Pages

dimanche 2 février 2020

Présentation des comptes brises-glace AZURE AD/OFFICE 365)

Azure AD/Office 365

Présentation des comptes brises-glace.

Qu’est-ce qu’un compte brise-glace

Ces comptes très privilégiés ne doivent être utilisés que lorsque les comptes d'administration normaux ne peuvent pas se connecter.

Microsoft recommande au moins deux comptes brise-glace pour un tenant Azure AD.

Les comptes brise-glace doivent être gardés secrets et aucun administrateur ne devrait connaître le mot de passe entier sans « casser la glace ». Pour obtenir cela, le mot de passe est divisé en au moins 2 parties.
 
Comment créer ce type de compte

Voici quelques règles à suivre pour la création de ces comptes :

-        Les comptes peuvent être créés dans AzureAD, Office 365 ou Powershell.

-        Un exemple de script a été préparé pour gérer cette création.
 
Quelle sécurité apporter à ce compte Brise-Glace


-        Le mot de passe doit aussi être complexe, de préférence divisé en deux parties, stocké (dans des enveloppes) à deux endroits différents sécurisés dans des coffres-forts ignifuges (ou virtuels).

-        Seule une liste d'administrateurs doit être autorisée à utiliser ces comptes. Ces administrateurs devraient, bien sûr, également avoir le rôle d’administration globale dans des circonstances normales.

-        Il est très important d’avoir activé des règles de surveillance d’utilisation de ces comptes à partir des journaux de connexion Azure AD, des journaux d'audit et d'agir sur toute activité imprévue. Ces règles devraient être testées AVANT d’avoir donné les droits maxima.

Quelle configuration pour un compte Brise-Glace

-        Le rôle d'administrateur global doit être attribué de façon permanente.

-        Le mot de passe ne doit pas expirer.

-        MFA ne doit pas être activé sur ce compte.

-        Le compte doit être exclu de TOUTES les politiques d'accès conditionnel.

-        Il ne doit pas être assigné à une personne en particulier.

-        Ce compte ne doit servir que pour le cloud.

-        Il faut utiliser le domaine du tenant par défaut « onmicrosoft.com » (pour éviter tous les problèmes de domaine et de fédération).

-        Il ne doit donc pas être fédéré ni synchronisé avec l’AD on-premises.

-        Ce compte ne doit pas être associé à des téléphones mobiles ou des jetons matériels fournis par les employés.
 

Un exemple de script a été créé avec ces paramètres :

     -        64 chars aléatoires pour le nom

-        Mot de posse composé de 2 chaines complexes aléatoires de 64 chars enregistrés dans 2 fichiers

Bien sûr, il est possible et assez facile de modifier dans le script les différentes limites (taille du compte, du mot de passe).

-        Le composant MSOL est requis pour ce script qui est publié et téléchargeable dans la galerie Technet :


Créer la stratégie d’alerte
 
En effet, tant que cette stratégie n’est pas créée et vérifiée, il ne faut surtout pas donner les droits d’administration globale aux comptes brise-glace. 
 
Celle-ci peut être créée dans le portail « Cloud Apps »:

https://portal.cloudappsecurity.com/oauth2/login
 
-        Choisir “Investigate” et “Activity log” dans le menu.
 


-        Choisir le dernier événement de type “Log on” dans l’activité
 



-        Cliquer sur les “3 points” et

-        Sélectionner “View activity of the same type

 
 


-        Cliquer sur le bouton “New policy from search
      -        Définir la stratégie et les paramètres

-        Ajouter la condition “member of group” et spécifier le groupe qui contient tous les comptes de type « brise-glace ».


On peut aussi créer une stratégie pour chaque compte de type de type brise-glace (Voir exemple en Annexe 2). Mais, cela oblige à tester la stratégie et l’alerte sur chaque compte en « brisant » la glace. Il est donc conseillé de tester la stratégie basée sur le groupe, en ajoutant temporairement un utilisateur standard, ce qui évite d’avoir à regrouper les 2 parties du mot de passe.

 Attention, les groupes que l’on veut utiliser doivent être ajoutés (et synchronisés) dans l’outil avant de pouvoir être utilisés. Cela peut prendre jusqu’à 2 heures avant que le groupe puis les membres ne soient visibles.

A noter que le nom du groupe choisi pourrait aussi être créé de manière aléatoire.

-        Choisir la ou les alertes souhaitées.

o   Message (email)
o   SMS (suppose un crédit téléphonique et une connexion)
o   Playbook flow

Cette stratégie pourra être modifiée dans le menu “control/policies”.

Toute connexion à Office 365, par exemple sur le portail (portal.office.com) va générer une alerte à la moindre tentative d’utilisation :

Si cela est configuré, le message d’alerte arrive environ 5 minutes après l’événement :

 

L’ajout du rôle d’administration globale sur les comptes Brise-Glace :

Les permissions globales ne devraient être ajoutées qu’après avoir testé que les alertes sont fonctionnelles mais aussi qu’il y a effectivement au moins une personne prête à réagir.

Un exemple de script d’ajout est fourni en annexe 3 de cet article.

Si PIM (Privileged Identity Management) a été activé, il y aura une alerte comme celle présentée par l’Annexe 3.



2)     Exemple de stratégie basée sur un seul utilisateur

 

3)     Exemple de script pour affecter le role “Global admin

Ce script nécessite les snap-ins « Msol » et AzureAD ».

$RoleName="Company Administrator"
 
#$roleTemplate = Get-AzureADDirectoryRoleTemplate | Where {$_.displayName -eq $roleName}
#Enable-AzureADDirectoryRole -RoleTemplateId $roleTemplate.ObjectId
 
$role = Get-AzureADDirectoryRole | Where {$_.displayName -eq $roleName}
 
$user=get-MsolUser -userprincipalname FuturCompteBriseGlace@NomDuTenant.OnMicrosoft.com
 
Add-AzureADDirectoryRoleMember -ObjectId $role.ObjectId -RefObjectId $User.ObjectID

Si PIM (Privileged Identity Management) a été activé préalablement, une alerte sera envoyée aux administrateurs désignés dans PIM.

 

lundi 7 octobre 2019

MITT Paris Event

Je vous encourage à participer à cet événement de 2 jours sur Paris.
Lien vers Microsoft Ignite The Tour

A noter qu'un passage  gratuit pour la certification AZ-900 – Azure Fundamentals sera offert à tous les participants #MSIgniteTheTour.

Et vous aurez le plaisir de me rencontrer sur place. #MVPBUZZ.


mardi 3 avril 2018

Microsoft Docs Initiatives - Doc-A-Thon activities

  • docs.microsoft.com est la nouvelle plateforme pour la documentation technique de Microsoft.
 
  • Le Contenu est OPEN SOURCE (*), hébergé sur GitHub, activé pour les communautés + dans votre propre langue!
 
  • Donc VOUS pouvez aider la communauté des utilisateurs du monde entier à obtenir une meilleure expérience en améliorant les Docs, et  agrandir votre réputation en ligne!!
        Découvrez ici comment :https://aka.ms/intldocs
 
 
 

mercredi 28 mars 2018

COMMENT AJOUTER UN AGENT d’authentification SUPPLEMENTAIRE (Pass-through Authentication)

Ce composant n'est apparemment pas disponible en téléchargement « libre » sur Internet.
Il faut donc passer par la console d'administration de Azure AD :
Cliquez sur « Azure Active Directory » dans le menu « tous les services »



Cliquez sur « Azure AD Connect »


Cliquez ensuite sur « x agents » en face de « Authentification directe »
L'outil peut être téléchargé à partir du bouton « Télécharger »
Il faudra alors cliquer sur « Accepter les conditions d'utilisation et télécharger »
Après quelques instants, vous pourrez « Enregistrer » votre agent sur votre ordinateur.

L'INSTALLATION DE L'AGENT d'authentification.
Celle-ci est très simple, si l'on utilise un contrôleur de domaine récent (ce qui est recommandé) et si le serveur a accès à Internet (Office 365).
Après avoir « double-cliqué » sur l'agent « AADConnectAuthAgentSetup.exe »
Cliquer sur le bouton « Install » :
Indiquer votre compte d'administration (global) de Office 365, puis votre mot de passe :
Cliquez sur « se connecter »







En fin d'installation, cliquez sur « Close ».
2 nouveaux services sont installés et démarrés :
Attention, le service « Microsoft Azure AD Connect Agent Updater » peut provoquer un redémarrage intempestif du serveur lors de certaines mises à jour de l'agent. A surveiller ! Heureusement, les mises à jour sont rares.

Après quelques minutes, tous les serveurs sur lesquels l'agent est installé doivent apparaître :

Si vous possédez différents accès publics (IP publiques différentes), il est préconisé de répartir les agents sur chacun de ces sites.




lundi 18 février 2013

La migration des dossiers publics vers Exchange 2013.

Le document correspondant peut être téléchargé gratuitement dans la base documentaire : http://base.faqexchange.info/TOUTE%20LA%20DOCUMENTATION%20EST%20ICI/Exchange/Exchange%202013/LamigrationdesdossierspublicsExchange2013.docx

dimanche 18 mars 2012

Un nouveau calculateur pour estimer la charge réseau des clients Exchange

Cet outil prend en compte les versions suivantes des clients :

Outlook 2010
Outlook 2007
Outlook 2003
OWA 2010
OWA 2007
Windows Mobile
Windows Phone
Il permet aussi de gérer les serveurs Exchange internes à l'entreprise mais aussi les scénarios utilisant Office 365.

http://blogs.technet.com/b/exchange/archive/2012/02/10/announcing-the-exchange-client-network-bandwidth-calculator-beta.aspx

Il est encore possible de modifier l'outil et d'indiquer à Microsoft les améliorations souhaitées et les commentaires à l'adresse suivante :netcalc@microsoft.com

Un outil de (ré)intégration des fichiers PST dans Exchange !

Un outil bien sympathique lorsque l'on a migré vers Exchange 2010 ou Exchange Online (365) !

Toutes les informations peuvent être trouvées à cette adresse :

http://blogs.technet.com/b/exchange/archive/2012/01/30/pst-time-to-walk-the-plank.aspx

Cet outil permet différents scénarios basés sur la recherche des fichiers PST, l'installation d'agents sur les stations, l'importation, la centralisation et l'intégration soit dans la boîte normale, soit la boîte d'archivage de l'utilisasteur.

mercredi 29 février 2012

Téléchargement de Windows 8 Consumer Preview

On peut télécharger les fichiers ISO de cette nouvelle version !

La version française (32 et 64 bits) est disponible ici :

http://windows.microsoft.com/en-US/windows-8/iso

C'est parti...

vendredi 11 février 2011

Un nouvel outil pour résoudre les problèmes de configuration de Exchange 2010 UM (Messagerie Unifiée)

Vous trouverez l'information et le lien de téléchargement ici

Bon troubleshooting!

Personnalisation d'une installation Exchange 2010 (MSG210)

Le document PowerPoint de la présentation se trouve ici

Lorsqu'une migration Exchange 2010 est terminée, voici un ensemble d'étapes de personnalisation et de configuration qui peuvent être réalisées pour adapter la messagerie à votre usage. - Utilisation et personnalisation des thèmes OWA - Création de signature d'entreprise personnalisée - Personnalisation des messages (systèmes) de Quota - Création de connecteurs de réception personnalisés (Scanner, SAP, ...) - Configurer les adresses de messagerie personnalisées (postmaster, abuse,...) - Permettre à certains utilisateurs d'administrer les groupes dont ils sont propriétaires.

lundi 20 septembre 2010

Exchange 2010 SP1 - Vérifier l'intégrité des bases !

On peut maintenant vérifier l'intégrité des bases avec des commandes Powershell.

Ceci remplace l'utilisation de la commande Isinteg !

Voici l'article d'origine: "Exchange 2010 SP1: Database Integrity checking"

http://msexchangeteam.com/archive/2010/08/23/455899.aspx

vendredi 11 décembre 2009