La gestion des identités est primordiale dans tout projet cloud Microsoft. Tour d’horizon d’Azure Active Directory, comment gérer la synchronisation des identités avec votre annuaire local avec Azure Active Directory Connect. Les problématiques de fédération d’identité seront également abordées.
3. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Maxime RASTELLO
• Architecte IT – AZEO
• Microsoft P-Seller
• MVP Enterprise Mobility
• Equipe communauté aOS
SPEAKER
3
@MaximeRastello www.maximerastello.com
4. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Azure Active Directory
• Azure AD Connect
• Azure AD Identity Protection
• Azure AD Privileged Identity Management
• Azure AD Business 2 Business (B2B)
• Azure AD Business 2 Customer (B2C)
AGENDA
4
7. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Solution cloud de gestion des
identités et des accès (IAM)
Annuaire centralisant les identités
cloud et hybrides de l'entreprise
Utilisé pour gérer l'accès à
d'autres applications SaaS
Microsoft, partenaires ou
développées en interne
Azure Active Directory
8. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Les éditions d’Azure Active Directory
8
Fonctionnalités Free Basic Premium Office 365
Commun
Objets Active Directory 500 000 Illimité Illimité Illimité
SSO avec les applications SaaS 10 / utilisateur 10 / utilisateur Illimité 10 / utilisateur
Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓
Synchronisation d’annuaire ✓ ✓ ✓ ✓
Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓
Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés 3 rapports
Basic
Gestion / provisionning des accès basée sur les groupes ✓ ✓
Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓
Personnalisation des pages et portails ✓ ✓ ✓
Azure App Proxy ✓ ✓
SLA 99,9% ✓ ✓ ✓
Premium
Réinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓
Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓
Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ Cloud uniquement
Connect Health ✓
Cloud App Discovery / Azure AD Privileged Management / Azure AD Identity Protection ✓
9. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Un seul gestionnaire d’identité unifié
9
Fournisseurs d’identité publicsPcs et appareils
Windows Server Active Directory
Apps Microsoft
Apps tierces hébergées
ISV appsCustom
LOB apps
SQL
LDAP
Non-AD (LDAP, LMS, SQL)
10. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD Connect
« UN OUTIL POUR LES SYNCHRONISER
TOUS »
« Et dans le cloud les lier »
10
11. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
On-premises
Active Directory
Microsoft
Dynamics CRM Online
Windows Intune
Apps tierces
ProPlus
APP
Dans le cloud…
12. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Directory Sync (DirSync)
• Mono-forêt
Azure AD Sync
• Multi-forêt
• Personnalisation des attributs
• Write-back du mot de passe AD
• Règles de synchronisation
Azure AD Connect
• Assistant de configuration ADFS
• Mode « Staging »
• Azure AD Connect Health
• User, group et device write-back
Historique de l’outil
12
Les nouveautés
• Synchro 30 minutes
• Mise à jour auto
14. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Prérequis serveur
• .NET Framework 4.5.1 + / PowerShell 3.0+
• Windows Server 2008+ (R2 si synchro de MDP)
• Si < 100 000 objets synchronisés : SQL Server dédié nécessaire (2008 SP4 à 2014)
Prérequis ADFS
• Si déploiement ADFS via AAD Connect : WS 2012 R2+
Schéma + niveau fonctionnel domaine
• Windows Server 2003
• Windows Server 2008 si password write-back
Active Directory
• Suffixe UPN on-prem = suffixe UPN cloud si ADFS (recommandé dans tous les cas)
Préparation
14
16. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Synchronisation à lancer en PowerShell (build de février 2016)
• Groupe de sécurité groupe de distribution : OK / groupe de distribution groupe de sécurité : KO (immutable)
• Possibilité de changer la valeur de synchro par défaut (30min)
• Connexion à un RODC non-supporté / Pas besoin d’être dans un domaine AD
• Ne pas renommer le serveur après l’installation
• Attention aux limites d’écriture (throttling) : partagée par PowerShell, AAD Connect et Microsoft Graph
Pas de limite publique communiquée (valeur sur une durée de 5min)
• 500 suppressions max toutes les 30 min
Enable/Disable-ADSyncExportDeletionThreshold
• Ne modifiez pas les règles de synchro par défaut
Modifications perdues à la prochaine update. Préférez une désactivation puis copie
• Ne modifiez pas le mot de passe du compte de service MSOL_xxxxxxxxxx
• Attention aux configuration proxy (anonyme et avec authentification)
Netsh winhttp inutile : Modifier le fichier C:WindowsMicrosoft.NETFramework64v4.0.30319Configmachine.config
Quelques points d’attention
16
17. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Pour les strings de plus de 448 caractères
attributeName <- Left([attributeName],448)
Modifier le suffixe UPN à la volée
userPrincipalName <- Word([userPrincipalName],1,"@") &
"@maximerastello.com«
1er élément d’un attribut « multi-value »
description <-
IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448))
Liste complète ici
Quelques aides pour les règles de synchro
17
18. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD Identity Protection
SURVEILLEZ ET PROTEGEZ VOS
UTILISATEURS
Car « Password » ou « Azeo1234 » ne sont pas des mots de
passe sécurisés…
18
19. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Surveillez les activités suspectes de vos utilisateurs
– Logins à des endroits différents en un cours laps de temps
– Pas de MFA d’activé sur le compte
– Applications cloud non-managées
• Prenez des actions préventives pour les comptes
douteux :
– Forcer la réinitialisation du mot de passe
– Forcer l’activation de MFA
Azure AD Identity Protection
19
22. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD Privileged Identity
Management
SURVEILLEZ ET PROTEGEZ VOS
ADMINISTRATEURS
Car un administrateur peut faire à peu près n’importe quoi…
22
23. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Surveillez et révoquez les droits
administrateur sur votre tenant Azure AD
• Attribuez des permissions admin temporaires
(entre 30min et 72h)
Azure AD Privileged Identity Management
23
25. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD B2B
INTERCONNECTEZ DES ORGANISATIONS
AZURE AD
Parce que vous travaillez aussi avec des partenaires !
25
26. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Collaboration B2B
26
Partager un modèle
d'invitation pour les
partenaires de toutes tailles
32. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Annuaire cloud optimisé pour un
usage grand public
• Permet de centraliser les identités
des utilisateurs
• Compatible avec des providers
tiers (MSA, Google, LinkedIn,
Facebook, Amazon…)
• Fonctionne pour les applications
web et mobiles
Azure AD Business to Customer
32
MAXIMERASTELLO
Nom d’utilisateur
Connexion
Mot de passe
CONNEXION
OU SE CONNECTER AVEC :
Azure Active Directory is many more things than just a directory.
Of course it offers directory services. Office 365 is the most visible example of a cloud app based on Azure AD for directory services
Basically because of Office 365 we are processing more than 12 Billion authentications/week . This is a real testament to the level of scale we can handle! You might also be interested to learn that more than 1.4 million business, schools, government agencies and non-profits are now using Azure AD in conjunction with their Microsoft cloud service subscriptions.
And maybe even more amazing is that we now have over 290 million user accounts in Azure AD from companies and organizations in 127 countries around the world. It is a good thing we're up to many different data centers world wide – it looks like we're going to need it.
Azure AD Premium includes every feature of the free tier plus a very reach set of features we are going to present in this session.