Azure AD - Part 2 - l'étude qui prépare l'extension vers Azure AD

Bonjour à tous,

On se retrouve dans cette seconde partie qui va traiter logiquement la suite de l’article 1 que vous pouvez retrouver ici :

Azure AD – Part 1

Nous allons voir dans cette seconde partie la préparation à l’extension de son active directory vers le cloud (vers Azure AD), nous allons voir quelle méthode adopter et la réflexion à avoir pour réussir son scénario hybride.

Avant d’envisager de faire l’identité hybride, trois questions sont essentielles qu'il faut se poser afin de voir et surtout de comprendre la pertinence d’aller vers ce type d’architecture ou non.

1- Détermination des prérequis

1.      Déterminer les besoins métiers :

a.   Quelles sont les besoins métiers qui vous poussent à adopter une infrastructure a identité hybride ? il faut avoir une large visibilité des besoins de l’entreprise afin de juger la pertinence d’une telle architecture dans le futur. Surtout pour quels types d’application ? pour quels usages et scénarios je souhaite faire de l’identité hybride avec Microsoft Azure ? définir également l’intérêt de faire de l’hybride.

b.      Définir la stratégie de l’entreprise avec l’extension vers le cloud (réduction de coût ?  Modernisation du système d’information ?

c.       Connaitre les solutions et méthodes d’authentification utilisées par l’entreprise afin de définir les besoins techniques pour l’intégration avec un scénario hybride

d.      Comprendre les concepts du cloud ( Saas, IaaS, PaaS) afin de voir quel type de cloud pourrait le mieux coller à votre architecture et surtout de répondre aux besoins attendus.

e.      définir si y a déjà des services cloud au sein de l’entreprise

                                                                i.      Définir leur criticité ainsi que leur statut (Production ? Lab ? phase POC – étude ? )

f.        Connaitre la méthode d’authentification utilisées par l’entreprise (si’l y a de la fédération d’identité ? ou juste de l’authentification standard ou alors les deux)

g.      S’il y a de la fédération d’identité, savoir et identifier les raisons :

                                                                i.      Kerberos-Based (SSO)

                                                               ii.      Authentification des user hors de l’entreprise avec SAML ou d’autre méthode

                                                             iii.      Multi-facteur (MFA / token RSA etc )

                                                             

h.      Définir si y’a un ou plusieurs domaines 

2.      Déterminer les applications qui seront utilisées avec l’identité hybride

a.   Quelles applications sont migrées et utilisées par les utilisateurs hybrides ?

b.  Définir les usages des applications afin d’utiliser les applications taillées pour le cloud 

3.      Déterminer la location des composants

a.      Définir la localisation des serveurs de synchronisation (AAD Connect) derrière un Firewall ? DMZ ?

b.      Faire attention aux prérequis firewall (règles) que demande l’AAD connecte pour fonctionner si ce dernier est placer derrière un firewall

c.       Seront-ils joints au domaine ou non ?

d.      Process de récupération des serveurs de synchronisation (AAD Connect)

e.      Les bons comptes avec les bons droits pour la synchronisation (on le verra prochainement les prérequis pour ces comptes-là)

4.      Déterminer les besoins de l’authentification Multi-Facteur

a.      Définir si vous avez déjà du Multi facteur

b.      Définir si votre entreprise souhaite implanter le Multi facteur

c.       Définir le scope du Multi facteur (s’il est appliqué que sur certaines applications …)

5.      Déterminer la bonne stratégie pour la future infrastructure d’identité hybride

a.      Partir sur une architecture full cloud identity ?

La gestion d’identité est gérée uniquement dans le Cloud avec Azure Active Directory :

a.   Partir sur un scénario hybride avec une synchronisation d’identité:

Dans ce cas, l’identité est gérée de manière hybride c’est-à-dire sur le cloud avec Azure AD et avec l’Active directory local, cette méthode est possible grâce à l’outils AAD Connect qui va permettre de synchroniser les identités de l’AD local vers le Cloud Azure AD. 

Dans ce cas, c’est le hash des mots de passe des utilisateurs qui est synchronisé. Si l’utilisateur est désactivé dans l’AD local, ce dernier sera actif encore durant 3 h dans l’Azure AD (c’est intervalle de synchronisation par défaut que propose Microsoft)

a.      Partir sur un scénario avec une fédération d’identité :

C’est le même scénario que la synchronisation sauf qu’ici on utilise de la fédération d’identité pour la connexion des utilisateurs ce qui offrira par exemple le SSO etc

6. Architecture de synchronisation:

Une fois le scénario défini, il faut choisir le type d’architecture de synchronisation vers le cloud.

Active directory avec une seule foret :

Architecture avec plusieurs forets :

2- Sécurité

Partie très importante qui va être la sécurité des données, il faut être capable d’identifier les ressources ainsi que leur accès aux ressources de l’entreprise.

Il faudra une solution qui va donc authentifier vos utilisateurs et leur donner seulement les droits dont ils ont besoin pour travailler. Il faut également contrôler l’activité, c’est-à-dire qui à accéder à quoi et quand.

Dans cette notion de sécurité il faut prendre également en compte le chemin de sécurité d’une donnée :

• -          Sécurité au niveau des devices (Workstation, Mobile etc.) (antivirus, mise à jour etc)
• -          Sécurité au moment de la transmission de la donnée entre le cloud et le device (communication chiffrée avec SSL/TLS etc )
• -          L’emplacement ou est stockée la donnée dans le cloud et en local on-Premises

  

Pour résumé il faut répondre aux besoins:

•           L’authentification
•           Autorisation
•           Administration
•           Contrôle
•            L’audite 

3- Définir un process pour l’identité hybride

Définir un procès d’identité management qui va permettre :

•           La création des users
•           L’authentification
•           L’autorisation d’accéder à des ressources (Application etc )
•           La gestion de permission et droits
•           Proposition d’un self-service pour la génération de mots de passe etc
•           Décomissioning des users qui ne sont plus dans l’entreprise (révocation des droits + suppression des comptes)

    Et voila c'est fini pour aujourd’hui, dans le prochain article nous verrons le design de notre future infrastructure et les pré-requis techniques pour le serveur AAD connect.

    Seyfallah Tagrerout

    Microsoft MVP

Azure AD - Part 1

Bonjour à tous,

Nous allons rentrer dans une longue série d’articles au tour de Microsoft Azure, nous allons voir aujourd’hui Azure AD, le concept, les avantages d’étendre son Active directory local vers le Cloud Microsoft Azure. (Azure AD).

Présentation d’Azure AD 

Tout d’abord, nous allons commencer par présenter ce qui est Azure Active Directory, Azure AD permet de gérer les annuaires ainsi que la gestion des identités sur le Cloud Microsoft Azure.

Azure AD permet aux utilisateurs une authentification unique a plusieurs services et application dans le cloud, ce qui permet de mutualiser et de faciliter la gestion de l’authentification pour les IT ainsi que pour les développeurs qui n’auront pas à se soucier de la gestion des identités et authentification lors des phases de développement.

Microsoft qui résume bien ce qu’on vient de présenter :

Azure AD offre plusieurs avantages :

•          Mutualisation de l’authentification des utilisateurs
•          Amélioration de la productivité des employés, mobilité
•          Amélioration de la sécurité des applications avec l’authentification Multi-facteur (MFA)
•          Mobilité avec un accès distant aux applications locales de l’entreprise
•          Facilite également la mise en place de certain service Microsoft tel que AD RMS avec Azure RMS et tout de suite tout devient plus facile (déploiement, configuration, gestion et nécessite pas une infrastructure lourde)

Il est possible d’utilisateur Azure AD des manières suivantes :

•           Utilisation directement d’Azure AD en mode (full cloud)
•           Utilisation hybride entre votre AD local et l’Azure AD

Microsoft offres deux éditions d’Azure AD :

-          Azure AD version de base : 

      

      Cette version est faite pour les entreprises qui ont des besoins centrés directement sur le cloud, en offrant des accès aux applications qui sont basé dans le cloud, cette version est taillée pour l’utilisation de l’Azure Active Directory en mode full cloud (le SLA fourni pour cette version est de 99.9%)

-          Azure Active Directory version Premium : 

       Cette version est taillée pour des besoins plus complexe, ce qui permet une gestion une meilleure gestion d’identité et de sécurité au niveau de l’authentification. Elle va offrir la possibilité aux utilisateurs hybrides l’accès aux applications locales et sur le cloud depuis l’extérieur, un renfort sécurité est également possible avec cette version au niveau de l’authentification avec l’authentification multi facteur (MFA).

De plus, elle permet de faire des tâches plus avancées telles que la délégation avancées, groupe dynamique etc., cette version est faite pour les entreprises qui souhaitent utiliser des scénarios hybrides c’est-à-dire une synchronisation de leur Active directory local vers le cloud (Azure AD)

Tarifs :

Vous pouvez voit la tarification d’Azure active directory sur le lien suivant ==> https://azure.microsoft.com/fr-fr/pricing/details/active-directory/

Étendre son active directory vers Azure Active Directory

On l’a vu dans la présentation qu’on pouvait faire des scénarios hybrides et étendre un Active Directory local vers Azure Active Directory dans le cloud directement ce qui va offrir une identité unique et communes aux utilisateurs pour les applications (OFFICE 365, Azure et les applications de type cloud)

L’outils qui permet d’étendre un Active Directory Local vers un Azure Active directory est Azure Active Directory Connect alias (AAD Connect)

Pour information AAD Connect remplace les versions antérieures comme DirSync, et Azure AD Sync. Voici un lien qui compare ces 3 outils de synchronisation d’annuaire : 

https://azure.microsoft.com/fr-fr/documentation/articles/active-directory-hybrid-identity-design-considerations-tools-comparison/

L’outils AAD Connect est disponible en téléchargement ici è https://www.microsoft.com/en-us/download/details.aspx?id=47594

Voici l’état de la version ainsi que la dernière date de mise à jour :

Version	Date
1.1.189.0	03/06/2016

Cette extension d’AD local vers Azure Ad peut se représentée comme ceci :

Voila; fini pour cette première partie, nous verrons la suite dans la seconde partie, merci de votre soutien et n'hésitez pas a partager et à me faire des retours :) 

Cordialement;

Seyfallah Tagrerout

Microsoft MVP

Copie de fichier avec Powershell Direct

Bonjour,

Microsoft ne cesse d'apporter des nouveautés a PowerShell Direct dans Windows 10 ( version 14280 et + ) et Windows Server 2016.

Rappel Powershell directe permet d’administrer les machines virtuelles sous Hyper-V 2016 en créant une session directe entre l’hôte de virtualisation et les machines virtuelles, pas besoin briques réseau, juste des credentials afin de se connecter sur la machine virtuelle, cela va grandement faciliter les machine virtuelle en Powershell ( si celles-ci ne disposent pas de connexion réseau pour une raison x ou y ...).

Pour la connexion, rien de plus simple , a partir de l’hôte de virtualisation Hyper-V sur le quel la machine virtuelle est hébergée, saisissez la commande suivante :

$PSSession1 = New-PSSession -VMName VM01 -Credential (Get-Credential) 

Il est possible également de copier des fichiers par exemple présents dans la machine virtuelle vers votre hyperviseur en vous basant directement sur la session PowerShell crée auparavant :

Copy-Item -FromSession $PSSession1 -Path C:\test.txt -Destination F:\recupHost

 

Ou copier un fichier d'un emplacement A vers un emplacement B directement dans la machine virtuelle:

Copy-Item -ToSession $PSSession -Path C:\test.txt -Destination F:\Recup 

Voila voila :)

A bientôt

Seyfallah Tagrerout 

Microsoft MVP 

Linux Integration Services 4.1

Bonjour, ,

Pas trop le temps en ce moment de faire des articles, pris par le travail notamment sur plusieurs projets tel que Microsoft ATA et Microsoft Azure RMS.

Je vous propose une petite lecture qui pourrait vous intéresser a propos des Linux Integration Services 4.1

voici le lien de l'article ==> https://blogs.technet.microsoft.com/virtualization/2016/03/21/linux-integration-services-4-1/