Search This Blog

dimanche 3 juin 2018

Microsoft Enterprise Mobility + Security

Hello,

Nous allons aujourd’hui abordé la suite EMS de manière high level, ensuite je ferais des article Deep-dive sur chaque composant de cette suite.

Vous pouvez déjà retrouver mes 4 premiers articles sur Azure Ad ( série en cours de finalisation ) :




La sécurité de nos jours est omniprésente, elle touche toutes les briques de nos systèmes d’information.

Nous rencontrons  de plus en plus de cyberattaques, ces attaques peuvent être de tout genre, ce qui obligent les éditeurs à innover afin de proposer à leur clients les meilleurs moyens afin de se protéger contre ces attaques.

Microsoft mis à disposition pour ces clients la suite EMS ( Entreprise Mobility + Security) ce qui permet d’offrir un monde d’entreprise mobile, donc productif et surtout sécurisé.



Entreprise Mobility + Security

EMS est une suite de composants qui permet de répondre à plusieurs besoins des entreprises en terme de mobilité, productivité, et sécurité.

EMS se compose de :

  • ·        Azure Active Directory : C’est le point central, C’est annuaire qui permet de gérer l’identité cloud, cette identité peut être from cloud ou alors synchronisée depuis un Active Directory local , c’est le point centrale de cette suite

Vu globale d’un annuaire AD local synchronisé vers azure AD :




  • Azure information protection : Solution qui permet de faire de la data classification au sein des systèmes d’information, elle permet de classifier les documents, les e-mails. AIP permet également de chiffrer les documents et e-mails afin d’apporter de la sécurité au niveau de la consultation et de gérer les droits des accès aux documents internes de l’entreprise.

AIP fonctionne avec Azure AD en mode full cloud ou alors avec un  Azure AD avec des utilisateurs synchronisées depuis un AD Local :



Le mode de déploiement d‘Azure Information Protection :

o   Full Cloud
o   Hybride, afin de connecter vos serveurs on-prem : serveur Exchange, serveur de fichier ou encore votre SharePoint à AIP via un RMS Connector,  comme ci-dessous :




  • ·        Cloud App Security : Elément essentiel dans un monde qui devient de plus en plus cloud, car cette solution va permettre de garder le contrôle des activités des utilisateurs  internes, elle est capable de proposer des rapports complets sur l’utilisation des applications cloud des utilisateurs, ce qui permet de mieux contrôler ces données, elle permet également de se protéger en détectant des anomalies et incidents basée sur une analyse comportementale des utilisateurs et de leur accès.

  • ·        Intune : Intune  est un MDM ( Mobile Device Management ) composant bien connu qui permet de gérer les appareils d’entreprise ( iPhone, Android, Windows 10 ), Intune permet également de faire du MAM ( Mobile Application Management) afin de gérer les applications d’entreprise de façon sécurisée ; Intune permet de garder le contrôle sur les devices d’entreprise et également faire du BYOD, ce qui offre à vos utilisateurs une mobilité saine sans corrompre  la sécurité de votre système d’information.

  • ·        Microsoft Advanced Threat Analytics : Microsoft ATA est une solution basée sur du machine Learning qui via une analyse comportemental va permettre de sécuriser votre système d’information en se basant sur un élément essentiel : l’Active Directory interne. ATA va collecter et analyser tous le Traffic de l’AD et en fonction de ce qu’il aura appris, il va vous alerter sur les incidents et anomalies que vous avez en interne 
  • L’architecture de Microsoft ATA est composée de plusieurs éléments :

·        D’un ATA center , le cerveau de la solution qui traite le trafic reçue, analyse, envoi les alertes et les stockent également dans une base de données MongoDB


·        La passerelle ATA, l’ATA Gateway, c’est un élément important, car c’est lui qui    capture le trafic de l’AD ( Kerberos, DNS, et tout ce qui passe dans l’AD) et l’envoi pour analyse à l’ATA Center. On distingue deux types , la Gateway classique et l’ATA LightWeight Gateway , celle-ci capture de le trafic des DCs via du port mirroring au niveau physique si nous sommes dans une architecture virtualisée, ou alors via un switch physique dans le cas ou nous avons une infrastructure physique. L’ATA LightWeight est un agent directement installé sur le DC, et c’est le DC via cet agent qui se chargera de capturer et d’envoyer son trafic à l’ATA center 



  • ·        Azure Threat Protection :  Azure ATP est un ATA as a Service basé sur le cloud de Microsoft, qui permet via des sensor installés sur des ATA Gateway classique ou sur les DC de capturer le trafic AD et de l’analyser comme le fait Microsoft ATA, il aussi capable de briser les chaines de cyberattaques telle que la reconnaissance, le mouvement latéral et la persistance. 


Azure AATP est disponible avec EMS E 5.

  
NB : Faut savoir que tous ces composants sont cloud based, sauf la solution Microsoft ATA , qui reste une solution on-prem. Mais Azure ATP vient pallier ce manque et propose un ATA as a Service dans le cloud de Microsoft.

EMS et les licences 

 Microsoft à mis au point deux niveaux de licence, à savoir :
  • ·        EMS E3
  • ·        EMS E 5

Le mode EMS E3 offre :
  •         Azure AD P1
  •         Intune
  •         Azure Information Protection  P1 ( AIP)
  •         Advanced Threat Analytics (ATA)



Tandis que EMS E5 :
  •         Azure AD P1
  •         Intune
  •         Azure Information Protection P2  ( AIP)
  •         Cloud App Security
  •         Azure Advanced Threat Analytics (Azure ATP)


Conclusion

 EMS est une solution qui vous permettra d’augmenter la productivité de vos salariés toute en gardant le contrôle de votre système d’information.  Certains outils de cette solution permettent de répondre aux problématique de la RGPD ( notamment AIP), ce qui permet de mieux gère les informations personnels de vos salariés.

Les briques EMS peuvent s’implémenter de manière complètement indépendantes, il faut savoir que la base est Azure AD, une fois azure AD déployé, il est possible de mettre en place les briques EMS step by step, cette méthode permet d’appréhender au mieux ces nouvelles technologies et mieux les implémenter afin de répondre à vos besoins de mobilité et de sécurité.

D'autres articles viendront compléter cette introduction à EMS :)

Stay connected

Cdt,
ST,
Microsoft MVP

Speaker - aOS Aix-En-Provence - 21/06

Hello,

Juste pour vous annoncer que je serais présent lors de notre aOS le 21 Juin à Aix-En-Provence. Nous avons organisé l’événement avec Nicolas Bonnet et Sébastien Paulet.




Les communautés CMD (Cloud Mobility Datacenter) et aOS (azure Office 365 SharePoint) vous invitent à venir assister à la 3ème édition de l’aOS Aix en Provence au Cési Aix en Provencele 21 Juin 2018.
Pendant une journée entière, vous pouvez rencontrer et échanger avec des experts des technologies Office 365 et Azure. Différentes sessions vous seront proposées où des experts vous apporteront leur retour terrain. Il vous sera ainsi possible de découvrir ou approfondir vos connaissances sur :
  • Les dernières nouveautés Azure
  • La mise en conformité de votre SI avec le RGPD, la sécurisation de vos données, leur géolocalisation
  • La création de Bots multicanaux
  • La collaboration dernier cri avec Microsoft Teams
  • La gestion des identités et les connexions à l’Active Directory
  • La création de rapports Power BI
  • Comment faciliter la collaboration et la créativité lors des réunions avec la Surface Hub
  • Et plein d’autres sujets...
Ce sera aussi l’occasion de partager et échanger entre utilisateurs et professionnels, locaux, nationaux et internationaux, de l’offre Cloud Microsoft.
L'agenda de cette journée sera le suivant :


Nous serons ravis de vous accueillir lors de cette journée.
Vous souhaitez nous contacter pour être partenaire sponsor de l’événement ou toute autre question? Contactez-nous via les réseaux sociaux ou par mail 
J’espère vous voir nombreux à notre bel event
Cdt,
ST
Microsoft MVP

vendredi 25 mai 2018

Azure AD - La fédération d'identité avec ADFS - Partie 4

Bonjour à tous,

Nous allons continuer notre série d'articles autour d'Azure AD / Office365 et l’extension d'un annuaire Active Directory vers Azure AD.

Nous avons vu dans une première partie la présentation d'Azure AD, ensuite dans la deuxième partie, l'étude qui prépare à l’extension de son AD vers Azure AD et en troisième partie la présentation et l'installation d'ADFS.

Voici les trois premières parties :


Introduction

Lors de la partie 3 nous avons vu l'installation d'ADFS, nous allons voici ici l'installation du WAP (Web application Proxy) afin de permettre aux utilisateurs qui sont à l’extérieur du réseau de l'entreprise de se connecter au services Office 365 avec leur compte AD de manière sécurisée ( qui est bien entendu synchronisé avec sut Azure AD).

Présentation du design

Le design que je vous propose contient les éléments suivants:

  • Un serveur ADFS 
  • 3 contrôleurs de domaine Active directory
  • Un Serveur WAP Proxy (placé en DMZ)


Nous allons donc installer le composant WAP afin de compléter notre architecture ADFS et la préparer pour fédérer notre domaine interne. Ceci est pour s’authentifier auprès d'office 365 avec ADFS en utilisant bien entendu notre identité synchronisée dans Azure AD Avec AAD connect.

Avant de commencer, il faut savoir que le WAP est un serveur à part qui se place dans une DMZ et en aucun cas dans le LAN avec l'ADFS interne, de plus ce serveur doit être en Workgroup et non joint au domaine.

Une fois placé en DMZ, il suffit d'ouvrir le flux HTTPs - 443 avec les protocoles de transport TCP/UDP entre ce WAP et le serveur ADFS interne.

Sur le Firewall externe qui gère la DMZ, il faut ouvrir le port HTTPs - 443 avec les protocoles de transport TCP/UDP et rediriger votre 'ip public vers le serveur WAP en 443.

Si vous avez des doutes sur les flux à ouvrir dans une architecture ADFS, merci de consulter la partie 3, dans cette partie j'aborde la partie flux firewall. ==> https://seyfallah-it.blogspot.fr/2018/03/azure-ad-la-federation-didentite-avec.html

Mon infrastructure est sur Azure, afin de pouvoir gérer les flux firewall et placer mes serveurs sur plusieurs Zones (DMZ et LAN) j'ai eu recours aux NSG (Network Security Group) et aux subnets via mon virtual Network dans Azure.

LAN : 192.168.1.0 /24
DMZ: 192.168.2.0/24

Voici la règle FW au niveau du NSG entre le WAP (DMZ)  et l'ADFS Interne (LAN), au niveau de la première ligne avec la priorty 100, celle ci autorise le flux 443 en entré depuis la zone DMZ.



et voici la règle au niveau de la DMZ, qui autorise le flux 443 sur le serveur WAP :


Une fois ces prérequis finalisé, il est recommandé de tester les flux avec un portqry ou telnet afin de s'assurer que tous les flux sont ouvert.


Ps : oubliez pas d'installer le certificat SSL sur le serveur WAP comme effectuée sur le serveur ADFS interne lors de la précédente étape.

Installation du WAP :

Nous allons commencer l'installation du Web Application Proxy.

Commencez donc par ouvrir le server manager et allez dans Manage et allez ensuite dans Add role and Features.

Cliquez ensuite sur suivant,:



Cliquez ensuite sur suivant:



Ensuite choisir son serveur WAP et cliquer sur Suivant.

Ici, il suffit de cocher le rôle "Remote Access" comme ceci : 



Rien à installer au niveau des fonctionnalité, cliquez sur suivant :


Introduction au rôle Access à distance, cliquez sur suivant :




Cliquez ensuite sur Add Features afin d'ajouter la feature qui nous intéresse dans ce cas :


Ici, il faut choisir pour notre besoin le Web application Proxy: 





Cliquez sur Install:



 L'installation commence :





Configuration du WAP :

Une fois que le rôle Remote Access est installé avec la fonctionnalité WAP, nous allons procéder à la configuration de ce dernier.

Après le reboot du serveur, allez sur le sevrer manager et cliquez sur le beau triangle jaune ! cliquez ensuite sur "Open The Web Application Proxy Wizard "


L’assistant de configuration du WAP s’ouvre comme ceci , cliquez ensuite sur suivant :




Veuillez ajouter le nom du service ADFS comme ceci : adfs.nom de domain publique et entrer des informations d’authentification afin que le WAP puisse se connecter au serveur ADFS en interne ( Racine) 

il faut également saisir un compte de service qui doit être membre du groupe administrateur local du serveur ADFS Racine , une fois ces informations saisies, vous pouvez cliquer sur suivant :



Ici il faudra saisir le certificat SSL, nous allons utiliser le même certificat SSL que sur le serveur ADFS interne ( Racine) , cliquez sur suivant :



Voici une confirmation de vos actions, un script PowerShell est généré de manière automatique qui vous aidera à automatiser vos déploiements WAP dans le future.

Cliquer sur Configure afin de commencer la configuration :


Si tous ce passe bien, vous devez voir ceci : cliquer ensuite sur Close.




Publication du service ADFS 

Une fois le WAP configuré, nous pouvons publier le service Web en tant qu’application sur l’extérieur de manière sécurisée vu que ce dernier est dans une DMZ.




Il faut ouvrir la console de management de l’accès distant et cliquer sur Publier comme ceci :



L’assistant de publication d’application s’ouvre, cliquez sur suivant :


Choisir la méthode d’authentification ( Pass-Through) comme ceci :



Au niveau des paramètres de publication, il faut renseigner l’URL de votre service ADFS comme ceci ( externe et interne sont les mêmes URLs) choisir le certificat SSL et cliquez sur suivant:


 Confirmation de vos actions, avec également un script PowerShell qui pourra être réutilisé plus tard , cliquez ensuite sur Publish:


Si tout se passe bien, vous devrez avoir ceci , cliquez sur Close:



Vérification de la web application publiée (ADFS) comme ceci :




Test du WAP Server 

Afin de tester votre WAP, tout d’abord depuis ce dernier, ouvrez un internet explorer et allez sur l’URL suivant :

-        https://adfs.domain.com/adfs/ls/idpinitiatedsignon

 Cette fenêtre, prouve le bon fonctionnement du service WAP:



Il est possible de tester de se connecter avec un utilisateur du domaine, une fois connecté vous devez avoir ceci :



Ä ce stade le WAP est opérationnel. Et le service ADFS est publié de manière sécurisée.

Ce test peut être fait depuis l’extérieur afin de valider la redirection du flux 443 de votre ip publique vers l’ip interne du Wap proxy.

Conclusion

Nous arrivons à la fin de cet article, nous avons installé et configuré le WAP et nous avons publié notre ADFS comme une application de manière sécurisée sur le Net. 

Nous allons voir la prochaine étape (Partie 5) qui va consister à synchroniser les utilisateurs de notre Ad local vers Azure Ad tout en utilisant la méthode de Sign In " ADFS " en créant un trus Office 365 dans notre ADFS.

Je vous dis à la prochaine :) stay Connected !

Cdt,
ST
Microsoft MVP

jeudi 24 mai 2018

Azure Speed Test

Hello,

Aujourd'hui, je vous vous montrer un petit outil sympa qui va vous aider à déterminer le meilleur data center Azure en fonction de votre localisation et votre zone géographique.

Cet outil est important lors d'une phase de design sur des projets Microsoft Azure.

Vous avez à disposition deux outils :


  • Azure Speed Test 2.0
  • Azure Latency Test qui est plus détaillé au niveau du résultat

Azure Speed Test 2.0 

Azure Speed Test 2.0 est accessible directement ici ==> http://azurespeedtest.azurewebsites.net/

Il vous donnera directement la latence  ( du meilleur au moins bon) du data center  Azure en fonction de votre localisation.

Exemple pour ma part : 

On peut voir que le meilleur data center Azure en terme de latence pour moi est celui de l’Europe du nord  (Irlande) , suivi de prêt par west europe ( pays bas)  et la France Centrale.




Azure Latency Test

Accessible ici : http://www.azurespeed.com/

En ce qui concerne Azure Latency Test, ce dernier est plus détaillé et permet d'aller beaucoup plus loin et d’être granulaire pour les tests de performance des Data center Azure

Il est possible de faire les tests suivants :
  • Test de latence
  • CDN Test
  • Test d'upload
  • Test de Download
  • Test de large file Upload 
  • PS Ping 
Exemple : test d'upload entre tous les data center en Europe et un data center aux USA : 


Test de latence  ( Toujours en fonction de ma zone géographique) :





Enjoy !

Cdt,
ST
Microsoft MVP

lundi 14 mai 2018

VeeamON France 2018

Hello,

Veeam organise son événement VeeamON  France le 29 mai à Paris.



VeeamON Forum France 2018 est un événement unique autour de la disponibilité et la protection des données et des applications dans les environnements multi-cloud.

Veeam® révolutionne la manière dont les grandes entreprises assurent l'Always-On Cloud Availability dans les environnements hybrides. Le VeeamON Forum 2018 est le seul événement en 
France au cours duquel vous pourrez en faire l'expérience directe.ff



Les places sont limitées. Réservez votre place gratuite aujourd'hui !

Cliquez ici ==> Voici le lien pour vous inscrire

j'ai la joie de vous annoncer que je serais média Partners de cet événement aux cotés de mon ami Christophe Glemot ==>  son blog : http://original-network.com



J’espère vous retrouver la ba :) 

Cdt,
ST

Ma nouvelle formation - Azure Virtual Machine

Bonjour à tous,

Je suis heureux aujourd’hui de vous présenter ma nouvelle formation chez Alphorm, cette formation est axée sur les Machines virtuelles dans Azure.



voici le plan de la formation :



Voici le lien de la formation :

https://www.alphorm.com/tutoriel/formation-en-ligne-microsoft-azure-les-machines-virtuelles


Cette formation fait partie d'un cursus de formation Azure que je vous prépare chez Alphorm.

@ très bientôt les amis

Cdt,
ST


jeudi 26 avril 2018

GAB 2018 Terminé

Bonjour à tous,

Un petit retour sur le GAB 2018 à Aix en Provence !


Pour ma part j'ai donnée ma session sur AAd connect (gestion et troubleshooting).

Voici une petite photo des speakers :


  • Nicolas Bonnet
  • Remy Bovi
  • Jean-François Berenguer
  • Joel Crest
  • Et moi même ^^ 




Merci à tous les speakers et aux participants ! et on se dit à l'année prochaine ;)

Cdt,
ST
Microsoft MVP

mardi 3 avril 2018

Livre sur Microsoft ATA - Advanced Threat Analytics

Hello à  tous,

Après plusieurs mois de travail, j'ai l'honneur de vous annoncer la sortie officielle de mon livre sur un sujet qui me tient à cœur : Microsoft ATA (Advanced Threat Analytics). Ce livre comporte la préface de mon ami Amit Rosenzweig qui était programme Manager chez Microsoft Corp du produit Microsoft ATA. Thank you Amit Rosenzweig ;) it was a pleasure to work with you.. Take Care Il s'agit de mon deuxième livre, après celui sur Hyper-V 2016. Un autre livre viendra plus tard dans l'année 2018  sur Azure AD. Un grand merci à mon ami ☁ Hicham KADIRI ☁ pour ses conseils, sa publication, et  son expertise pour m'accompagner dans ce projet. Un énorme Merci à Hakim Taoussi pour la relecture complète du livre. Il m'a pas fait de cadeau :)  Le livre est disponible ici :  https://becomeitexpert.com/produit/microsoft-advanced-threat-analytics-ata-design-deploiement-administration/



Trouvez d'autres ressources que j'ai réalisé pour vous :

Plusieurs surprises vont suivre :) Stay connectd !

Bonne lecture !

Cdt,
ST

dimanche 1 avril 2018

GAB 2018 Act 2

Hello,

Juste pour vous informer que nous organisons le GAB 2018 à Aix-En-Provence chez Ynov pour une 2eme année de suite  :)

Voici l'agenda de notre journée GAB 2018 :


Pour ma part, je vais donner une session sur la gestion des identités hybrides avec AAD connect 

Une nouveauté cette année; ,nous avons prévu un track junior afin d'apprendre aux enfants l'IoT et l’intelligence artificielle :) donc venez avec vos enfants si c'est possible :) 


Au plaisir de vous voir sur Aix en Provence chez Ynov.

Un grand merci à Projetlys pour le sponsor du petit dej :) 

Cdt,
ST
Microsoft MVP 

dimanche 18 mars 2018

Azure Backup est disponible en France

Hello,

Une petite information sympa, Microsoft vient d'annoncer la disponibilité d'Azure Backup dans les Data center Azure Français.











Plus d'informations et source : https://azure.microsoft.com/en-us/updates/azure-backup-now-available-in-france/


Pour information, Azure Backup permet la sauvegarde de votre environnement (machines virtuelles on prem ou depuis Azure directement)  de manière sécurisée dans Azure, elle permet de s’affranchir d'une infrastructure de sauvegarde trop lourde on prem en terme de gestion et de coût, avec Azure Backup, on gagne en flexibilité et en énergie. Ce qui permet 'avoir u retour sur investissement avec le temps..


Documentation Azure Backup : https://docs.microsoft.com/en-us/azure/backup/backup-introduction-to-azure-backup


Cordialement,
ST
>