Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
1
La gestion des identités
dans Azure
Maxime Rastello
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
ORGANISATION GAB 2016
SPONSORS LOCAUX
2
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Maxime RASTELLO
• Architecte IT – AZEO
• Microsoft P-Seller
• MVP...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Azure Active Directory
• Azure AD Connect
• Azure AD Identity P...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure Active Directory
TOUR D’HORIZON
Promis, ce ne sera pas long...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Solution cloud de gestion des
identités et des accès (IAM)
Annuai...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Les éditions d’Azure Active Directory
8
Fonctionnalités Free Basi...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Un seul gestionnaire d’identité unifié
9
Fournisseurs d’identité ...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD Connect
« UN OUTIL POUR LES SYNCHRONISER
TOUS »
« Et dan...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
On-premises
Active Directory
Microsoft
Dynamics CRM Online
Window...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Directory Sync (DirSync)
• Mono-forêt
Azure AD Sync
• Multi-forêt...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Topologies supportées… ou pas
13
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Prérequis serveur
• .NET Framework 4.5.1 + / PowerShell 3.0+
• Wi...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Les flux réseau
15
Liste complète
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Synchronisation à lancer en PowerShell (build de février 2016)
...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Pour les strings de plus de 448 caractères
 attributeName <- Lef...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD Identity Protection
SURVEILLEZ ET PROTEGEZ VOS
UTILISATE...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Surveillez les activités suspectes de vos utilisateurs
– Logins...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
AZURE AD IDENTITY PROTECTION
20
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
21
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD Privileged Identity
Management
SURVEILLEZ ET PROTEGEZ VO...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Surveillez et révoquez les droits
administrateur sur votre tena...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
AZURE AD PIM
24
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD B2B
INTERCONNECTEZ DES ORGANISATIONS
AZURE AD
Parce que ...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Collaboration B2B
26
Partager un modèle
d'invitation pour les
par...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Collaboration B2B
27
SSO partenaire
Partenaire
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Collaboration B2B
28
Mesures de sécurité
Partenaire
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
AZURE AD B2B
29
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD B2C
UN ANNUAIRE CLOUD POUR VOS
APPLICATIONS GRAND PUBLIC...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
31
••••••••••
••••••••••
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Annuaire cloud optimisé pour un
usage grand public
• Permet de ...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
AZURE AD B2C
33
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
ORGANISATION GAB 2016
SPONSORS LOCAUX
34
Prochain SlideShare
Chargement dans…5
×

Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp 2016 Paris

183 vues

Publié le

La gestion des identités est primordiale dans tout projet cloud Microsoft. Tour d’horizon d’Azure Active Directory, comment gérer la synchronisation des identités avec votre annuaire local avec Azure Active Directory Connect. Les problématiques de fédération d’identité seront également abordées.

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
183
Sur SlideShare
0
Issues des intégrations
0
Intégrations
9
Actions
Partages
0
Téléchargements
9
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

  • Azure Active Directory is many more things than just a directory.
    Of course it offers directory services. Office 365 is the most visible example of a cloud app based on Azure AD for directory services
    Basically because of Office 365 we are processing more than 12 Billion authentications/week . This is a real testament to the level of scale we can handle! You might also be interested to learn that more than 1.4 million business, schools, government agencies and non-profits are now using Azure AD in conjunction with their Microsoft cloud service subscriptions.
    And maybe even more amazing is that we now have over 290 million user accounts in Azure AD from companies and organizations in 127 countries around the world. It is a good thing we're up to many different data centers world wide – it looks like we're going to need it.
    Azure AD Premium includes every feature of the free tier plus a very reach set of features we are going to present in this session.



  • Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp 2016 Paris

    1. 1. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE 1 La gestion des identités dans Azure Maxime Rastello
    2. 2. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE ORGANISATION GAB 2016 SPONSORS LOCAUX 2
    3. 3. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Maxime RASTELLO • Architecte IT – AZEO • Microsoft P-Seller • MVP Enterprise Mobility • Equipe communauté aOS SPEAKER 3 @MaximeRastello www.maximerastello.com
    4. 4. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE • Azure Active Directory • Azure AD Connect • Azure AD Identity Protection • Azure AD Privileged Identity Management • Azure AD Business 2 Business (B2B) • Azure AD Business 2 Customer (B2C) AGENDA 4
    5. 5. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Azure Active Directory TOUR D’HORIZON Promis, ce ne sera pas long ! 5
    6. 6. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
    7. 7. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Solution cloud de gestion des identités et des accès (IAM) Annuaire centralisant les identités cloud et hybrides de l'entreprise Utilisé pour gérer l'accès à d'autres applications SaaS Microsoft, partenaires ou développées en interne Azure Active Directory
    8. 8. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Les éditions d’Azure Active Directory 8 Fonctionnalités Free Basic Premium Office 365 Commun Objets Active Directory 500 000 Illimité Illimité Illimité SSO avec les applications SaaS 10 / utilisateur 10 / utilisateur Illimité 10 / utilisateur Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓ Synchronisation d’annuaire ✓ ✓ ✓ ✓ Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓ Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés 3 rapports Basic Gestion / provisionning des accès basée sur les groupes ✓ ✓ Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ Personnalisation des pages et portails ✓ ✓ ✓ Azure App Proxy ✓ ✓ SLA 99,9% ✓ ✓ ✓ Premium Réinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓ Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓ Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ Cloud uniquement Connect Health ✓ Cloud App Discovery / Azure AD Privileged Management / Azure AD Identity Protection ✓
    9. 9. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Un seul gestionnaire d’identité unifié 9 Fournisseurs d’identité publicsPcs et appareils Windows Server Active Directory Apps Microsoft Apps tierces hébergées ISV appsCustom LOB apps SQL LDAP Non-AD (LDAP, LMS, SQL)
    10. 10. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Azure AD Connect « UN OUTIL POUR LES SYNCHRONISER TOUS » « Et dans le cloud les lier » 10
    11. 11. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE On-premises Active Directory Microsoft Dynamics CRM Online Windows Intune Apps tierces ProPlus APP Dans le cloud…
    12. 12. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Directory Sync (DirSync) • Mono-forêt Azure AD Sync • Multi-forêt • Personnalisation des attributs • Write-back du mot de passe AD • Règles de synchronisation Azure AD Connect • Assistant de configuration ADFS • Mode « Staging » • Azure AD Connect Health • User, group et device write-back Historique de l’outil 12 Les nouveautés • Synchro 30 minutes • Mise à jour auto
    13. 13. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Topologies supportées… ou pas 13
    14. 14. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Prérequis serveur • .NET Framework 4.5.1 + / PowerShell 3.0+ • Windows Server 2008+ (R2 si synchro de MDP) • Si < 100 000 objets synchronisés : SQL Server dédié nécessaire (2008 SP4 à 2014) Prérequis ADFS • Si déploiement ADFS via AAD Connect : WS 2012 R2+ Schéma + niveau fonctionnel domaine • Windows Server 2003 • Windows Server 2008 si password write-back Active Directory • Suffixe UPN on-prem = suffixe UPN cloud si ADFS (recommandé dans tous les cas) Préparation 14
    15. 15. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Les flux réseau 15 Liste complète
    16. 16. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE • Synchronisation à lancer en PowerShell (build de février 2016) • Groupe de sécurité  groupe de distribution : OK / groupe de distribution  groupe de sécurité : KO (immutable) • Possibilité de changer la valeur de synchro par défaut (30min) • Connexion à un RODC non-supporté / Pas besoin d’être dans un domaine AD • Ne pas renommer le serveur après l’installation • Attention aux limites d’écriture (throttling) : partagée par PowerShell, AAD Connect et Microsoft Graph  Pas de limite publique communiquée (valeur sur une durée de 5min) • 500 suppressions max toutes les 30 min  Enable/Disable-ADSyncExportDeletionThreshold • Ne modifiez pas les règles de synchro par défaut  Modifications perdues à la prochaine update. Préférez une désactivation puis copie • Ne modifiez pas le mot de passe du compte de service MSOL_xxxxxxxxxx • Attention aux configuration proxy (anonyme et avec authentification)  Netsh winhttp inutile : Modifier le fichier C:WindowsMicrosoft.NETFramework64v4.0.30319Configmachine.config Quelques points d’attention 16
    17. 17. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Pour les strings de plus de 448 caractères  attributeName <- Left([attributeName],448) Modifier le suffixe UPN à la volée  userPrincipalName <- Word([userPrincipalName],1,"@") & "@maximerastello.com« 1er élément d’un attribut « multi-value »  description <- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)) Liste complète ici Quelques aides pour les règles de synchro 17
    18. 18. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Azure AD Identity Protection SURVEILLEZ ET PROTEGEZ VOS UTILISATEURS Car « Password » ou « Azeo1234 » ne sont pas des mots de passe sécurisés… 18
    19. 19. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE • Surveillez les activités suspectes de vos utilisateurs – Logins à des endroits différents en un cours laps de temps – Pas de MFA d’activé sur le compte – Applications cloud non-managées • Prenez des actions préventives pour les comptes douteux : – Forcer la réinitialisation du mot de passe – Forcer l’activation de MFA Azure AD Identity Protection 19
    20. 20. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE AZURE AD IDENTITY PROTECTION 20
    21. 21. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE 21
    22. 22. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Azure AD Privileged Identity Management SURVEILLEZ ET PROTEGEZ VOS ADMINISTRATEURS Car un administrateur peut faire à peu près n’importe quoi… 22
    23. 23. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE • Surveillez et révoquez les droits administrateur sur votre tenant Azure AD • Attribuez des permissions admin temporaires (entre 30min et 72h) Azure AD Privileged Identity Management 23
    24. 24. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE AZURE AD PIM 24
    25. 25. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Azure AD B2B INTERCONNECTEZ DES ORGANISATIONS AZURE AD Parce que vous travaillez aussi avec des partenaires ! 25
    26. 26. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Collaboration B2B 26 Partager un modèle d'invitation pour les partenaires de toutes tailles
    27. 27. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Collaboration B2B 27 SSO partenaire Partenaire
    28. 28. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Collaboration B2B 28 Mesures de sécurité Partenaire
    29. 29. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE AZURE AD B2B 29
    30. 30. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Azure AD B2C UN ANNUAIRE CLOUD POUR VOS APPLICATIONS GRAND PUBLIC Même que ça marche ! 30
    31. 31. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE 31 •••••••••• ••••••••••
    32. 32. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE • Annuaire cloud optimisé pour un usage grand public • Permet de centraliser les identités des utilisateurs • Compatible avec des providers tiers (MSA, Google, LinkedIn, Facebook, Amazon…) • Fonctionne pour les applications web et mobiles Azure AD Business to Customer 32 MAXIMERASTELLO Nom d’utilisateur Connexion Mot de passe CONNEXION OU SE CONNECTER AVEC :
    33. 33. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE AZURE AD B2C 33
    34. 34. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE ORGANISATION GAB 2016 SPONSORS LOCAUX 34

    ×