maxime rastello - la gestion des identités avec azure - global azure bootcamp 2016 paris
TRANSCRIPT
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE1
La gestion des identités dans Azure
Maxime Rastello
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
ORGANISATION GAB 2016
MERCI !
SPONSORS LOCAUX
2
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Maxime RASTELLO• Architecte IT – AZEO• Microsoft P-Seller• MVP Enterprise Mobility• Equipe communauté aOS
SPEAKER
3
@MaximeRastello www.maximerastello.com
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
• Azure Active Directory• Azure AD Connect• Azure AD Identity Protection• Azure AD Privileged Identity
Management• Azure AD Business 2 Business (B2B)• Azure AD Business 2 Customer (B2C)
AGENDA
4
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Azure Active Directory
TOUR D’HORIZON
Promis, ce ne sera pas long !
5
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
EC2
Environnement local Cloud privéAppareils gérés
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Solution cloud de gestion des identités et des accès (IAM)
Annuaire centralisant les identités cloud et hybrides de l'entreprise
Utilisé pour gérer l'accès à d'autres applications SaaS Microsoft, partenaires ou développées en interne
Azure Active Directory
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Les éditions d’Azure Active Directory
8
Fonctionnalités Free Basic Premium Office 365CommunObjets Active Directory 500 000 Illimité Illimité Illimité
SSO avec les applications SaaS 10 / utilisateur
10 / utilisateur Illimité 10 / utilisateur
Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓Synchronisation d’annuaire ✓ ✓ ✓ ✓Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés 3 rapportsBasicGestion / provisionning des accès basée sur les groupes ✓ ✓Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓Personnalisation des pages et portails ✓ ✓ ✓Azure App Proxy ✓ ✓SLA 99,9% ✓ ✓ ✓PremiumRéinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓
Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ Cloud uniquement
Connect Health ✓Cloud App Discovery / Azure AD Privileged Management / Azure AD Identity Protection ✓
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Un seul gestionnaire d’identité unifié
9
Fournisseurs d’identité publics
Pcs et appareils
Windows Server Active Directory
Apps Microsoft
Apps tierces hébergées
ISV appsCustom LOB apps
SQLLDAP
Non-AD (LDAP, LMS, SQL)
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Azure AD Connect
« UN OUTIL POUR LES SYNCHRONISER TOUS »
« Et dans le cloud les lier »
10
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
On-premises
Active Directory on-premises
Autres annuaires non-AD
AAD Connect
Graph APIActive Directory
Microsoft Dynamics CRM Online
Windows Intune
Apps tierces
ProPlus
APP
Dans le cloud…
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Directory Sync (DirSync)• Mono-forêt
Azure AD Sync• Multi-forêt• Personnalisation des attributs• Write-back du mot de passe AD• Règles de synchronisation
Azure AD Connect• Assistant de configuration ADFS• Mode « Staging »• Azure AD Connect Health• User, group et device write-back
Historique de l’outil
12
Les nouveautés• Synchro 30 minutes• Mise à jour auto
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Topologies supportées… ou pas
13
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Prérequis serveur• .NET Framework 4.5.1 + / PowerShell 3.0+• Windows Server 2008+ (R2 si synchro de MDP)• Si < 100 000 objets synchronisés : SQL Server dédié nécessaire (2008 SP4 à 2014)
Prérequis ADFS• Si déploiement ADFS via AAD Connect : WS 2012 R2+
Schéma + niveau fonctionnel domaine• Windows Server 2003• Windows Server 2008 si password write-back
Active Directory• Suffixe UPN on-prem = suffixe UPN cloud si ADFS (recommandé dans tous les cas)
Préparation
14
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Les flux réseau
15
Liste complète
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
• Synchronisation à lancer en PowerShell (build de février 2016)
• Groupe de sécurité groupe de distribution : OK / groupe de distribution groupe de sécurité : KO (immutable)
• Possibilité de changer la valeur de synchro par défaut (30min)
• Connexion à un RODC non-supporté / Pas besoin d’être dans un domaine AD
• Ne pas renommer le serveur après l’installation
• Attention aux limites d’écriture (throttling) : partagée par PowerShell, AAD Connect et Microsoft Graph Pas de limite publique communiquée (valeur sur une durée de 5min)
• 500 suppressions max toutes les 30 min Enable/Disable-ADSyncExportDeletionThreshold
• Ne modifiez pas les règles de synchro par défaut Modifications perdues à la prochaine update. Préférez une désactivation puis copie
• Ne modifiez pas le mot de passe du compte de service MSOL_xxxxxxxxxx
• Attention aux configuration proxy (anonyme et avec authentification) Netsh winhttp inutile : Modifier le fichier C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
Quelques points d’attention
16
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Pour les strings de plus de 448 caractères attributeName <- Left([attributeName],448)
Modifier le suffixe UPN à la volée userPrincipalName <- Word([userPrincipalName],1,"@") &
"@maximerastello.com«
1er élément d’un attribut « multi-value » description <- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448))
Liste complète ici
Quelques aides pour les règles de synchro
17
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Azure AD Identity Protection
SURVEILLEZ ET PROTEGEZ VOS UTILISATEURS
Car « Password » ou « Azeo1234 » ne sont pas des mots de passe sécurisés…
18
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
• Surveillez les activités suspectes de vos utilisateurs– Logins à des endroits différents en un cours laps de temps– Pas de MFA d’activé sur le compte– Applications cloud non-managées
• Prenez des actions préventives pour les comptes douteux :– Forcer la réinitialisation du mot de passe– Forcer l’activation de MFA
Azure AD Identity Protection
19
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
démoAZURE AD IDENTITY PROTECTION
20
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
démo21
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Azure AD Privileged Identity Management
SURVEILLEZ ET PROTEGEZ VOS ADMINISTRATEURS
Car un administrateur peut faire à peu près n’importe quoi…
22
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
• Surveillez et révoquez les droits administrateur sur votre tenant Azure AD
• Attribuez des permissions admin temporaires (entre 30min et 72h)
Azure AD Privileged Identity Management
23
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
démoAZURE AD PIM
24
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Azure AD B2B
INTERCONNECTEZ DES ORGANISATIONS AZURE ADParce que vous travaillez aussi avec des partenaires !
25
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Collaboration B2B
26
Le mécanisme d’acceptation d'invitation utilise les annuaires Azure AD existants pour les partenaires qui ont le leur
Le mécanisme crée un compte utilisateur externe dans votre annuaire Azure AD pour les partenaires qui n’en ont pas
Partager un modèle d'invitation pour les partenaires de toutes tailles
Annuaires Azure AD partenaire existants
Votre Azure AD
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Collaboration B2B
27
Relations de confiance avec ou sans serveur ADFSLes partenaires utilisent leur propres informations d’identification pour accéder à votre organisationUn compte par utilisateur. Les utilisateurs perdent leur accès lorsqu’ils quittent l’organisation partenaire
SSO partenaire
Votre Azure AD
Partenaire
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Collaboration B2B
28
Invitations régies par les admins. 2000 invitations à la fois.Accès contrôlé par les administrateurs :• Assignation d’apps• Appartenance aux groups de
sécurité• Attributs personnalisésAudit et rapports de sécuritéHeuristiques de sécurité Azure AD
Mesures de sécurité
Votre Azure AD
Partenaire
Apps SaaS
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
démoAZURE AD B2B
29
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
Azure AD B2C
UN ANNUAIRE CLOUD POUR VOS APPLICATIONS GRAND PUBLIC
Même que ça marche !
30
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE31
••••••••••••••••••••
Azure Active Directory B2C
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
• Annuaire cloud optimisé pour un usage grand public
• Permet de centraliser les identités des utilisateurs
• Compatible avec des providers tiers (MSA, Google, LinkedIn, Facebook, Amazon…)
• Fonctionne pour les applications web et mobiles
Azure AD Business to Customer
32
MAXIMERASTELLO
Nom d’utilisateur
Connexion
Mot de passe
CONNEXION
OU SE CONNECTER AVEC :
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
démoAZURE AD B2C
33
Global Azure Bootcamp #GlobalAzure @AZUGFR
PARIS - FRANCE
ORGANISATION GAB 2016
MERCI !
SPONSORS LOCAUX
34