Exchange & Powershell is a Long History | Experts Exchange

MVP Global Cloud Skills Challenge

 • What are you learning?

I orient now all my learning and practice on Microsoft Teams and Security.

• Why did you choose to learn a new technology area? Is it for a specific project you are working on? Do you have a personal learning goal

Learning is always a continuity, and new subjects come naturally, as the needs of the customers.

Our pleasure and reward are the possibility to be able to answer and help customers but also a lot of other persons, colleagues, new comers.

My personal objective would be now to become MCT, teaching and mentoring more peoples

 • What are you learning so far?

All subjects can interesting, learning is only the first step.

The second step is using and practice these subjects.

The last step is often to be able to take and pass the corresponding exam.

Why learning and using if you don't validate this knowledge.

• What learning module do you recommend others to pursue?

I recommend to follow the modules on Teams that should interest everybody.

Here was my challenge:

Thierry DEMAN-BARCELO's Challenge 

#TheMVPChallenge #MVPBuzz

Identity Days 2020 - Présentation de l'outil ADConnect Health Monitor

 Suite à la demande de nombreux participants, veuillez trouver ci-joint le lien vers les slides de la session:

ADConnect Health Monitor

Voici le plan de cette présentation:

Présentation de l’outil: AD Connect Health Monitor

Surveillance de la chaine d’identité/d’Authentication

Où le trouve-t-on ?

Comment obtenir les agents

Les composants

AD Connect Sync Health, la notification

AD FS Health

AD DS Health

Les apports de cette solution

Les types d’événements gérés (Synchro, AD FS, AD DS)

Les alertes (Début, fin d’alerte)

Les rapports/graphiques/compteurs (AD DS, ADFS)

Les impacts

Le licensing

Conclusions, Questions

Présentation des comptes brises-glace AZURE AD/OFFICE 365)

Azure AD/Office 365

Présentation des comptes brises-glace.

Qu’est-ce qu’un compte brise-glace

Ces comptes très privilégiés ne doivent être utilisés que lorsque les comptes d'administration normaux ne peuvent pas se connecter.

Microsoft recommande au moins deux comptes brise-glace pour un tenant Azure AD.

Les comptes brise-glace doivent être gardés secrets et aucun administrateur ne devrait connaître le mot de passe entier sans « casser la glace ». Pour obtenir cela, le mot de passe est divisé en au moins 2 parties.

 

Comment créer ce type de compte

Voici quelques règles à suivre pour la création de ces comptes :

-        Les comptes peuvent être créés dans AzureAD, Office 365 ou Powershell.

-        Un exemple de script a été préparé pour gérer cette création.

 

Quelle sécurité apporter à ce compte Brise-Glace

-        Le nom d'utilisateur doit être complexe, et difficile à deviner

-        Le mot de passe doit aussi être complexe, de préférence divisé en deux parties, stocké (dans des enveloppes) à deux endroits différents sécurisés dans des coffres-forts ignifuges (ou virtuels).

-        Seule une liste d'administrateurs doit être autorisée à utiliser ces comptes. Ces administrateurs devraient, bien sûr, également avoir le rôle d’administration globale dans des circonstances normales.

-        Il est très important d’avoir activé des règles de surveillance d’utilisation de ces comptes à partir des journaux de connexion Azure AD, des journaux d'audit et d'agir sur toute activité imprévue. Ces règles devraient être testées AVANT d’avoir donné les droits maxima.

Quelle configuration pour un compte Brise-Glace

-        Le rôle d'administrateur global doit être attribué de façon permanente.

-        Le mot de passe ne doit pas expirer.

-        MFA ne doit pas être activé sur ce compte.

-        Le compte doit être exclu de TOUTES les politiques d'accès conditionnel.

-        Il ne doit pas être assigné à une personne en particulier.

-        Ce compte ne doit servir que pour le cloud.

-        Il faut utiliser le domaine du tenant par défaut « onmicrosoft.com » (pour éviter tous les problèmes de domaine et de fédération).

-        Il ne doit donc pas être fédéré ni synchronisé avec l’AD on-premises.

-        Ce compte ne doit pas être associé à des téléphones mobiles ou des jetons matériels fournis par les employés.

 

Exemple de script

Un exemple de script a été créé avec ces paramètres :

     -        64 chars aléatoires pour le nom

-        Mot de posse composé de 2 chaines complexes aléatoires de 64 chars enregistrés dans 2 fichiers

Bien sûr, il est possible et assez facile de modifier dans le script les différentes limites (taille du compte, du mot de passe).

-        Le composant MSOL est requis pour ce script qui est publié et téléchargeable à partir de mon Sharepoint publié sur Internet:

Fichier TXT du script!

Créer la stratégie d’alerte

 

En effet, tant que cette stratégie n’est pas créée et vérifiée, il ne faut surtout pas donner les droits d’administration globale aux comptes brise-glace. 

 

Celle-ci peut être créée dans le portail « Cloud Apps »:

https://portal.cloudappsecurity.com/oauth2/login
 

-        Choisir “Investigate” et “Activity log” dans le menu.

 

-        Choisir le dernier événement de type “Log on” dans l’activité

 

-        Cliquer sur les “3 points” et

-        Sélectionner “View activity of the same type”

 

 

-        Cliquer sur le bouton “New policy from search”

      -        Définir la stratégie et les paramètres

-        Ajouter la condition “member of group” et spécifier le groupe qui contient tous les comptes de type « brise-glace ».

 

On peut aussi créer une stratégie pour chaque compte de type de type brise-glace (Voir exemple en Annexe 2). Mais, cela oblige à tester la stratégie et l’alerte sur chaque compte en « brisant » la glace. Il est donc conseillé de tester la stratégie basée sur le groupe, en ajoutant temporairement un utilisateur standard, ce qui évite d’avoir à regrouper les 2 parties du mot de passe.

 Attention, les groupes que l’on veut utiliser doivent être ajoutés (et synchronisés) dans l’outil avant de pouvoir être utilisés. Cela peut prendre jusqu’à 2 heures avant que le groupe puis les membres ne soient visibles.

A noter que le nom du groupe choisi pourrait aussi être créé de manière aléatoire.

-        Choisir la ou les alertes souhaitées.

o   Message (email)

o   SMS (suppose un crédit téléphonique et une connexion)

o   Playbook flow

Cette stratégie pourra être modifiée dans le menu “control/policies”.

Tester l’accès et vérifier les alertes :

Toute connexion à Office 365, par exemple sur le portail (portal.office.com) va générer une alerte à la moindre tentative d’utilisation :

Si cela est configuré, le message d’alerte arrive environ 5 minutes après l’événement :

 

L’ajout du rôle d’administration globale sur les comptes Brise-Glace :

Les permissions globales ne devraient être ajoutées qu’après avoir testé que les alertes sont fonctionnelles mais aussi qu’il y a effectivement au moins une personne prête à réagir.

Un exemple de script d’ajout est fourni en annexe 3 de cet article.

Si PIM (Privileged Identity Management) a été activé, il y aura une alerte comme celle présentée par l’Annexe 3.

 Annexes

1)     Source utilisée pour cet article :

https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-emergency-access

2)     Exemple de stratégie basée sur un seul utilisateur

 

3)     Exemple de script pour affecter le role “Global admin”

Ce script nécessite les snap-ins « Msol » et AzureAD ».

$RoleName="Company Administrator"

 

#$roleTemplate = Get-AzureADDirectoryRoleTemplate | Where {$_.displayName -eq $roleName}

#Enable-AzureADDirectoryRole -RoleTemplateId $roleTemplate.ObjectId

 

$role = Get-AzureADDirectoryRole | Where {$_.displayName -eq $roleName}

 

$user=get-MsolUser -userprincipalname FuturCompteBriseGlace@NomDuTenant.OnMicrosoft.com

 

Add-AzureADDirectoryRoleMember -ObjectId $role.ObjectId -RefObjectId $User.ObjectID

Si PIM (Privileged Identity Management) a été activé préalablement, une alerte sera envoyée aux administrateurs désignés dans PIM.

 

MITT Paris Event

Je vous encourage à participer à cet événement de 2 jours sur Paris.

Lien vers Microsoft Ignite The Tour

A noter qu'un passage  gratuit pour la certification AZ-900 – Azure Fundamentals sera offert à tous les participants #MSIgniteTheTour.

Et vous aurez le plaisir de me rencontrer sur place. #MVPBUZZ.

Microsoft Docs Initiatives - Doc-A-Thon activities

  Quelle sont les instructions?   https://aka.ms/ms-docs

• docs.microsoft.com est la nouvelle plateforme pour la documentation technique de Microsoft.

 

• Le Contenu est OPEN SOURCE (*), hébergé sur GitHub, activé pour les communautés + dans votre propre langue!

 

• Donc VOUS pouvez aider la communauté des utilisateurs du monde entier à obtenir une meilleure expérience en améliorant les Docs, et  agrandir votre réputation en ligne!!

        Découvrez ici comment :https://aka.ms/intldocs

 

• Vous aimez le Open Source?  https://aka.ms/msossloc

 

 

COMMENT AJOUTER UN AGENT d’authentification SUPPLEMENTAIRE (Pass-through Authentication)

Ce composant n'est apparemment pas disponible en téléchargement « libre » sur Internet.

Il faut donc passer par la console d'administration de Azure AD :

https://aad.portal.azure.com/

Cliquez sur « Azure Active Directory » dans le menu « tous les services »

Cliquez sur « Azure AD Connect »

Cliquez ensuite sur « x agents » en face de « Authentification directe »

L'outil peut être téléchargé à partir du bouton « Télécharger »

Il faudra alors cliquer sur « Accepter les conditions d'utilisation et télécharger »

Après quelques instants, vous pourrez « Enregistrer » votre agent sur votre ordinateur.

L'INSTALLATION DE L'AGENT d'authentification.

Celle-ci est très simple, si l'on utilise un contrôleur de domaine récent (ce qui est recommandé) et si le serveur a accès à Internet (Office 365).

Après avoir « double-cliqué » sur l'agent « AADConnectAuthAgentSetup.exe »

Cliquer sur le bouton « Install » :

Indiquer votre compte d'administration (global) de Office 365, puis votre mot de passe :

Cliquez sur « se connecter »

En fin d'installation, cliquez sur « Close ».

2 nouveaux services sont installés et démarrés :

Attention, le service « Microsoft Azure AD Connect Agent Updater » peut provoquer un redémarrage intempestif du serveur lors de certaines mises à jour de l'agent. A surveiller ! Heureusement, les mises à jour sont rares.

Après quelques minutes, tous les serveurs sur lesquels l'agent est installé doivent apparaître :

Si vous possédez différents accès publics (IP publiques différentes), il est préconisé de répartir les agents sur chacun de ces sites.

La migration des dossiers publics vers Exchange 2013.

Le document correspondant peut être téléchargé gratuitement dans la base documentaire : http://base.faqexchange.info/TOUTE%20LA%20DOCUMENTATION%20EST%20ICI/Exchange/Exchange%202013/LamigrationdesdossierspublicsExchange2013.docx

Un nouveau calculateur pour estimer la charge réseau des clients Exchange

Cet outil prend en compte les versions suivantes des clients :

Outlook 2010
Outlook 2007
Outlook 2003
OWA 2010
OWA 2007
Windows Mobile
Windows Phone
Il permet aussi de gérer les serveurs Exchange internes à l'entreprise mais aussi les scénarios utilisant Office 365.

http://blogs.technet.com/b/exchange/archive/2012/02/10/announcing-the-exchange-client-network-bandwidth-calculator-beta.aspx

Il est encore possible de modifier l'outil et d'indiquer à Microsoft les améliorations souhaitées et les commentaires à l'adresse suivante :netcalc@microsoft.com

Un outil de (ré)intégration des fichiers PST dans Exchange !

Un outil bien sympathique lorsque l'on a migré vers Exchange 2010 ou Exchange Online (365) !

Toutes les informations peuvent être trouvées à cette adresse :

http://blogs.technet.com/b/exchange/archive/2012/01/30/pst-time-to-walk-the-plank.aspx

Cet outil permet différents scénarios basés sur la recherche des fichiers PST, l'installation d'agents sur les stations, l'importation, la centralisation et l'intégration soit dans la boîte normale, soit la boîte d'archivage de l'utilisasteur.

Téléchargement de Windows 8 Consumer Preview

On peut télécharger les fichiers ISO de cette nouvelle version !

La version française (32 et 64 bits) est disponible ici :

http://windows.microsoft.com/en-US/windows-8/iso

C'est parti...

L'application Lync 2010 pour Windows Phone 7 est sortie!!!

Quelques informations complémentaires ici :

Un nouvel outil pour résoudre les problèmes de configuration de Exchange 2010 UM (Messagerie Unifiée)

Vous trouverez l'information et le lien de téléchargement ici

Bon troubleshooting!

Personnalisation d'une installation Exchange 2010 (MSG210)

Le document PowerPoint de la présentation se trouve ici

Lorsqu'une migration Exchange 2010 est terminée, voici un ensemble d'étapes de personnalisation et de configuration qui peuvent être réalisées pour adapter la messagerie à votre usage. - Utilisation et personnalisation des thèmes OWA - Création de signature d'entreprise personnalisée - Personnalisation des messages (systèmes) de Quota - Création de connecteurs de réception personnalisés (Scanner, SAP, ...) - Configurer les adresses de messagerie personnalisées (postmaster, abuse,...) - Permettre à certains utilisateurs d'administrer les groupes dont ils sont propriétaires.

Présentation d'une session sur la personnalisation d'Exchange 2010 lors des TechDays 2011

N'hésitez pas à me retrouver pour cette session présentée le 8 février.

Session de personnalisation d'Exchange 2010

Voici un schéma hyperpratique sur les ports utilisés par Exchange 2010

http://eightwone.com/2010/12/27/exchange-2010-network-ports/


Ce schéma reste à compléter, mais c'est déjà une superbe référence.

Exchange 2010 SP1 - Vérifier l'intégrité des bases !

On peut maintenant vérifier l'intégrité des bases avec des commandes Powershell.

Ceci remplace l'utilisation de la commande Isinteg !

Voici l'article d'origine: "Exchange 2010 SP1: Database Integrity checking"

http://msexchangeteam.com/archive/2010/08/23/455899.aspx

Inscription au TechDays 2010

3 jours d'informations et de formations gratuites sur les nouveaux produits Microsoft, c'est le moment d'en profiter.

Cliquer ici