Search This Blog

vendredi 27 mars 2020

AzureAD - Unable to install AzureADPreview Powershell Module

Bonjour à tous,

Voici un petit article afin de vous aider à installer le module AzureAd Preview si vous avez rencontrés ce souci.

Le souci :
Quand vous tentez d’installer le module AzureAD Preview, vous pourrez avoir ce message d’erreur :


Ceci veut dire que le PowerShell module AzureAD est déjà installé. Il faut savoir que le module AzureAD Preview est un nouveau module et il apporte plusieurs cmdlets.
Afin de pouvoir installer le module AzureAD Preview, il faut tout d’abord désinstaller le module AzureAD existant.

Pour ce faire, merci d’exécuter la commande suivante :
Uninstall-Module AzureAD


Une fois le module AzureAD désinstallé, vous pouvez installer le module AzureAD Preview avec la commande suivante :


 Une fois installé, importez le module comme ceci import-module et faites un get-module afin de vérifier l’existence du nouveau module AzureAD Preview :


Et voilà, 😊

Pour info, si vous n’avez pas ce module, vous pourrez pas lancer le script de Microsoft qui permet d’interdire la création de teams aux utilisateurs.

Le script en question :
$GroupName = "GR_ADMINS"
$AllowGroupCreation = "False"

Connect-AzureAD

Import-Module AzureADPreview

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
         $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
       $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
}

Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values


Merci pour votre soutien,

ST

Microsoft MVP

jeudi 26 mars 2020

Mes formations - Azure - Identity and Access

Bonjour à tous,

Vous pouvez retrouver ici toutes mes formation sur Azure, Microsoft ATA, AATP et autres :

 https://www.alphorm.com/formateur/seyfallah-tagrerout




ST
Microsoft MVP

aOS Online - COVID-19 - Ma session Microsoft Threat Protection - Speaker

Bonjour à tous,

aOS se mobilise et propose des events online durant cette période de COVID-19. Ceci permet aux participants de se connecter directement depuis leur domicile et d'assister à ces events gratuits :)

J'ai le plaisir de présenter une session technique jeudi prochain ( 2 avril) qui va porter sur la sécurité d'un environnement digital Workplace avec Microsoft Threat Protection.


C'est gratuit et il suffit de suivre ce lien :)

https://www.eventbrite.fr/e/inscription-aos-online-n3-2-avril-2020-100933266116


ST
Microsoft MVP

Formation Microsoft Azure Assessment

Bonjour à tous,

J'ai le plaisir de vous présenter ma nouvelle formation sur Azure Assessment


voici le lien de la formation :

https://www.alphorm.com/tutoriel/formation-en-ligne-ms-cloud-assessment-maitriser-la-migration-ver-azure


N'hesitez pas à revenir vers moi en cas de questions,

Enjoy !

ST
Microsoft MVP

jeudi 27 février 2020

Advanced Threat Protection for Azure Storage

Hello,

C'est tout chaud, aujourd’hui, Microsoft annonce la sortie en Preview d'Advanced Threat Protection pour les comptes de stockage dans Azure , pour les services Blob.

Advanced Threat Protection for Azure Storage, va vous aider à sécuriser vos comptes de stockage en détectant  les activités suspectes, les anomalies ou encore  les activités anormales et dangereuses.

L'option de l'activation d'ATP for Azure Storage est disponible directement au niveau du compte de stockage... Dans la catégorie SettingsAdvanced Threat Protection :


Threat detection est disponible pour le service Blob au niveau du compte de stockage, la partie alerte est intégrée dans Azure Security Center, ce qui permet de rassembler les alertes dans un seul dashboard et surtout d’être alerté par email en cas de souci sur le compte de stockage (Activités anormales,anomalies etc ..)

Ses avantages :

  • Activation facile 
  • Intégration avec Azure Security Center 
  • Alerté par email en cas d'activités dangereuses ou anormales
  • Détection d'anomalies, activités suspectes, ou encore les comportements anormaux au niveau du compte de stockage 

Comment activer ATP for Azure Storage :

C'est simple; il suffit de se rendre comme indiqué plus haut, dans la catégorie  Settings - Advanced Threat Protection  comme ceci :



Cliquez ensuite sur "ON" afin d'activer ATP sur le compte de stockage et cliquez sur "Save"


Plutôt simple hein ? maintenant ATP est activé et va récolter plusieurs informations concernant votre compte de stockage et vous alertera en fonction des activités remontées dans Azure Security Center.


@ bientôt

ST
Microsoft MVP

lundi 13 janvier 2020

Azure Application Proxy - Part 1


Introduction

De nos jours, il est important d'offrir un monde mobile aux utilisateurs afin que ces derniers puissent être productifs depuis n'importe quel endroit, maison, lieux public ou même en voyage dans le train par exemple. Il est important donc de donner l'accès aux applications de l'entreprise depuis l'extérieur du système d'information de l'entreprise sans compromettre la sécurité.

Comment donner l'accès aux utilisateurs afin qu'ils puissent se connecter sur une application interne depuis l'extérieur, depuis un réseau non sécurisé et surtout non managé ?

Jusqu’à présent, les administrateurs optent pour deux solutions bien connus :
  • La mise en place d'un VPN point to site qui permet de connecter l'utilisateur au système d'information au travers d'une connexion VPN sécurisée, une fois connecté, l'utilisateur pourra accéder aux applications de l'entreprise
  • La mise en place d'une DMZ, où les serveurs applicatifs y sont placés afin que ces derniers puissent être joints depuis l'extérieur

Ces solutions fonctionnement, mais elle représentent plusieurs inconvénients pour les administrateurs:

  • Effort d'administration et création de règles au niveau des pare-feu pour la DMZ
  • Administration et maintenance du VPN
  • Demande beaucoup d'efforts de maintenance au quotidien
  • Difficile à sécuriser et demande beaucoup d'effort du à la complexité de ces architectures

 Avec Azure Active Directory, Microsoft propose une nouvelle méthode moderne qui permet l'accès aux applications internes de manière totalement plus sécurisée et surtout simplifiée. Cette méthode se nomme Azure Application Proxy.


Présentation


Azure Application Proxy est un moyen qui permet l'accès aux applications web internes d'une entreprise depuis l'extérieur, en offrant une authentification SSO sécurisée. L'avantage de cette solution, c'est l'utilisation des applications internes intégrées dans Azure Active Directory, ce qui offre aux utilisateurs une authentification unifiée avec le même compte, donc un utilisateur, avec le même compte Azure Active Directory pourra accéder aux application SaaS, aux applications internes web publiées via Azure Application Proxy, on en revient encore : une identité pour plusieurs applications, la force d'Azure Active Directory.

Azure Application Proxy présente plusieurs avantages :
  • Les utilisateurs auront une expérience d'authentification similaire aux autres applications SaaS de l'entreprise
  • Pas de modifications ni configurations particulières ni de mise à jours pour les applications internes que vous souhaitez publier avec Azure Application Proxy
  • Accès moderne et plus sécurisé aux applications internes depuis l'extérieur de l'entreprise
  • Pas d'infrastructure à créer et a gérer afin d'avoir l'Azure Application Proxy, ce service est déjà intégré dans Azure Active directory, reste plus qu'a le consommer
  • Pas d'architecture complexe on-premise
  • Facilité de publication et de gestion depuis la console Azure Active Directory admin center
  • Protection contre les attaques de type DOS/DDOS
  • Possibilité d'avoir du HA en déployant plusieurs serveurs connecteurs application Proxy, ces connecteurs peuvent être dédiés sur des serveurs spécifiques
  • Aucune connexion entrante, fonctionnement qu'avec des connexions et flux sortants à savoir du 80 et 443 en sortie du pare-feu
  • Tout le trafic est sécurisé avec SSL

Azure Application proxy permet la publication des applications suivantes:

  • Application intégrée à Active Directory qui utilise ADAL
  • Application Web avec l'authentification Windows intégrée
  • Application Web avec l'authentification Header Based
  • API web
  • Application derrière une architecture Remote Desktop Gateway

Fonctionnement

l'Azure Application Proxy fonctionne en 7 étapes afin de permettre à vos utilisateurs d'accéder à une application Web depuis l'extérieur de manière sécurisée et avec une bonne expérience au niveau authentification.
Dans une configuration Azure application proxy, nous avons les composants suivants:

  • Un annuaire Azure Active Directory
  • Le service Azure Application Proxy au niveau de l'annuaire
  • Un annuaire Active Directory local
  • Un serveur on-premise connecteur Azure application proxy
  • Une application Web exemple : un serveur IIS avec une application WEB
  • Utilisateur pour l'accès aux applications

Voici une illustration qui permet de montrer les différents flux qui sont envoyés lors d'une utilisation d'Azure application proxy depuis l’extérieur de l'entreprise:







Voici les 7 étapes nécessaires pour son fonctionnent

Etape 1: l'utilisateur souhaite se connecter à l'application locale depuis l'extérieur via le servir Azure Application Proxy, il sera redirigé vers la page d'authentification Azure Active Directory

 Etape 2: Une fois que l'utilisateur est authentifié, un jeton est crée et envoyé au poste de travail de l'utilisateur

Etape 3: Ensuite, le poste de travail envoie ce jeton au service Azure Application Proxy, ce dernier va récupérer l'UPN de l'utilisateur (User Principal Name) et le SPN du jeton et rédiger la requête vers le serveur connecteur Proxy installé en local

Etape 4: Interrogation de l'Active Directory si des authentifications sont nécessaires pour la connexion

Etape 5: Le serveur connecteur Proxy va à son tour envoyer la requête à l'application local

Etape 6: l'application envoi une requête à l'utilisateur, cette requête va passer le serveur connecteur proxy et le service Azure Application proxy présent dans Azure Active Directory

Etape 7:  l'utilisateur peut s'authentifier à l'application depuis l'extérieur de l'entreprise de manière sécurisée

Exemple d'applications:

Il est possible de publier les applications suivantes au travers de l'Azure Application Proxy :

  • Sites SharePoint on-premise
  • L'accès à distance avec RDP depuis extérieur au machine local de l'entreprise
  • Outlook webAccess
  • Toute application Web LOB ( Line of Business)

Dans la partie 2, nous allons voir la partie mise en place et publicaion d'une application à travers ce fameux Azure Application Proxy.

Cdt,

Seyfallah Tagrerout
Microsoft MVP
< >