Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
1
La gestion des identités
dans Azure
Maxime Rastello
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
ORGANISATION GAB 2016
SPONSORS LOCAUX
2
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Maxime RASTELLO
• Architecte IT – AZEO
• Microsoft P-Seller
• MVP...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Azure Active Directory
• Azure AD Connect
• Azure AD Identity P...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure Active Directory
TOUR D’HORIZON
Promis, ce ne sera pas long...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Solution cloud de gestion des
identités et des accès (IAM)
Annuai...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Les éditions d’Azure Active Directory
8
Fonctionnalités Free Basi...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Un seul gestionnaire d’identité unifié
9
Fournisseurs d’identité ...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD Connect
« UN OUTIL POUR LES SYNCHRONISER
TOUS »
« Et dan...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
On-premises
Active Directory
Microsoft
Dynamics CRM Online
Window...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Directory Sync (DirSync)
• Mono-forêt
Azure AD Sync
• Multi-forêt...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Topologies supportées… ou pas
13
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Prérequis serveur
• .NET Framework 4.5.1 + / PowerShell 3.0+
• Wi...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Les flux réseau
15
Liste complète
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Synchronisation à lancer en PowerShell (build de février 2016)
...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Pour les strings de plus de 448 caractères
 attributeName <- Lef...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD Identity Protection
SURVEILLEZ ET PROTEGEZ VOS
UTILISATE...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Surveillez les activités suspectes de vos utilisateurs
– Logins...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
AZURE AD IDENTITY PROTECTION
20
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
21
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD Privileged Identity
Management
SURVEILLEZ ET PROTEGEZ VO...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Surveillez et révoquez les droits
administrateur sur votre tena...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
AZURE AD PIM
24
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD B2B
INTERCONNECTEZ DES ORGANISATIONS
AZURE AD
Parce que ...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Collaboration B2B
26
Partager un modèle
d'invitation pour les
par...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Collaboration B2B
27
SSO partenaire
Partenaire
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Collaboration B2B
28
Mesures de sécurité
Partenaire
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
AZURE AD B2B
29
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
Azure AD B2C
UN ANNUAIRE CLOUD POUR VOS
APPLICATIONS GRAND PUBLIC...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
31
••••••••••
••••••••••
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
• Annuaire cloud optimisé pour un
usage grand public
• Permet de ...
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
AZURE AD B2C
33
Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
ORGANISATION GAB 2016
SPONSORS LOCAUX
34
Prochain SlideShare
Chargement dans…5
×

Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp 2016 Paris

304 vues

Publié le

La gestion des identités est primordiale dans tout projet cloud Microsoft. Tour d’horizon d’Azure Active Directory, comment gérer la synchronisation des identités avec votre annuaire local avec Azure Active Directory Connect. Les problématiques de fédération d’identité seront également abordées.

  • Soyez le premier à commenter

Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp 2016 Paris

  1. 1. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE 1 La gestion des identités dans Azure Maxime Rastello
  2. 2. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE ORGANISATION GAB 2016 SPONSORS LOCAUX 2
  3. 3. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Maxime RASTELLO • Architecte IT – AZEO • Microsoft P-Seller • MVP Enterprise Mobility • Equipe communauté aOS SPEAKER 3 @MaximeRastello www.maximerastello.com
  4. 4. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE • Azure Active Directory • Azure AD Connect • Azure AD Identity Protection • Azure AD Privileged Identity Management • Azure AD Business 2 Business (B2B) • Azure AD Business 2 Customer (B2C) AGENDA 4
  5. 5. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Azure Active Directory TOUR D’HORIZON Promis, ce ne sera pas long ! 5
  6. 6. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE
  7. 7. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Solution cloud de gestion des identités et des accès (IAM) Annuaire centralisant les identités cloud et hybrides de l'entreprise Utilisé pour gérer l'accès à d'autres applications SaaS Microsoft, partenaires ou développées en interne Azure Active Directory
  8. 8. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Les éditions d’Azure Active Directory 8 Fonctionnalités Free Basic Premium Office 365 Commun Objets Active Directory 500 000 Illimité Illimité Illimité SSO avec les applications SaaS 10 / utilisateur 10 / utilisateur Illimité 10 / utilisateur Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓ Synchronisation d’annuaire ✓ ✓ ✓ ✓ Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓ Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés 3 rapports Basic Gestion / provisionning des accès basée sur les groupes ✓ ✓ Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ Personnalisation des pages et portails ✓ ✓ ✓ Azure App Proxy ✓ ✓ SLA 99,9% ✓ ✓ ✓ Premium Réinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓ Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓ Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ Cloud uniquement Connect Health ✓ Cloud App Discovery / Azure AD Privileged Management / Azure AD Identity Protection ✓
  9. 9. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Un seul gestionnaire d’identité unifié 9 Fournisseurs d’identité publicsPcs et appareils Windows Server Active Directory Apps Microsoft Apps tierces hébergées ISV appsCustom LOB apps SQL LDAP Non-AD (LDAP, LMS, SQL)
  10. 10. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Azure AD Connect « UN OUTIL POUR LES SYNCHRONISER TOUS » « Et dans le cloud les lier » 10
  11. 11. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE On-premises Active Directory Microsoft Dynamics CRM Online Windows Intune Apps tierces ProPlus APP Dans le cloud…
  12. 12. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Directory Sync (DirSync) • Mono-forêt Azure AD Sync • Multi-forêt • Personnalisation des attributs • Write-back du mot de passe AD • Règles de synchronisation Azure AD Connect • Assistant de configuration ADFS • Mode « Staging » • Azure AD Connect Health • User, group et device write-back Historique de l’outil 12 Les nouveautés • Synchro 30 minutes • Mise à jour auto
  13. 13. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Topologies supportées… ou pas 13
  14. 14. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Prérequis serveur • .NET Framework 4.5.1 + / PowerShell 3.0+ • Windows Server 2008+ (R2 si synchro de MDP) • Si < 100 000 objets synchronisés : SQL Server dédié nécessaire (2008 SP4 à 2014) Prérequis ADFS • Si déploiement ADFS via AAD Connect : WS 2012 R2+ Schéma + niveau fonctionnel domaine • Windows Server 2003 • Windows Server 2008 si password write-back Active Directory • Suffixe UPN on-prem = suffixe UPN cloud si ADFS (recommandé dans tous les cas) Préparation 14
  15. 15. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Les flux réseau 15 Liste complète
  16. 16. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE • Synchronisation à lancer en PowerShell (build de février 2016) • Groupe de sécurité  groupe de distribution : OK / groupe de distribution  groupe de sécurité : KO (immutable) • Possibilité de changer la valeur de synchro par défaut (30min) • Connexion à un RODC non-supporté / Pas besoin d’être dans un domaine AD • Ne pas renommer le serveur après l’installation • Attention aux limites d’écriture (throttling) : partagée par PowerShell, AAD Connect et Microsoft Graph  Pas de limite publique communiquée (valeur sur une durée de 5min) • 500 suppressions max toutes les 30 min  Enable/Disable-ADSyncExportDeletionThreshold • Ne modifiez pas les règles de synchro par défaut  Modifications perdues à la prochaine update. Préférez une désactivation puis copie • Ne modifiez pas le mot de passe du compte de service MSOL_xxxxxxxxxx • Attention aux configuration proxy (anonyme et avec authentification)  Netsh winhttp inutile : Modifier le fichier C:WindowsMicrosoft.NETFramework64v4.0.30319Configmachine.config Quelques points d’attention 16
  17. 17. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Pour les strings de plus de 448 caractères  attributeName <- Left([attributeName],448) Modifier le suffixe UPN à la volée  userPrincipalName <- Word([userPrincipalName],1,"@") & "@maximerastello.com« 1er élément d’un attribut « multi-value »  description <- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)) Liste complète ici Quelques aides pour les règles de synchro 17
  18. 18. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Azure AD Identity Protection SURVEILLEZ ET PROTEGEZ VOS UTILISATEURS Car « Password » ou « Azeo1234 » ne sont pas des mots de passe sécurisés… 18
  19. 19. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE • Surveillez les activités suspectes de vos utilisateurs – Logins à des endroits différents en un cours laps de temps – Pas de MFA d’activé sur le compte – Applications cloud non-managées • Prenez des actions préventives pour les comptes douteux : – Forcer la réinitialisation du mot de passe – Forcer l’activation de MFA Azure AD Identity Protection 19
  20. 20. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE AZURE AD IDENTITY PROTECTION 20
  21. 21. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE 21
  22. 22. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Azure AD Privileged Identity Management SURVEILLEZ ET PROTEGEZ VOS ADMINISTRATEURS Car un administrateur peut faire à peu près n’importe quoi… 22
  23. 23. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE • Surveillez et révoquez les droits administrateur sur votre tenant Azure AD • Attribuez des permissions admin temporaires (entre 30min et 72h) Azure AD Privileged Identity Management 23
  24. 24. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE AZURE AD PIM 24
  25. 25. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Azure AD B2B INTERCONNECTEZ DES ORGANISATIONS AZURE AD Parce que vous travaillez aussi avec des partenaires ! 25
  26. 26. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Collaboration B2B 26 Partager un modèle d'invitation pour les partenaires de toutes tailles
  27. 27. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Collaboration B2B 27 SSO partenaire Partenaire
  28. 28. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Collaboration B2B 28 Mesures de sécurité Partenaire
  29. 29. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE AZURE AD B2B 29
  30. 30. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE Azure AD B2C UN ANNUAIRE CLOUD POUR VOS APPLICATIONS GRAND PUBLIC Même que ça marche ! 30
  31. 31. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE 31 •••••••••• ••••••••••
  32. 32. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE • Annuaire cloud optimisé pour un usage grand public • Permet de centraliser les identités des utilisateurs • Compatible avec des providers tiers (MSA, Google, LinkedIn, Facebook, Amazon…) • Fonctionne pour les applications web et mobiles Azure AD Business to Customer 32 MAXIMERASTELLO Nom d’utilisateur Connexion Mot de passe CONNEXION OU SE CONNECTER AVEC :
  33. 33. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE AZURE AD B2C 33
  34. 34. Global Azure Bootcamp#GlobalAzure @AZUGFR PARIS - FRANCE ORGANISATION GAB 2016 SPONSORS LOCAUX 34

×