[AzureAD PowerShell Module] Gérer Azure Active Directory via Windows PowerShell

 

Si vous êtes amenés à gérer et administrer un ou plusieurs tenants Azure AD au quotidien, et que vous souhaitez automatiser toutes les tâches et opérations répétitives et fastidieuses, eh bien sachez que vous êtes à la bonne adresse :).

Aujourd’hui, je vais vous parler d’un module PowerShell qui va vous faciliter la vie quand il s’agit de déployer, gérer, administrer mais aussi troubleshooter Azure Active Directory.

Il s’agit du module « AzureAD » (ou Azure Active Directory PowerShell for Graph).

Les Cmd-Lets fournies avec ce Module vous permettent de récupérer les données à partir de l’annuaire/service Azure Active Directory, créer de nouveaux objets, modifier et mettre à jour les objets existants, supprimer des objets AAD, mais aussi configurer votre tenant Azure AD et ses options /fonctionnalités associées.

Enfin, notez que le module AzureAD vous permet également de gérer vos AAD Application Proxy et Connecteurs.

HowTo : Installer le module PowerShell AzureAD

Le module AzureAD est disponible depuis la PowerShellGallery et peut être installer via un simple

Install-Module AzureAD

 

HowTo : Utiliser le module PowerShell AzureAD

Une fois installé, commencez par importer le module « AzureAD » en saisissant la commande suivante :

Import-Module AzureAD

ou simplement

ipmo AzureAD

Exécutez ensuite la commande suivante pour lister toutes les Cmd-lets du module PowerShell AzureAD :

Get-Command -Module AzureAD | ft -AutoSize

Vous pouvez connaitre le nombre exact des Cmd-lets fournies avec le module AzureAD en exécutant la commande ci-dessous :

(Get-Command -Module AzureAD).Count

164 Cmd-Lets au total sont fournies avec le module PowerShell AzureAD, cela vous permet d’automatiser presque toutes les opérations disponibles depuis le Nouveau Portail Azure (portal.azure.com)

Avant de pouvoir créer et gérer vos objets (users & groups) Azure AD, vous devez connecter votre Interface PowerShell à votre tenant AzureAD, pour ce faire, saisissez la commande suivante :

Connect-AzureAD

Vous êtes invités à renseigner votre compte Microsoft (ou Professionnel) pour vous connecter :

Comme montré ci-dessous, mon compte Azure a été connecté correctement :

Commençons maintenant par lister tous les users AzureAD existants, saisissez la commande suivante :

Get-AzureADUser

Pour créer un nouvel utilisateur AzureAD, la commande suivante sera utilisée :

Note : dans l’exemple suivant, nous allons créer un nouvel utilisateur avec les informations suivantes :

UPN : hicham.kadiri-demo@k-nd-k-group.com

GivenName : hicham.kadiri-demo

DisplayName : Hicham KADIRI

City : Paris

Country : France

Department : IT

Mot de passe : « MyP@ss0rd2018! »

 

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile $PasswordProfile.Password = « MyP@ss0rd2018! »

New-AzureADUser -City Paris -Country France -Department IT -DisplayName « Hicham KADIRI » -GivenName hicham.kadiri-demo -JobTitle « Azure Cloud Architect » -AccountEnabled $true -PostalCode 75000 -UserPrincipalName hicham.kadiri-demo@k-nd-k-group.com -PasswordProfile $PasswordProfile -MailNickName hicham.kadiri-demo

Pour supprimer cette fois-ci l’utilisateur créé précédemment, exécutez la commande suivante :

• Notez que vous devez d’abord exécutez la Cmd-let Get-AzureADUser pour récupérer l’ObjectID de l’utilisateur à supprimer (af3dbbdd-e51b-44e3-8944-91150d296fd4 dans l’exemple suivant) :
  • Remove-AzureADUser -ObjectId af3dbbdd-e51b-44e3-8944-91150d296fd4

Vous pouvez lister tous les domaines AAD déclarés/enregistrés en saisissant la commande suivante :

Get-AzureADDomain

La liste des devices enregistrés dans votre domaine Azure AD peut être obtenue via la commande suivante :

Get-AzureADDevice

Je vous invite à consulter cet article pour en savoir plus sur l’ensemble des Cmd-lets fournies avec le module AzureAD.

 

[New eBook] Microsoft Advanced Threat Analytics (ATA) – Design, Déploiement et Administration [1ère Edition]

A propos de cet eBook

Cet eBook présente la solution Microsoft ATA « Microsoft Advanced Threat Analytics”, à travers cet eBook vous apprendrez à concevoir, déployer, administrer et dépanner la solution Microsoft ATA.

De plus, l’auteur décrit et présente la solution en détails et de manière pragmatique, il s’appuie sur ses retours d’expérience terrain suite à la réalisation de différents projets ATA réalisés pour des clients grands compte.
L’auteur est un véritable expert de la solution, il travaille sur celle-ci depuis sa première version et a suivi toutes ses évolutions dans le temps, ce qui lui permet de vous faire un retour concret à travers cet eBook.

Enfin, plusieurs ressources sont fournies avec le présent eBook, notamment les Schémas Visio utilisés dans les différents chapitres.

 

Publics concernés par cet eBook

Cet eBook peut intéresser plusieurs populations IT :

RSSI
Architecte Infrastructure
Architecte sécurité
Architecte Réseau
Consultant Infrastructure /Sécurité
Ingénieur Systèmes /Infrastructure /Sécurité
Toute personne désirant apprendre « in-depth » Microsoft ATA

 

Sommaire 

L’eBook est organisé en 6 chapitres, voir sommaire ci-dessous :

Très bon eBook écrit par mon Bro Seyfallah TAGREROUT, MVP Cloud & Datacenter Management

L’eBook est disponible sur BecomeITexpert.com, cliquez sur l’image ci-après pour en savoir plus :

Read & Enjoy :).

[Azure Updates] Microsoft annonce la Disponibilité Générale (GA) de « Azure Service Health »

Hello Azure Guys,

Great News !!

L’équipe Azure Corp a annoncé aujourd’hui la disponibilité générale du Service « Azure Health Service », good news non 🙂 ?

Petit rappel sur ASH

Microsoft Azure Service Health vous permet de créer des tableaux de bord (Dashbords) personnalisés qui vous fournissent des informations pertinentes sur les éventuels problèmes détectés liés à vos ressources Cloud déployées. Ces informations comprennent des « Guidances & Support & Liens vers des Fix ».

Contrairement à la page publique « Statut » qui remonte plus des informations générales sur les services Azure, Azure Service Health vous remonte des informations personnalisées en fonction de ce que aurez défini au niveau des alertes de journal d’activité (Activity Log alerts). De plus, ASH vous aide à préparer/planifier votre maintenance et autres changements qui peuvent impacter la disponibilité de vos ressources Azure.

HowTo : créer vos alertes de journal d’activité 

Toutes les instructions sont détaillées ici.

Azure Health Service « In Action »

Je vous invite à consulter la vidéo ci-dessous pour en savoir plus sur Azure Service Health :

 

[Azure Tip of the Week] Lister toutes les Régions prises en charge par votre Abonnement (Subscription) Azure

Avant de déployer vos services Cloud Azure, il est recommandé de lister toutes les Régions Azure prises en charge par votre Abonnement pour savoir ou placer et/ou répliquer vos Workloads/Data Azure (pour HA/DR).

Liste les Régions Azure prises en charge via PowerShell

Le Module PowerShell « AzureRM » fournie une Cmd-let qui vous permet de lister toutes les Régions Azure supportées, il s’agit de « Get-AzureRMSubscription ».

Saisissez Get-AzureRmLocation | ft -AutoSize 

Liste les Régions Azure prises en charge via Azure CLI 2.0

L’interface Azure CLI 2.0 vous permet également de lister les Régions Azure prises en charge au niveau de votre abonnement, en exécutant la commande suivante :

az account list-locations

ou

az account list-locations -o table pour avoir un output format « Tableau« :

[Azure CLI 2.0] HowTo #N°7 Créer et gérer les Groupes de sécurité réseau Azure (NSG : Network Security Group)

 

Useful Info : Si vous n’avez pas encore consulté les 6 premiers HowTo Azure CLI 2.0, ceux-ci sont disponibles aux URLs ci-après:

HowTo #N°1 : Connecter l’interface Azure CLI 2.0 à votre abonnement Azure

HowTo #N°2 : Créer et gérer les groupes de ressources Azure

HowTo #N°3 Créer et gérer les réseaux virtuels Azure (VNET : Virtual Network)

HowTo #N°4 Créer et gérer les Machines Virtuelles Azure (Azure VM)

HowTo #N°5 : Gérer la facturation Azure (Azure Billing)

HowTo #N°6 Créer et gérer vos comptes de Stockage Azure

 

Introduction

Azure NSG (Network Security Groups) ou Groupes de Sécurité Réseau vous permettent de contrôler (autoriser ou refuser) le trafic entrant et sortant depuis et vers vos ressources Azure.

Les NSG sont basées sur des listes de règles de sécurité que vous créez/définissez manuellement. Notez que lors de la création d’un NGS, des règles par défaut sont générées automatiquement pour sécuriser certains trafics réseaux. Ces règles peuvent être bypassées en mettant en place des règles personnalisées.

Tip : Je vous invite à consulter cet article pour en savoir plus sur les NSG, leur fonctionnement et leur limitation.

 

La création d’un Groupe de Sécurité Réseau (NSG) peut se faire via :

Le nouveau portail Azure : portal.azure.com

Windows PowerShell : utilisation du module PS Azure

Azure CLI 2.0 : via l’utilisation de la commande az network nsg

 

Nous allons découvrir à travers cet article la troisième méthode qu’est l’utilisation de l’interface Azure CLI 2.0

Now let’s create & manage our Azure NSG via Azure CLI 2.0__O

 

HowTo : créer et gérer vos Groupes de Sécurité Réseau Azure (NGS)

Tout d’abord, je vous invite à saisir az network nsg -h pour en savoir plus sur les sous-commandes disponibles :

Pour lister tous les NSG existants, saisissez la commande suivante : az network nsg list 

Tip : pour une meilleure visibilité de la commande output, saisissez az network nsg list –out table

Commencez par créer un groupe de Ressource 

Azure ARM (Azure Resource Manager) introduit le concept des Groupes de ressources (RG : Resource Group). Ces derniers font office de « Conteneur » pour grouper et gérer les ressources Azure de manière centralisée.

Dans notre cas, nous allons créer un groupe de ressource pour regrouper les différents NSG Azure que nous allons créer par la suite.

Exécutez donc la commande suivante pour créer un nouveau groupe de ressource (nommé hk-demo-howto7) au niveau de la région Europe de l’Ouest (WestEurope)

az group create -n hk-demo-howto7 -l WestEurope

Maintenant que notre Groupe de Ressource est créé, nous allons créer notre premier Groupe de Sécurité Réseau Azure. Pour ce faire, exécutez la commande suivante (NSG nommé hk-demo-nsg dans l’exemple suivant) :

az network nsg create -n hk-demo-nsg -l WestEurope -g hk-demo-howto7

Vous pouvez également ajouter des « Tags » à vos NSG lors de leur création, dans l’exemple suivant nous allons créer un nouveau NSG Taggé « very_secure_network » :

az network nsg create -n hk-demo-nsg-vsecure -l WestEurope -g hk-demo-howto7 –tags very_secure_perimeter no_80 no_22 no_21

Pour afficher des informations détaillées sur un NSG spécifique, la commande suivante est à exécuter (hk-demo-nsg-vsecure dans l’exemple suivant) :

az network nsg show -n hk-demo-nsg-vsecure -g hk-demo-howto7

Enfin, si vous souhaitez supprimer un NSG, exécutez la commande suivante (hk-demo-nsg-vsecure dans l’exemple suivant) :

az network nsg delete -n hk-demo-nsg-vsecure -g hk-demo-howto7

Plusieurs HowTo Azure CLI (N°8/9 et 10) arrivent bientôt, so let’s keep in touch :).

A bientôt

#HK

[Information Security News] Important : Nouvelle Vulnérabilité liée à Samba 4 – Active Directory Domain Controller [CVE-2018-1057]

Echo « Hello Security Guys »,

Les équipes Samba ont récemment découvert une vulnérabilité « Critique » sur Samba 4 (Mode : Domain Controller Active Directory) : (CVE-2018-1057)

La bonne nouvelle c’est que cette Vulnérabilité n’impacte en aucun cas Samba en « NT ou File Server » mode.

En outre, selon les informations remontées par l’équipe Samba sur le Wiki.samba, cette Vulnérabilité permettrait à n’importe utilisateur du authentifié de modifier le mot de passe de tout autre utilisateur du réseau et récupérer ses accès, cela inclut également les mots de passes des comptes à « Haut privilèges », tels que les Admins du domaine et Administrateurs locaux.

Cette faille peut être exploitée via une simple connexion LDAP suffit.

Je vous invite à prendre le temps de lire cet article pour en savoir plus sur cette vulnérabilité et les instructions à suivre pour corriger cette faite.

A CORRIGER IMMÉDIATEMENT !!

Etendre son infrastructure Active Directory vers Azure Active Directory | Design Considerations Guide

Bonjour tout le monde,

Si vous souhaitez étendre votre infrastructure Active Directory (OnPrem) vers le Cloud (Azure), Microsoft propose un outil All-in-one (AADC : Azure AD Connect) qui vous permet de synchroniser votre annuaire AD vers l’offre IDaaS (IDentity-as–a-Service) de Microsoft qu’est Azure Active Directory.

Pour étendre son AD vers Azure AD, plusieurs options & scénarios sont possibles, à savoir :

Fédération d’identité à l’aide des services ADFS
PHS (Password Hash Synchronization) : Synchronisation de l’annuaire AD local avec Azure AD & envoi d’une copie de la base AD vers Azure AD (groupes, comptes utilisateurs et leurs password associés)
PTA (Pass-Through Authentication) : Synchronisation de l’annuaire AD local avec Azure AD & envoi d’une copie de la base AD vers Azure AD (groupes, comptes utilisateurs seulements, sans mots de passe, ceux-ci restent OnPrem).

Chaque scénario présente des avantages et des inconvénients, et selon le besoin de votre client final, un ou plusieurs Options/Scénarios peuvent être adoptés.

Pour vous aider à prendre la meilleure décision, et suite à plusieurs REX clients, j’ai décidé de rédiger et partager avec la communauté un document détaillant toutes les informations dont vous aurez besoin pour Designer correctement votre future Hybrid IDentity Management solution.

Le document est disponible sur Slideshare (Read-Only mode) et en téléchargement sur la Gallery TechNet.

Vos feedbacks sont les bienvenus.

#HK

[Azure Toolbox #2] Tool of the Week : MAVMRA (Microsoft Azure Virtual Machine Readiness Assessment)

MAVMRA, qu’est-ce que c’est ?

Si vous souhaitez migrer vos Machines Virtuelles OnPrem vers Azure, vous devez d’abord auditer l’existant pour pouvoir sizer vos Machines Virtuelles Azure et pouvoir répondre à la question suivante :

Quelles Machines Virtuelles Azure aurais-je besoin pour telle ou telle VM OnPrem.

Si vous documentez bien vos environnements et que vous disposez d’une solution de Monitoring/Inventory existante, cela peut vous aider à collecter des informations sur votre infrastructure existante, en revanche, si vous avez aucune visibilité sur l’existant, eh bien l’outil MAVMRA peut vous aider à partir du bon pied quand il s’agit de migrer des Workload from vos Datanceters OnPrem vers Azure.

MAVMRA (pour Microsoft Azure Virtual Machine Readiness Assessment) est un outil qui vous permet de réaliser une évaluation de la configuration de vos VMs existantes et détecter d’éventuels problèmes de configuration à corriger avant migration vers Azure.

 

Technologies/Services pris en charge par MAVMRA

MAVMRA vous permet de réaliser un assessment complet des serveurs/technologies suivantes :

Windows Server Active Directory : Contrôleur de domaine AD (DC : Domain Controller)

Microsoft SharePoint : Serveur SharePoint

Microsoft SQL Server : Serveur SQL

 

MAVMRA : Prérequis

Je vous invite à télécharger le document PDF suivant et prendre connaissance de tous les prérequis avant d’installer l’outil MAVMRA :

Note importante : La machine (Physique ou Virtuelle) qui servira de serveur MAVMRA, doit obligatoirement être jointe à un domaine AD pour pouvoir exécuter à distance les différents tests d’assessment et de collecte d’informations sur votre infrastructure système Windows Server existante.

 

How To : Installer MAVMRA

Bon, l’installation de MAVMRA est assez simple, choisissez un emplacement d’installation (%PROGRAMFILES% par défaut), et cliquez sur « Install » pour démarrer l’installation :

Une fois installé, cliquez sur « Close » pour lancez l’assistant de configuration :

Note : laissez la case à cocher « Launch Microsoft Azure Virtual Machine Readiness Assessment » cochée

 

How To : Configurer MAVMRA

L’assistant de configuration MAVMRA suivant apparaît, il est composé de 6 volets.

Sélectionnez le type de service/technologie pour le(la) quel(le) effectuer l’Assessment.

Danns l’exemple suivant, nous allons évaluer la configuration des Contrôleurs de domaine, Active Directory est donc sélectionnée comme option :

Les prérequis suivants doivent être OK pour que MAVMRA puisse réaliser son Assessment :

L’assistant MAVMRA comprend 13 questions auxquelles vous devez répondre pour une meilleure évaluation de votre infrastructure Windows Server existante :

Question 1/13 de l’assistant de configuration MAVMRA :

Quand vous aurez répondu à toutes les questions, l’évaluation de votre infrastructure (AD dans notre exemple) démarre :

Dès que l’évaluation/collecte de données est terminée, deux rapports vous sont proposés. Cliquez sur « View Reports » pour afficher leur emplacement :

Les deux rapports automatiquement générés par MAVMRA sont les suivants :

Le premier document « DOCx file » : représente le rapport complet détaillant toutes les Steps pour réussir la migration de vos Workload vers Azure

 

La second document (XLS file) : regroupe tous les problèmes (Issues) détectés pouvant empêcher la migration de vos VMs vers Azure. Cela vous permet d’avoir un Overview sur toutes les corrections/plan de remédiation à mettre en place pour réussir votre migration vers Azure.

 

Télécharger Microsoft Azure Virtual Machine Readiness Assessment

L’outil Microsoft Azure Virtual Machine Readiness Assessment peut être téléchargé gratuitement depuis le bouton ci-dessous.

 

 

A bientôt

#HK

[Remote Desktop Client – What’s New] Le Client Web Remote Desktop « HTML5 » bientôt disponible !

Le Remote Desktop est une technologie utilisée aujourd’hui par la quasi-totalité des entreprises, que ce soit pour du support technique (Session Shadowing pour les end-users) ou pour permettre aux téléworkers d’accéder aux applications d’entreprise.

Microsoft propose depuis plusieurs années déjà, une application « Lourde » nommée Microsoft Remote Desktop pour différentes plateformes (Cross-Platform Remote Desktop Client) :

Mac OS

Télécharger Microsoft Remote Desktop pour MacOS X

Android

Télécharger Microsoft Remote Desktop pour Android

iOS

Télécharger Microsoft Remote Desktop pour iOS

Avec l’arrivé du Cloud, la vision (à court terme) de plusieurs décideurs informatique, est de proposer à leur End-users un environnement « Full Cloudisé » et uniquement un client léger (e.g : Chrome Book) pour l’accès aux applications hébergées dans le Cloud (SaaS Apps : Software-as-a-Service Applications).

Avec cette vision, aucun client « Lourd » ou application locale ne doit être installée sur le poste client (Thin Client). L’accès se fait principalement depuis un Web Browser.

Pour répondre à ce type de besoin (ou d’architecture), Microsoft a introduit le nouveau Remote Desktop Web nommé « RD Web Client ». Ce client Web est basé sur HTML5 et prend en charge la plupart des navigateurs Web (Edge, IE, Chrome, Firefox, etc.).

Selon les informations communiquées par l’équipe Remote Desktop Services Corp, RD Web Client ne prend malheureusement pas en charge les Clients « Mobile ».

RD Web Client est disponible (au moment de la rédaction du présent post) en Preview et supporte déjà les fonctionnalités classiques de l’outil RDC (Remote Desktop Connection : MSTSC.exe) telles que :

Clipboard (Copier/Coller)

Redirection d’imprimante

Remote Audio

 

Prerequis à prendre en considération 

Pour pouvoir déployer le Client Web Remote Desktop, votre infrastructure RDS cible doit remplir les conditions suivantes :

Tous les serveurs RDS du déploiement (RDCB, RDSH, RDWA et RDG) doivent exécuter Windows Server 2016.

Votre déploiement RDS ne doit pas être configuré avec des CAL RDS « Per-Device /Par-Périphérique »

La  KB4025334 doit être installée sur votre serveur RDG (Remote Desktop Gateway).

Les serveurs RD Web Access et Gateway doivent utiliser des certificats SSL signés par une CA (Certification Authority) Publique.

Enfin, côté client, il faut bien évidemment utiliser des Web Browsers prenant en charge de la HTML5. IE11, Edge, Chrome, Firefox et Safari le sont, donc all is Ok :).

 

Installation du RD Web Client

Je détaillerai l’installation du Client Web Remote Desktop lors d’un prochain post, comme expliqué précédemment, il est aujourd’hui en « Preview Version ». Je publierai un HowTo détaillé directement sur la Finale Preview ^_^.

Ce que vous devez savoir, c’est que le RD Web Client est simplement une Extension à ajouter au niveau du service de rôle « RD Web Access ».

L’équipe RDS Corp travaillent sur une nouvelle Cmd-let qui permettra de faciliter le déploiement de ce client : Install-RDWebClientPackage

L’affichage des ressources RDS déportées directement sur le RD Web Client ressemble à l’image ci-dessous :

Je vous en dirais pas plus :),

Keep in touch

#HK

[Microsoft Azure] Toutes les Security « Best Practices » et « Patterns » que vous devez connaître !

Hi Azure Guys,

Microsoft a récemment publié un guide complet détaillant toutes les bonnes pratiques liées à la Sécurité Azure, cela comprend :

• Azure boundary security best practices
• Azure database security best practices
• Azure data security and encryption best practices
• Azure identity management and access control security best practices
• Azure network security best practices
• Azure operational security best practices
• Azure PaaS Best Practices
• Azure Service Fabric security best practices
• Best practices for Azure VM security
• Implementing a secure hybrid network architecture in Azure
• Internet of Things security best practices
• Securing PaaS databases in Azure
• Securing PaaS web and mobile applications using Azure App Service
• Securing PaaS web and mobile applications using Azure Storage
• Security best practices for IaaS workloads in Azure

 

Je vous invite à consulter les liens ci-dessus et prendre connaissance de toutes les Security considerations & options lors de la phase « Design » de votre projet Cloud Azure.

Source : https://docs.microsoft.com/en-us/azure/security/security-best-practices-and-patterns