Présentation AzureAD ( Identité hybrides et securité)

Seyfallah TAGREROUT
Cloud Architect - Microsoft MVP
Azure Active Directory
Comment étendre mon Active Directory local

Cloud Architect
Blog
https://seyfallah-
it.blogspot.com

Agenda
Identité chez Microsoft
• ADDS – AAD – AADDS
• Azure AD le point central
• Comment étendre mon Active Directory
local vers Azure AD
• Quels sont les attributs synchronisés dans
AAD
Architecture & Authentification
• Azure AD Deep Dive
• AAD Connect
• Authentification
Conclusion
• Rex Client
1 2
4
Sécurité et fonctionnalités avancées
• Azure MFA & Conditional Access
• Identity Protection
• Smart Lock & Password Protection
• Azure Application Proxy
• Azure B2B
3

ADDS – AAD - AADDS

6
ADDS Azure AD AADDS

7
• ADDS : Active Directory Domain Services
• Forêt - Relation d’approbation
• Domaine
• DNS
• Site Active Directory
• Contrôleur de domaine
• Contenu:
• OU - Utilisateurs – Groupes -Ordinateurs – imprimantes - GPOs
• Authentification:
• Kerberos
• NTLM ordinateurs en workgroup
• Exemple:
• Connexion à un partage de fichier ou machine

8
• Azure AD : Azure Active Directory
• IDaaS
• Identité dans le cloud Microsoft
• Gestion des utilisateurs , groupes et ordinateurs (Azure AD Join)
• Pas de notions de :
• Forêt – OU – GPO – Site AD – contrôleur de domaine
• Contenu:
• Utilisateurs - groupes
• SAML2.0 , WS-Federation, Oauth 2.0
• Exemple:
• Utilisation d’Office 365 ( exchange Online, Teams, etc )

ADDS – AAD - AADDS
9
• AADDS: Azure Active Directory Domain Services :
• Repose sur Windows Server
• Service managé par Microsoft
• Identité dans le cloud Microsoft
• Peut être couplé avec AzureAD – uniquement en Password Sync
• Gestion via ADAC ou PowerShell
• Pas de connexion RDP au contrôleur de domaine
• Contenu:
• OU - Utilisateurs – Groupes -Ordinateurs - GPOs
• NTLM & Kerberos
• Lecture et liaison LDAP
• Exemple:
• Gestion de machines virtuelles Azure

10
• ADDS vs AADDS

11
• AAD vs AADDS

12
• Azure Active Directory: Le point central
• Services Cloud
Authentification – Gestion – Contrôle d’accès – Consommation

#MWCP18
EMS
Azure Information
Protection
Protect your data,
everywhere
Microsoft Cloud App Security
Detect threats early
with visibility and
threat analytics
Advanced
Threat Analytics
Extend enterprise-grade
security to your cloud
and SaaS apps
Intune
Protect your users,
devices, and apps
Manage identity with hybrid
integration to protect application
access from identity attacks

15
Azure Active
Directory
Windows
MacOS
iOS
Android

16
8B 90%
653K1.1B
• Azure Active Directory en quelques chiffres :
17.5M
90K

17
• Azure Active Directory en quelques chiffres avec
WallMart :
565K2,252K
880K
SSPR
2.5M

Features P1
Directory Objects1 No Object Limit
User/Group Management (add/update/delete). User-based provisioning, Device registration Available
Single Sign-On (SSO). Free, basic tiers + self-service app integration templates5 No Limit
B2B Collaboration7 Available
Self-Service Password Change for cloud users Available
Connect (Sync engine that extends on-premises directories to Azure Active Directory) Available
Security/Usage Reports Advanced Reports
Group-based access management/provisioning Available
Self-Service Password Reset for cloud users Available
Company Branding (Logon Pages/Access Panel customization) Available
Application Proxy Available
SLA Available
Premium Features
Advanced group features8 Available
Self-Service Password Reset/Change/Unlock with on-premises writeback Available
Device objects 2-way sync between on-premises directories and Azure AD (Device write-back) Available
Multi-Factor Authentication (Cloud and On-premises (MFA Server)) Available
Microsoft Identity Manager user CAL4 Available
Cloud App Discovery9 Available
Connect Health6 Available
Automatic password rollover for group accounts Available
Conditional Access based on group and location Available
Conditional Access based on device state (Allow access from managed devices) Available
3rd party identity governance partners integration Available
Terms of Use Available
SharePoint Limited Access Available
OneDrive for Business Limited Access Available
3rd party MFA partner integration Preview Available
Microsoft Cloud App Security integration Available
Identity Protection
• Detecting vulnerabilities and risky accounts:
• Providing custom recommendations to improve overall security
posture by highlighting vulnerabilities
• Calculating sign-in risk levels
• Calculating user risk levels
• Investigating risk events:
• Sending notifications for risk events
• Investigating risk events using relevant and contextual information
• Providing basic workflows to track investigations
• Providing easy access to remediation actions such as password reset
• Risk-based conditional access policies:
• Policy to mitigate risky sign-ins by blocking sign-ins or requiring
multi-factor authentication challenges
• Policy to block or secure risky user accounts
• Policy to require users to register for multi-factor authentication
Advanced Identity Governance
• Privileged Identity Management (PIM)
• Access Reviews
Only in Azure AD P2
What is the difference
between Azure AD P1 &
P2?

Comment étendre mon Active Directory
19
• Pourquoi et comment étendre mon Active Directory vers
Azure AD:
Quels sont mes
prérequis
Quelle est ma
stratégie au
de la sécurité
Quel sera mon
process pour
le cycle de vie
l'identité

20
Pourquoi et comment étendre mon Active Directory vers Azure AD:
• Pourquoi ?  équation : Plusieurs applications pour une seule et unique identité
• Comment aller vers de l’identité hybride ?
• Nouvelle notion : Identité hybride
 Connaitre les besoins
 Pour quels usages ?
 La stratégie et la roadmap ( Office 365 , Azure, ? )
 L’existant :
 Architecture AD ( Forêts, domaines, worldwide )
 Méthode d’authentification utilisée
 Besoins Exchange Online ou / et hybridation
 Définir si y a des services cloud
 Définir si y a de la fédération et identifier les raisons
 Kerberos based (SSO)
 Authentification des users hors de l’entreprise avec SAML
 Etc
 Correction avec IDfix

21
Vous avez dit extension ?

22
Vous avez dit extension ?

23
• Quels sont les attributs synchronisés dans AAD:
• Microsoft : https://www.microsoft.com/en-us/trustcenter/privacy/where-your-data-is-
located
Entreprise en Europe : location des attributs : Europe

24
• Exemple d’une entreprise en Suisse :
• AAD management
• Access and review
• App Proxy
En attendant les datacenters en suisse 

Azure B2B
25
• Azure B2B:
• Je souhaite accéder aux applications de mes partenaires de manière sécurisée en ayant ma
propre identité : Azure AD B2B

Azure B2B
26
• Azure B2B:
• Je souhaite accéder aux applications de mes partenaires de manière sécurisée en ayant ma
propre identité : Azure AD B2B
Les partenaires utilisent
leur propre identité
Effacé automatiquement
en cas de départ de
l’organisation partenaire
Pas de dossier externe
Conditional Access
La gestion des
partenaires au niveau de
votre Azure AD:
• group membership
• custom attributes

Applications SaaS et Azure AD
27
2500+ applications dans le
markplace d’Azure
SaaS Applications
Microsoft Azure
Active Directory

Applications SaaS et Azure AD
28
• SAML 2.0 dans Azure AD :

Deep-Dive et choix d’authentification
Architecture
& Authentification

Architecture Azure AD
30
 Tolérance de panne
 Durabilité et protection
des données
 Cohérence
 Sauvegarde

AAD Connect
32
• Topologies:

AAD Connect
33
• Topologies:

AAD Connect
34
• Topologies:
Import Synchronization Export
CD CS MV CS CD

Authentification
35
• Une fois étendu, comment authentifier mon utilisateur sur Office 365 ?

Une identité hybride sécurisée…
Sécurité et fonctionnalités
avancées

Azure MFA
40
• Solution d’authentification double facteur de Microsoft Azure.
Son but est de sécuriser l’accès aux données, aux applications ou encore
aux services cloud de votre organisation.
Sécurité – Fiabilité – Facilité Evolution
• Termes :
Double facteur
Authentification forte

Azure MFA
41
Options disponibles pour le double facteur :
• SMS
• Code Application avec Azure Authenticator
• Appel téléphonique
• Jeton OATH
• Notification sur l’application
Attention à plusieurs points avant de l’activer

Conditional Access
43
Le conditional access:
• autoriser ou non l’accès aux ressources cloud de l’entreprise en fonction de certaines conditions
…

Conditional Access
44
• Au niveau des autorisations :
• Bloquer
• Autoriser
• Autoriser avec une condition
Actions
Bloquer
Autoriser
Autoriser

Corporate
Network
Geo-location
Microsoft
Cloud App SecurityMacOS
Android
iOS
Windows
Windows
Defender ATP
Client apps
Browser apps
Google ID
MSA
Azure AD
ADFS
Require
MFA
Allow/block
access
Block legacy
authentication
Force
password
reset
******
Limited
access
Controls
Employee & Partner
Users and Roles
Trusted &
Compliant Devices
Physical &
Virtual Location
Client apps &
Auth Method
Conditions
Machine
learning
Policies
Real time
Evaluation
Engine
Session
Risk
3
40TB
Effective
policy

Conditional Access
46
• Retour d'expérience client :
• Règle: Pas de connexion pour tous les devices qui ne sont pas dans Azure Ad et dans
Intune
• Scope : Tous les utilisateurs
À votre avis, il se passera quoi ?

Conditional Access
47
• Exemples:
• Exiger le MFA
• Refuser l’accès en lecture pour les utilisateurs standard
• Refuser l’accès si Device non managé – Non Conforme
• Exiger le MFA si l’utilisateur est dans un pays risqué
• Bloquer toutes les connexions depuis un navigateur
• Bloquer toute les legacy authentication
Verifiez avec le What IF avant le passage en production !

Conditional Access
48
• Bonnes pratiques:
• Utilisez le !
• Trustez les locations
• Trustez les Range IP
• What if – attention avant production
• Pensez aux exclusions – important 
• Les nouveautés:
• Block legacy Auth
• RBAC – Granulaire
• Limiter les accès au niveau des data classification
• Limiter les accès pour OWA

Azure AD Identity Protection
49
Azure AD Identity Protection :
• Détection des vulnérabilités
• Remédiations
• Action automatique en fonction des activités suspectes détectées
• 6 events à risque :
- Utilisateurs suspects : Hors Ligne
- Connexion depuis des IP non connues – anonymes : Temps réel
- Connexion depuis des emplacements inconnus: Temps réel
- Connexion depuis un appareil infecté: Hors Ligne
- Connexion depuis un emplacement inhabituel: Hors Ligne
- Connexion depuis une IP qui contient une activité suspecte : Hors Ligne
- Legacy Authentication

50
Type de détection:
Temps réel
5 à 10 minutes
Hors ligne
2 à 24 heurs
Niveau de risque : Elevé – Moyen – Faible

51
Source : Microsoft

52
Exemple : stratégies de remédiation:
• Bloquer l’accès si la connexion est jugée comme «Risquée»:
• Activation de l’Azure MFA pour tous les utilisateurs

53
• Les nouveautés:
• End user activity reporting – rapport détaillé
• Machine Learning
• Azure ATP intégration SecOps

Smart Lock & password protection
54

Smart Lock & password protection
55

Azure AD Application Proxy
56
• VPN et DMZ on pourra oublier ?

Retour d’expérience
57
• Client 1 – Architecture worldwide :
• Plusieurs forêts AD
• RBAC
• Séparation d’entité
• Client 2 – client déjà présent dans Office 365 mais pas d’AD local ..
• Réécriture des comptes office 365 dans l’Ad
• Sans perte le match pour garder l’identité hybride ..
• Client 3 – plus de 100 000 objets
• SQL
• HA – staging mode

Présentation AzureAD ( Identité hybrides et securité)

Contenu connexe

Tendances

Similaire à Présentation AzureAD ( Identité hybrides et securité)

Plus de ☁️Seyfallah Tagrerout☁ [MVP]

Présentation AzureAD ( Identité hybrides et securité)

Notes de l'éditeur