte de stockage et cliquez sur "Save"


Plutôt simple hein ? maintenant ATP est activé et va récolter plusieurs informations concernant votre compte de stockage et vous alertera en fonction des activités remontées dans Azure Security Center.


@ bientôt

ST
Microsoft MVP

mardi 8 janvier 2019

Ma nouvelle formation sur la securité avec Azure Active Directory

Hello les amis,

j'ai la joie de vous présenter ma nouvelle formation sur la sécurité avec Azure Active Directory.


Description de la formation

Cette formation Azure Active Directory vous permettra d’appréhender toutes les briques et services de sécurité avec Azure Active Directory afin de sécuriser votre tenant Azure, Azure AD et Office 365
Le but de cette formation Azure Active Directory est de vous donner les compétences nécessaires, les bonnes pratiques et retour d’expérience afin de rendre optimale vos environnements cloud.
La formation propose 20 % de théorie et 80 % de technique avec des lab concrets qui permettent aux participants de pratiquer et de monter en compétence rapidement sur les aspects sécurité avec Azure Active Directory.

Objectifs


Sécuriser son tenant Office 365, Azure et Azure AD
Comprendre les enjeux de la sécurité des données cloud
Mise en situation réelle afin de gagner en compétences

Prérequis


Formation Azure VM
Formation Azure Virtual Network
Formation Azure Storage 

Public concerné


Ingénieur cloud
Architect Cloud
Architect sécurité
Ingénieur système

Voici le lien de la formation : 

Enjoy :) 

ST
Microsoft MVP

lundi 7 janvier 2019

Ma nouvelle formation sur Azure Site Recovery

Bonjour à tous,

Après avoir finalisé mon livre sur Azure Active Directory j'ai pu finaliser une autre formation sur Azure Site Recovery sur Alphorm .

Voici le lien de la formation : https://www.alphorm.com/tutoriel/formation-en-ligne-microsoft-azure-site-recovery

Description de la formation

Azure Site Recovery est un service dans Microsoft Azure qui permet d’offrir aux entreprises un plan de reprise d’activité, sain, rapide et peu couteux. Cette formation présente le service en détail, de l’introduction, jusqu’ la mise en place du service.

A travers cette formation Azure Site Recovery, vous allez apprendre à mettre en place Azure Site Recovery avec différents scénarios de réplication, à savoir la réplication Azure Virtual Machine ou alors la réplication hybride, autrement dit, la réplication d’un datacenter fonctionnant sur Hyper-V vers Azure. 

Le formateur aborde également la partie migration de machine virtuelle d’un monde on-premise vers Azure au travers d’ASR.

Objectifs

Comprendre les enjeux d’un plan de reprise d’activité
Comprendre le fonctionnement d’Azure Site Recovery
Mettre en place la réplication d’Azure Virtual Machine avec Azure Site Recovery
Mettre en place la réplication de machine virtuelle Hyper-V vers Azure avec Azure Site Recovery
Migrer des machines virtuelles Hyper-V vers Azure 
Administrer et gérer votre plan de reprise d’activité avec Azure Site Recovery 

Prérequis

Connaissances Hyper-V
Avoir suivi la formation Azure Virtual Network et AzureVirtual Machine 

Public concerné

Architecte et Ingénieur cloud 
Consultant IT et Cloud 
Administrateur système et virtualisation 

Je vais me consacrer sur 2019 à mob blog avec plusieurs articles autour de Microsoft Azure , EMS.
stay connected :) 
bon visionnage
Cdt,
ST


lundi 12 novembre 2018

Mon livre sur Azure Active Directory

Bonjour à tous,

j'ai l'immense joie de vous présenter mon nouveau livre sur Azure Active Directory. Livre préfacé par Pascal Saulière, Cloud Solutions Architect chez Microsoft.

Ce livre traite toutes les problématiques liées aux enjeux des identités cloud ( hybrides ou non ) et sera la base de tout projet cloud Microsoft.



Description du livre :

Avec l'arrivée du cloud, la gestion des identités se complexifie pour les entreprises. Ce livre s'adresse à toute personne (expert cloud, architecte système ou infrastructure…) qui souhaite disposer des informations nécessaires pour réussir la mise en œuvre des identités hybrides en réalisant une extension d'Active Directory vers Azure Active Directory.

Dans ce livre, l'auteur choisit une approche du sujet qui allie la théorie à la pratique afin de mettre le lecteur en situation. Il s'appuie notamment sur des projets de mise en œuvre d'identités hybrides dans des déploiements cloud tels que Office 365 et Microsoft Azure.

Après une présentation d'Azure Active Directory, l'auteur détaille la gestion des utilisateurs et des groupes. Le lecteur découvre ensuite la gestion d'appareils Windows 10 dans Azure Active Directory avec l'utilisation des fonctionnalités Azure AD Registration et Azure AD Join, ainsi que la gestion des applications

La suite du livre plonge le lecteur dans le cœur de la gestion des identités hybrides et présente notamment tout l'intérêt de l'outil de synchronisation d'identité AAD Connect. Pour finir, l'auteur présente les aspects liés à la sécurité au travers de fonctionnalités telles que Conditional accessAzure Active Directory Identity Protection ou encore Azure Active Directory Smart Lock. La collaboration et l'échange sécurisé de données ou d'applications avec d'autres sociétés sont également étudiés.


Il est disponible sur :


J'attend votre feedback :)

Cordialement,
ST
Microsoft MVP

mercredi 17 octobre 2018

Speaker au MWCP 2018

Hello à tous,

J'ai le plaisir de vous informer que je serais speaker lors du MWCP 2018, il s'agit du plus grand événement communautaire organisé par mes amis Gokan, Patrick et Sébastien.


Pour plus d’informations, merci de visiter le site suivant : https://modern-workplace.pro

Lors de cet event, je vais donner une session sur Azure Ad ( le jeudi 18 -10 -2018)  , plus précisément sur comment sécuriser son identité hybride et cloud avec Azure AD.




Voici le descriptif de ma session :

"L’identité est le point le plus sensible dans un système d’information, qu’elle soit on prem , hybride ou Cloud, cette identité a besoin d’être sécurisée, gérée et contrôlée. Microsoft met l’accent sur la sécurité au niveau des identités Cloud et hybrides. Que ça soit l’Azure MFA , le smart lockout password, Azure Ad identity protection ou encore l’accès conditionnel, vous allez tout savoir sur la sécurité autour de vos identités hybrides. Cette session est basée sur des retours d’expérience terrain autour de plusieurs projets que Seyfallah Tagrerout , Cloud Architect a pu mener, avec plusieurs clients divers et variés (bancaire , voyage , secteur public )"




Au plaisir de vous voir demain sur Paris, pour parler d'Azure Ad et de sécurité autour d'azure AD

Cdt,
ST
Microsoft MVP

mercredi 3 octobre 2018

Windows 10 1809 et Windows Server 2019 disponibles

Hello,

Enfin, Windows Server 2019 est disponible , vous pouvez le télécharger au niveau de votre abonnement MSDN comme ceci :


Ou encore depuis Azure directement à la création d'une machine virtuelle (Azure Marketplace ) :



Vous pouvez retrouver mon article qui traite la première partie de Windows Server 2019 : 


Même chose pour Windows 10 avec la 1809 en version LTSC  :


La mise à jours peut être effectuée depuis ici aussi : https://www.microsoft.com/fr-fr/software-download/windows10

Enjoy !

Cdt,
ST
Microsoft MVP

lundi 1 octobre 2018

Windows Server 2019 ! Part 1


Hello,

Nous allons aborder aujourd’hui un nouveau sujet, Windows Server 2019, beaucoup d’entre vous l’attendent et moi également 😊, j’ai reçu beaucoup de messages me disant de faire un article de type Overview afin de voir les nouveautés et la roadmap annoncées par Microsoft sur ses technologies On-prem.

Alors, j’ai une bonne nouvelle, l’on prem n’est pas encore mort chez Microsoft, donc pour ceux qui résistent encore et font que de l’on prem, sachez qu’il a encore de belles années devant lui chez Microsoft, car avec l’arrivée de Windows Server 2019, Exchange 2019, SharePoint 2019, SQL 2019 ça laisse  croire que Microsoft abandonne pas encore cette couche et continu à investir dessus, notamment avec Windows Server 2019, sujet de cet article avec pas mal de nouveautés.

Cela dit, il embarque beaucoup de fonctionnalités qui permettent la connexion avec Azure et donc l’hybridation, ce qui a pour but de facile la migration vers Azure, car un jour, il faudra le faire …

Windows Server 2019 ? vraiment ?

Comme vous le savez surement, Windows server sortira en GA en octobre, cette bonne nouvelle  était annoncée lors des Microsoft Ignite à Orlando ( j’y étais , je vous ferais un compte rendu d’ailleurs).


La stratégie de pousser ses clients vers le cloud Microsoft Azure, n’a jamais était aussi forte pour Microsoft. En effet, avec l’arrivée de Windows Server 2019, la direction cloud est donnée, car il contient de plus en plus de fonctionnalités et services qui vous permettent d’hybrider votre infrastructure avec Microsoft Azure. Notamment avec un passage intermédiaire avec Azure Stack.

Je suis en ce moment aux Ignite aux USA à Orlando, et Microsoft vient de publier sa vision d'un monde intelligent qui est en frontière avec la partie On-Premise et Cloud :


Les nouveautés Windows Server 2019 peuvent catégorisées comme ceci :
  • Hybrid
  • Sécurity
  • Application Platform 
  • Hyper-coverged Infrastructure 


Hybrid :

Windows Server 2019 est fait pour être connecté au cloud Microsoft Azure, avec la nouvelle version de Windows Admin Center, on peut connecter Windows Serve(r 2019 à plusieurs services Azure comme la connexion réseau aux virtual network Azure, Azure Backup, SMS (Storage Migration Service), ASR (Azure Site Recovery) et plein d'autres, bien entendu, nous avons également l'intégration avec Azure Active Directory. 

"Windows Server 2019 peut être exécuté partout, que ça soit on-permise, dans un cloud hybride ou totalement dans Azure."

Cette partie hybride est très importante pour Microsoft et les clients, car elle permettra de faciliter la transition vers Azure, de plus, l’intérêt est d'essayer l’adoption d' Azure pour les entreprises de façon "step by step" ce qui permet de garder toujours le contrôle sur son infrastructure et de maîtriser sa migration le jour J.

La sécurité :

Et oui, point très important pour nous tous et surtout pour Microsoft, qui ne cesse de faire évoluer ses systèmes au niveau sécurité,  afin de proposer des services sécurisés et optimales pour la production. 

l'approche de Microsoft au niveau de la sécurité :



Des nouveautés intéressantes cotés infrastructure et hardware, notamment avec plusieurs améliorations apportées aux Shielded VMs, ce qui permet de protéger les machines virtuelles Linux et Windows qui sont hébergées sous Hyper-V. des protections supplémentaires ont étaient ajoutées afin de protéger le Kernel avec CFG (Kernel Control Flow). La partie Virtual Network au niveau du SDN devient chiffrée de manière transparente pour les machines virtuelles, de plus, sans oublier l’intégration par défaut de l'agent Windows Defender ATP, il sera capable de détecter les attaques et les "zero day exploits". Pour finir; Microsoft inclus également Défender Exploit Guard qui permet aux entreprise d'élever leur niveau de sécurité et de se protéger contre les ransomware.

Une plateforme applicative:

Microsoft revient dans cette nouvelle version avec des améliorations apportées aux containers et l’intégration de docker avec Windows Server
Microsoft intègre Kubernetes et service fabric dans cette nouvelle version afin de faciler la gestion des Containers, de plus, il sera possible de faire exécuter ses containers Linux sur avec les Windows Container sur Windows Server 2019. une forte intégration et amélioration de ce cotés la afin de permettre aux utilisateurs Linux d’importer leur environnement et leur scripts avec Open SSH, Curl etc 


L'hyper-convergence :

Sortie avec Windows Server 2016, cette partie ne cesse de s’améliorer de version en version avec Windows Server 2019; l'accent est posé sur la performances et la haute disponibilité, il sera possible d'avoir un environnement avec plus de 100 serveurs grâce aux clusters Set. De plus, plusieurs partenaires (fabricant de hardware) se sont ajoutés à la liste afin de certifier leur matériel pour du Storage Space direct (S2D):


la partie déduplication à était également ajoutée dans cette partie Storage Space Directe, ce qui permet de faire des économies sur le stockage (une démo aux Ignite, avec plus de 82 % de gain sur le stockage ) comme on peut le voir :



De plus, avec le partenariat Intel - Microsoft; Microsoft affiche un record de plus de 13 millions d'IOPS sur sa plateforme d'hyper convergence Storage Space Direct:


Ceci est grâce aux nouveau disque Intel PMEM, qui sont des disques de très très grande rapidité car ils fonctionnent comme une RAM, mais sont non volatiles, ce qui permet de garder les données même hors tension du serveur.

Voici un ordre de grandeur donné par Microsoft lors des Ignite, cette semaine (donné par Cosmos le PM Storage Space Direct ):




Conclusion:

Windows Server 2019 arrive en GA en octobre, avec plusieurs nouveautés sur la partie sécurité, Plateforme, hybridation et infrastructure hyper convergée, ces 4 piliers, sont importants pour Microsoft dans sa roadmap Windows Server. 

La partie hybride avec Azure permettra de nous faciliter la transition vers le cloud et aussi de gérer notre Plateforme cloud depuis l'on-premise, par exemple, avec la gestion des machines virtuelles Azure via Admin center depuis un serveur On-prem. 

Comme demandé par plusieurs followers, j'ai fais un article qui résume la roadmap et nouveautés de Windows Server annoncé aux Ignite. dans un second article, j'annoncerais toutes les nouveauté au niveau technique, ce qui permet d'avoir deux articles complets qui pourront faire le récap de ce que Microsoft à annoncé aux Ignite cette semaine.

Je vous dis à très vite pour le second article plus technique sur les nouveautés de Windows Server 2019.

Cdt:
ST
Microsoft MVP

Modern Management Part 2 - comment faire ? et quelle méthodologie ?

Bonjour à tous,

Nous avons vu dans la partie 1 l’introduction au modern management, que vous pouvez trouver ici :


Nous avons vu ses apports, sa composition technologique et sa place dans un futur proche dans nos systèmes d’informations. 

De plus, je suis en ce moment aux Microsoft Ignite à Orlando , et on peut voir que Microsoft axe beaucoup sur ce thème avec beaucoup de sessions et de Workshop.

Dans cette seconde partie, nous allons aborder plus en détail le processus qui vous permettra de franchir le cap et d’aller vers ce modèle.

En résumé avec le modern management je peux :

  •         M’affranchir de plusieurs briques on-premise
  •         D’avoir un annuaire IDaaS basé sur le cloud de Microsoft - Le fameux AzureAD
  •         D’avoir des postes de travail sécurisés et managés
  •         D’avoir le contrôle sur mes données, les classifier et les chiffrer ( avec Azure Information Protection)
  •         De permettre à mes utilisateurs de s’authentifier avec une seule identité sur plusieurs services et cloud de l’entreprise
  •         D’avoir le contrôle sur le flux et le Traffic des utilisateurs en ce qui concerne les applications et services cloud
  •         De sécuriser l’accès aux données de l’entreprise grâce à des règles et stratégies sur Azure Active Directory
  •         De protéger les mots de passe de mes utilisateurs avec le Smart Lockout
  •         De protéger mes utilisateurs contre les activités malveillantes avec Identity Protection
  •         D’offrir à mes utilisateurs un espace de collaboration ( partage de fichier stockage de données, partage de fichier de manière sécurisée et surtout contrôlée)
  •         D’offrir à mes utilisateurs une messagerie basée sur Exchange Online , système complètement sécurisée et gérée par Microsoft
  •         De donner à mes utilisateurs un espace collaboratif dans le quel ils pourront échanger des informations, échanger de manière instantanée grâce à Skype For business et le tout dans un outil convergé è  Microsoft Teams
    

Comment ?

Deux scénarios pour moi qui sont les plus visibles chez les clients :

·        Full Modern Modern Management : toutes les briques on-premise n’existent plus au profit des briques M 365 ( rappelez-vous : Office365, EMS et Windows 10), ce cas reste encore rare, mais de plus en plus de clients ( PME , etc )  adoptent ce modèle et voient un réel intérêt ( par rapport aux apports et avantages cités plus haut)
     
      Ce modèle ressemble à ça : le système d'information repose uniquement sur le poste de travail de l'utilisateur finale, toutes la gestion du poste, de la sécurité se fait depuis le cloud de Microsoft à savoir Microsoft 365 :

         Modern Management hybride : Dans ce monde, nous avons les deux pieds sur les deux mondes, à savoir le monde on-prem avec l’Active Directory, les serveurs Exchange, SharePoint etc, et d’un autre coté nous sommes dans le Cloud avec ces mêmes briques, ceci est possible grâce à l’hybridation de ces services, qui permettent aux entreprises de passer le cloud et modern management en douceur.

Dans cette partie nous allons traiter le modern management avec l’hybridation. Qui est la partie la plus complexe et la plus intéressante pour moi lors des projets chez mes clients.

Par quoi commencer ?


Identification des besoins :
Avant tout projet, et surtout pour ce type de projet, il faut définir les besoins IT et les besoins utilisateurs. Car le but est de permettre à l’humain d’être plus productif dans son travail, et ceci est valable aussi bien pour les IT que les utilisateurs standards ( qui sont au centre des débats dans ce type de projet), car il faudra accompagner ces utilisateurs afin qu’ils puissent adopter ces nouveaux technologies et ces nouveaux usages.

Identification des briques techniques :
Dans cette phase, il faudra définir ce que vous souhaitez faire avec les briques cloud que vous avez à disposition, vous avez de la chance en générale, si on l’on étudie bien les besoins de son entreprise et ses utilisateurs, cette partie devrait pas prendre beaucoup de temps aux IT.

Car ici, il s’agit de traiter les décisions à prendre à propos des briques que l’on souhaite hybrider avec le cloud de Microsoft.

Une brique qui devra être obligatoirement hybridée ( ou presque, ceci dépendra de la philosophie de l’entreprise) , et vous l’aurez compris, la partie identité à savoir l’Active Directory. Car pour la simple bonne raison, l’utilisateurs à besoin d’une identité dans le cloud pour s’authentifier et consommer les services Cloud.

Mais quand je mentionne le «  ou presque » je fais référence à un annuaire IDaaS From cloud, c’est-à-dire que l’entreprise peut très bien décider d’utiliser uniquement l’Azure Active Directory comme source d’identité dans le cloud. Mais ce modèle présente une limite.La multiplication des identités pour les utilisateurs, car ces derniers, devront avoir deux comptes, leur compte Active Directory interne pour consommer les ressources on-prem et un autre cloud Azure Active Directory afin de consommer les services et ressources cloud.  

Avec l’hybridation de la brique identité ( Active Directory) nous allons répondre à cette problématique, en offrant aux utilisateurs une identité communs ( ressources cloud & ressources on-prem).

Avec Azure Active Directory, l’équation « une application  = une identité », devient obsolète et devient : « Une identité commune pour toutes les applications. »

Résumé - Pour l’extension de l’Active Directory vers Azure AD il y plusieurs choses à prendre en compte :

-        L’architecture AD :
o   Mono foret – mono domaine
o   Mono Foret – Multi domaines
o   Multi foret – Multi domaine
o   Etc

-        Service de fédération présents ( exemple ADFS, Ping Federate etc )
-       
      La structure des objets et attributs AD  ( correction des erreurs avec Idfix par exemple .. )

-        Moyen d’authentification :
o   Hash de hash de password
o   Federatie
o   Pass Through

-        Stratégie de synchronisation:
o   Quelles OUs, utilisateurs, population etc ..
o   Etc

Vous  pouvez consulter tous mes articles qui traitent cette partie ( étude avant d’aller vers Azure AD )  de manière technique ici :


Une fois l’identité validée, il faudra se pencher sur les autres briques que vous pouvez hybrider dans ce cas à savoir :

  •         La messagerie avec Exchange
  •         Le service SharePoint
  •         SCCM avec Intune ( qui sera bientôt plus possible)

Les postes de travail :
Partie très est importante, les postes de travail, il est nécessaire de bien réfléchir à comment vous allez les manager, les sécuriser et surtout au travers de quel moyen. Alors ici, comme pour l’identité, nous allons pouvoir hybrider les postes de travail et le joindre dans Azure Active Directory au même temps qu’il sont joint à l’Active Directory interne.



L’intérêt ? c’est de permettre la gestion et le contrôle du poste de travail au travers des deux mondes, on sera capable de pousser des stratégies de groupes ( GPO) et des policies Intune.  

Cette décision est importante, car elle modifiera le fonctionnement des postes d travail.

Bien entendu dans cette étape, il faudra étudier de manière granulaire les GPOs qui seront poussées et les policies Intune et éviter l’incohérence ou alors le fait d’avoir une GPO qui dit la même chose qu’une policie Intune. 

Les deux mondes doivent être complémentaires afin de vous apporter encore plus de sécurité et de la mobilité.  

Cette partie peut prendre en compte la partie Mobile, la force d’intune, c’est qu’il permet de traiter un poste de travail comme un appareil mobile, donc si vous avez envie d’ajouter la partie device ( Iphone, android, etc ) , pourquoi pas. Microsoft se veut cross Platform

Any Dev – Any App – Any Platform
La Sécurité :
Et oui, la Sécurité, la sécurité j’en parlerais toujours, car c’est l’un des points malheureusement le plus négligé dans tout projet, et ici nous sommes dans un contexte cloud, les enjeux de sécurité deviennent de plus en plus importants pour les entreprises, DSI et RSSI.

Avec comme EMS, comme nous l’avons vu, nous avons plusieurs couches de sécurité, qui vont permettre de sécuriser vos données, vos utilisateurs et vos appareils.

Une chose importante à faire avant de commencer est le Hardening des tenants ( Office 365, Azure ) à savoir les paramétrer avec les bons paramètres de sécurité.

Pour le tenant Office 365, vous pourrez aussi vous baser sur le secure score, : afin qu’il puisse vous donner le niveau de sécurité de votre tenant et vous donner quelques conseils afin de renforcer sa sécurité.

Exemple :


Ensuite en fonction de ce que vous avez définis, vous devez configure les features de sécurités suivantes :

-        Azure AD :
o   Access Conditionnel
o   Identity Protection
o   Smart Password
o   Azure MFA et AATP


Comme pour Office365, Azure AD dispose également de son secure score, qui vous permettra de voir le niveau de votre sécurité et d’apporter les modifications nécessaires pour le rendre encore plus sécurisé.




AIP :
o   Définition des Templates
o   Définition des classifications et des stratégies d’application – automatique ou pas
o   BYOK ou pas BYOK ?

Pour info, ce service peut également être hybridé avec des services on-prem comme Exchange, file serveur et SharePoint.
-       
    Cloud App Sécurité
o   Gouvernance
o   Création de policies et stratégies

Je ne parle pas encore de Microsoft ATA ou AATP, car ce n’est pas le sujet.

  
Gouvernance :
Une fois toutes ces étapes traités, il faudra penser à la gouvernance de tout cet Eco système à savoir Office 365, et EMS. Définir les bonnes personnes, les bons droits en fonction de la responsabilité de chaqu’un etc.

Et maintenant ? il reste plus qu’a déployer et commencer votre projet 😊 comme pour la partie 1, je vais introduire une brique qui nous permet la construction de ce rêve d’un monde mobile et sécurisé.
Je vais aborder dès à présent AIP ( Azure Information Protection).

Azure Information Protection 


AIP Azure Information Protection , est une solution intégrée dans la suite EMS qui permet de faire de la data classification et chiffrement des données ( fichiers et emails de l’entreprise) pour la petite histoire, ce service se nommait Azure RMS dans l’ancien portail Azure, et il traitait que la partie Right management à savoir le chiffrement et déchirement des données. Microsoft par la suite a acheté Secure Island afin d’apporter la couche classification.

Et le produit à était migré vers le nouveau portail Azure (V2 ) avec donc comme nouveau nom :
Azure Information Protection.

Les apports d’AIP :
       Classifier et chiffrer les documents – E-mails:
       Classification manuelle ou automatique des documents et E-Mails         
       Hello GDPR !
       Chiffrement des documents et E-Mails:
       Droit sur les fichiers
       Lecture
       Modification
       Full droit
       Mobilité:
       Access Offline
       Access offline limité dans le temps

       Partage de document :
       Partage sécurisé et contrôlé
       Limité dans le temps

       Départ collaborateur :
       Plus rien J une fois que le compte utilisateur est désactivé, l’utilisateur ne sera plus en mesure d’accéder aux données de l’entreprise
       AIP Scnner :
AIP scanner, permet de classifier les fichiers et documents de manière automatique en effectuant un scan au niveau des serveurs de fichiers ou encore sur les SharePoint servers.


       BYOK :
       Il sera possible de stocker la clé privé de chiffrement chez vous dans un boitier HSM par exemple, ce qui permettra d’avoir le contrôle sur votre clé privé.


Voici un exemple de création : classification :






Voici un exemple de création de Template  (je donne un accès qu'en lecture ) :



 Voici un exemple de classification et chiffrement automatique avec un pattern : 



Conclusion:

Vous l'aurez compris, le but de ces articles n'est pas vraiment technique mais pour donner une vision et un plan d'ensemble sur ce que l'on peut s'attendre du monder Workplace by Microsoft avec M365.

A la prochaine :) pour d'autres articles plus techniques , nous avons déjà effectué la partie identité avec Azure AD, nous attaquerons dans un prochain article la partie sécurité avec Azure AD, et AIP et ça sera occasion de vous présenter les nouveautés annoncés lors des Ignite 2018.

Cdt,
ST
Microsoft MVP

>