maxime rastello - la gestion des identités avec azure - global azure bootcamp 2016 paris

Global Azure Bootcamp #GlobalAzure @AZUGFR

PARIS - FRANCE1

La gestion des identités dans Azure

Maxime Rastello


PARIS - FRANCE

ORGANISATION GAB 2016

MERCI !

SPONSORS LOCAUX

2


PARIS - FRANCE

Maxime RASTELLO• Architecte IT – AZEO• Microsoft P-Seller• MVP Enterprise Mobility• Equipe communauté aOS

SPEAKER

3

@MaximeRastello www.maximerastello.com


PARIS - FRANCE

• Azure Active Directory• Azure AD Connect• Azure AD Identity Protection• Azure AD Privileged Identity

Management• Azure AD Business 2 Business (B2B)• Azure AD Business 2 Customer (B2C)

AGENDA

4


PARIS - FRANCE

Azure Active Directory

TOUR D’HORIZON

Promis, ce ne sera pas long !

5


PARIS - FRANCE

EC2

Environnement local Cloud privéAppareils gérés


PARIS - FRANCE

Solution cloud de gestion des identités et des accès (IAM)

Annuaire centralisant les identités cloud et hybrides de l'entreprise

Utilisé pour gérer l'accès à d'autres applications SaaS Microsoft, partenaires ou développées en interne

Azure Active Directory


PARIS - FRANCE

Les éditions d’Azure Active Directory

8

Fonctionnalités Free Basic Premium Office 365CommunObjets Active Directory 500 000 Illimité Illimité Illimité

SSO avec les applications SaaS 10 / utilisateur

10 / utilisateur Illimité 10 / utilisateur

Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓Synchronisation d’annuaire ✓ ✓ ✓ ✓Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés 3 rapportsBasicGestion / provisionning des accès basée sur les groupes ✓ ✓Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓Personnalisation des pages et portails ✓ ✓ ✓Azure App Proxy ✓ ✓SLA 99,9% ✓ ✓ ✓PremiumRéinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓

Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ Cloud uniquement

Connect Health ✓Cloud App Discovery / Azure AD Privileged Management / Azure AD Identity Protection ✓


PARIS - FRANCE

Un seul gestionnaire d’identité unifié

9

Fournisseurs d’identité publics

Pcs et appareils

Windows Server Active Directory

Apps Microsoft

Apps tierces hébergées

ISV appsCustom LOB apps

SQLLDAP

Non-AD (LDAP, LMS, SQL)


PARIS - FRANCE

Azure AD Connect

« UN OUTIL POUR LES SYNCHRONISER TOUS »

« Et dans le cloud les lier »

10


PARIS - FRANCE

On-premises

Active Directory on-premises

Autres annuaires non-AD

AAD Connect

Graph APIActive Directory

Microsoft Dynamics CRM Online

Windows Intune

Apps tierces

ProPlus

APP

Dans le cloud…


PARIS - FRANCE

Directory Sync (DirSync)• Mono-forêt

Azure AD Sync• Multi-forêt• Personnalisation des attributs• Write-back du mot de passe AD• Règles de synchronisation

Azure AD Connect• Assistant de configuration ADFS• Mode « Staging »• Azure AD Connect Health• User, group et device write-back

Historique de l’outil

12

Les nouveautés• Synchro 30 minutes• Mise à jour auto


PARIS - FRANCE

Topologies supportées… ou pas

13


PARIS - FRANCE

Prérequis serveur• .NET Framework 4.5.1 + / PowerShell 3.0+• Windows Server 2008+ (R2 si synchro de MDP)• Si < 100 000 objets synchronisés : SQL Server dédié nécessaire (2008 SP4 à 2014)

Prérequis ADFS• Si déploiement ADFS via AAD Connect : WS 2012 R2+

Schéma + niveau fonctionnel domaine• Windows Server 2003• Windows Server 2008 si password write-back

Active Directory• Suffixe UPN on-prem = suffixe UPN cloud si ADFS (recommandé dans tous les cas)

Préparation

14


PARIS - FRANCE

Les flux réseau

15

Liste complète

https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect-ports/


PARIS - FRANCE

• Synchronisation à lancer en PowerShell (build de février 2016)

• Groupe de sécurité groupe de distribution : OK / groupe de distribution groupe de sécurité : KO (immutable)

• Possibilité de changer la valeur de synchro par défaut (30min)

• Connexion à un RODC non-supporté / Pas besoin d’être dans un domaine AD

• Ne pas renommer le serveur après l’installation

• Attention aux limites d’écriture (throttling) : partagée par PowerShell, AAD Connect et Microsoft Graph Pas de limite publique communiquée (valeur sur une durée de 5min)

• 500 suppressions max toutes les 30 min Enable/Disable-ADSyncExportDeletionThreshold

• Ne modifiez pas les règles de synchro par défaut Modifications perdues à la prochaine update. Préférez une désactivation puis copie

• Ne modifiez pas le mot de passe du compte de service MSOL_xxxxxxxxxx

• Attention aux configuration proxy (anonyme et avec authentification) Netsh winhttp inutile : Modifier le fichier C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

Quelques points d’attention

16


PARIS - FRANCE

Pour les strings de plus de 448 caractères attributeName <- Left([attributeName],448)

Modifier le suffixe UPN à la volée userPrincipalName <- Word([userPrincipalName],1,"@") &

"@maximerastello.com«

1er élément d’un attribut « multi-value » description <- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448))

Liste complète ici

Quelques aides pour les règles de synchro

17

https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnectsync-functions-reference/


PARIS - FRANCE

Azure AD Identity Protection

SURVEILLEZ ET PROTEGEZ VOS UTILISATEURS

Car « Password » ou « Azeo1234 » ne sont pas des mots de passe sécurisés…

18


PARIS - FRANCE

• Surveillez les activités suspectes de vos utilisateurs– Logins à des endroits différents en un cours laps de temps– Pas de MFA d’activé sur le compte– Applications cloud non-managées

• Prenez des actions préventives pour les comptes douteux :– Forcer la réinitialisation du mot de passe– Forcer l’activation de MFA

Azure AD Identity Protection

19


PARIS - FRANCE

démoAZURE AD IDENTITY PROTECTION

20


PARIS - FRANCE

démo21


PARIS - FRANCE

Azure AD Privileged Identity Management

SURVEILLEZ ET PROTEGEZ VOS ADMINISTRATEURS

Car un administrateur peut faire à peu près n’importe quoi…

22


PARIS - FRANCE

• Surveillez et révoquez les droits administrateur sur votre tenant Azure AD

• Attribuez des permissions admin temporaires (entre 30min et 72h)

Azure AD Privileged Identity Management

23


PARIS - FRANCE

démoAZURE AD PIM

24


PARIS - FRANCE

Azure AD B2B

INTERCONNECTEZ DES ORGANISATIONS AZURE ADParce que vous travaillez aussi avec des partenaires !

25


PARIS - FRANCE

Collaboration B2B

26

Le mécanisme d’acceptation d'invitation utilise les annuaires Azure AD existants pour les partenaires qui ont le leur

Le mécanisme crée un compte utilisateur externe dans votre annuaire Azure AD pour les partenaires qui n’en ont pas

Partager un modèle d'invitation pour les partenaires de toutes tailles

Annuaires Azure AD partenaire existants

Votre Azure AD


PARIS - FRANCE

Collaboration B2B

27

Relations de confiance avec ou sans serveur ADFSLes partenaires utilisent leur propres informations d’identification pour accéder à votre organisationUn compte par utilisateur. Les utilisateurs perdent leur accès lorsqu’ils quittent l’organisation partenaire

SSO partenaire

Votre Azure AD

Partenaire


PARIS - FRANCE

Collaboration B2B

28

Invitations régies par les admins. 2000 invitations à la fois.Accès contrôlé par les administrateurs :• Assignation d’apps• Appartenance aux groups de

sécurité• Attributs personnalisésAudit et rapports de sécuritéHeuristiques de sécurité Azure AD

Mesures de sécurité

Votre Azure AD

Partenaire

Apps SaaS


PARIS - FRANCE

démoAZURE AD B2B

29


PARIS - FRANCE

Azure AD B2C

UN ANNUAIRE CLOUD POUR VOS APPLICATIONS GRAND PUBLIC

Même que ça marche !

30


PARIS - FRANCE31

••••••••••••••••••••

Azure Active Directory B2C


PARIS - FRANCE

• Annuaire cloud optimisé pour un usage grand public

• Permet de centraliser les identités des utilisateurs

• Compatible avec des providers tiers (MSA, Google, LinkedIn, Facebook, Amazon…)

• Fonctionne pour les applications web et mobiles

Azure AD Business to Customer

32

MAXIMERASTELLO

Nom d’utilisateur

Connexion

Mot de passe

CONNEXION

OU SE CONNECTER AVEC :


PARIS - FRANCE

démoAZURE AD B2C

33


PARIS - FRANCE

ORGANISATION GAB 2016

MERCI !

SPONSORS LOCAUX

34

maxime rastello - la gestion des identités avec azure - global azure bootcamp 2016 paris

Presentations & Public Speaking