[Azure – Tip of the Week] HowTo : Lister et Supprimer tous vos Groupes de Ressources (RG) Vides !

Voici notre == Azure Tip of The Week ==

Lister et Supprimer tous les Groupes de Ressources Azure « Vides » !

Il arrive souvent que mes clients se retrouvent avec plusieurs dizaines voire des centaines de Groupes de Ressources Azure provisionnés mais vides !

Ce sont souvent les RG (Resources Group) crées dans des abonnements dédiés aux Dev, Test, Training, QUAL, Pré-Prod … qui sont la plupart du temps oubliés et continuent à vivre pendant des semaines voire des mois sans contenir aucune ressource Azure.

La solution ? 😦

Le script PowerShell ci-dessous vous permet justement de faire un CleanUp de vos environnements Azure en listant et supprimant tous ces RG vides.

Une fois exécuté, le script analyse tous vos RGs et vous retourne la liste de tous ceux ne contenant aucun objet/service Azure.

Vous êtes ensuite invités à confirmer (ou pas) la suppression des Groupes de ressources trouvés, en saisissant O (comme Oui) ou N (comme Non), dans l’exemple suivant, le RG « Default-AzureBatch-WestEurope » a été trouvé :

Ce Script PS peut être téléchargé depuis la MS Gallery TechNet, en cliquant sur le bouton suivant :

 

[Portail Azure] Tip of the Week : Configurer la déconnexion automatique (Auto Logout) du Portail Azure après une période d’inactivité !

Introduction

Le Portail Azure vous offre la possibilité de configurer les options de déconnexion automatique (Automatic Logout) après une certaine période d’inactivité.

Par défaut, une Session ouverte sur le Portail Azure n’expire jamais car le délai d’inactivité défini par défaut est « Jamais« .

Cette valeur doit obligatoirement être changée dès la première connexion car vous vous exposez à un risque assez important en laissant une Session ouverte qui n’expire jamais sur le Portail Azure.

HowTo : Configurer la déconnexion automatique du Portail Azure après une période d’inactivité !

La procédure est simple, connectez-vous sur le Portail Azure (https://portal.azure.com), et cliquez ensuite sur le bouton « Paramètres »

Sous « Me déconnecter lorsque je suis inactif« , sélectionnez le délai qui vous convient et cliquez ensuite sur « Appliquer »

Note : option recommandée par #HK est « Au bout de 15 minutes« . C’est toujours plus Secure qu’un délai d’inactivité d’une ou deux heures.

Configurez un délai d’inactivité « Personnalisé »

Sachez que vous pouvez définir un délai d’inactivité personnalisé (faisant pas parti de la liste par défaut proposée dans le Portail). Pour ce faire, il suffit de sélectionner « Durée personnalisée » et spécifier ensuite le délai d’inactivité (en HH et MM) qui vous convient le plus.

Dans l’exemple suivant, 3 heures a été spécifié comme délai personnalisé :

#HK

[Portail Azure – What’s New] Vous pouvez désormais choisir un Nouveau mode d’affichage : « Accueil »

Un nouveau mode d’affichage est désormais disponible sur le Portail Azure (https://portal.azure.com)

Une fois connecté, vous remarquerez l’apparition du menu suivant :

« Choisir votre vue par défaut : Accueil <> Tableau de bord »

Voir Capture d’écran ci-dessous :

Le nouveau mode d’affichage « Accueil » est organisé en plusieurs volets :

• Liste des services Azure disponibles
• Liste des Ressources Azure récemment déployées
• …

 

Quant au mode « Tableau de bord« , celui-ci correspond à l’ancienne page par défaut affichée lorsque vous êtes connectés sur le portail Azure.

Cochez l’option qui vous convient et cliquez ensuite sur « Enregistrer« .

Note : le nouveau mode d’affichage choisi sera pris en compte lors de la prochaine connexion.

 

Vous pouvez à tout moment changer de mode d’affichage en cliquant sur le bouton « Paramètres »

[Azure VM – Toolbox] Tool #2 : VMChooser

Introduction

AzureVMChooser est un WebTool qui vous aide à sélectionner/choisir l’offre Azure VM qui répond le plus à votre besoin.

Cet outil vous permet de spécifier vos critères en matière de CPU/RAM/ACU/Storage… et analyse pour vous toutes les offres Azure VM proposées par Microsoft.

Le résultat est ensuite retourné sous forme de tableau, comprenant le prix /heure et /mois.

Plusieurs paramètres/critères peuvent être spécifiés sur VMChooser :

• CPU
• RAM
• ACU (Azure Compute Units)
• Type de Stockage : HHD ou SSD
• Capacité Stockage Min
• IOPS souhaité
• Région Azure
• Bande passante Min
• Type VM Tier (Standard, Basic…etc)
• Type de Contrat (PayG, Instance Reservée 1/3ans…)
• Type Devise (€, $…etc)

 

DEMO

Dans l’exemple suivant, je souhaite connaître les séries de VM Azure pouvant répondre à mon besoin ci-dessous :

• CPU : 4 (Core)
• RAM : 8 GB
• ACU : 200
• Type de Stockage : SSD
• Capacité Stockage Min : 512 GB
• IOPS souhaité : 500
• Région Azure : France Central
• Bande passante Min : peu importe (pas d’exigence spécifique)
• Type VM Tier : Standard
• Type d’OS : Windows 
• Type de Contrat : Reserved Instance 3 ans
• Type Device : Euro (€)

 

Ces critères ont donc été renseignés dans les différents onglets de VMChooser :

#1 : Onglet « Compute »

#2 : Onglet « Storage »

#3 : Onglet « Attributes »

#4 : Onglet « Optimize »

#5 : Onglet « Settings »

Comme montré dans la capture d’écran ci-dessus, le champs « How many results do you want to see » vous indique que (par défaut) seuls 5 résultats vous seront retournés. En fonction des critères renseignés, le résultat peut comprendre plus que 5 lignes (dans le tableau), c’est la raison pour laquelle je vous recommande de spécifier (100) comme valeur du champ « How many results…etc »

Enfin, cliquez sur le bouton « Find my t-shirt size ! » pour analyser et lister toutes les VMs correspondant à vos critères.

Dans mon cas, la liste de VMs suivante m’a été retournée :

 

Vous aurez compris, AzureVMChooser est à garder dans sa Toolbox Azure :), car il devient vite pratique lorsque vous souhaitez analyser et trouver les séries de VM Azure qui correspondent le plus à vos besoins IaaS Azure.

 

Documentation AzureVMChooser

La documentation complète d’AzureVMChooser est disponible depuis l’URL suivante :

https://docs.vmchooser.com

 

A bientôt,

#HK

Différence entre Windows Server Active Directory (ADDS) vs Azure Active Directory (AAD) vs Azure AD Domain Services (AADDS)

Hi All,

Suite à la réalisation de plusieurs missions (Consulting /Expertise Azure), j’ai pu constater que plusieurs clients se posent toujours la même question quant il s’agit de gérer les identités et accès aux applications Cloud.

The Question est la suivante :

Quelle est la différence entre une infrastructure AD (Windows Server Active Directory) traditionnelle, Azure Active Directory (AAD) et Azure Active Directory Domain Services (AADDS) ?

Si vous vous posez aussi la même question, eh bien sachez que vous êtes à la bonne adresse :).

Let’s see la différence !

 

First of all, définissons ce que c’est Windows Server Active Directory, Azure AD et Azure ADDS !

Windows Server Active Directory (ADDS)

ADDS pour Active Directory Domain Services (aka AD pour Active Directory) est un rôle natif fourni (par défaut) sur toute nouvelle installation de Windows Server, que ce soit en mode GUI (Graphical User Interface) ou en mode Core (Installation Minimale)

Le rôle ADDS vous permet de déployer un annuaire AD (Base de données AD : NTDS.dit) pour stocker et gérer de manière centralisée tous vos objets réseaux et sécurité : ordinateurs, utilisateurs, imprimantes, partages, GPOs…etc

Cet annuaire permet également de stocker et gérer les données relatives aux applications pouvant être intégrées dans un AD et l’interroger via LDAP.

A l’aide de GPOs (Group Policy Objects) de domaine, vous pouvez également centraliser la configuration, le paramétrage et la sécurisation de vos comptes utilisateurs et ordinateurs du réseaux.

ADDS représente la base (Backbone) d’un réseau Microsoft d’entreprise.

 

Azure Active Directory (Azure AD)

Azure Active Directory (aka AAD) est l’offre IDaaS (IDentity-as–a–Service) proposé par Microsoft Azure.

AAD est une solution (service Cloud mutualisé >> Mulit-Tenant) de gestion des identités et des accès pour les applications (principalement WEB) hébergées et exécutées dans le Cloud Azure mais aussi celles hébergées dans vos Datacenters OnPrem(ise).

Je vous invite à regarder la vidéo suivante pour en savoir plus sur Azure AD :

La documentation complète sur Azure Active Directory est disponible à cet URL.

Azure Active Directory Domain Services (Azure ADDS)

AADDS (Azure Active Directory Domain Services) est une offre PaaS (Platform-as-a–Service) de Microsoft Azure, cette offre est aussi connue sous le nom de DCaaS (DomainController-as-a–Service).

Azure AD DS est une instance (Forêt AD standalone) Windows Server Active Directory managée par Microsoft, cela veut dire que Microsoft créé, déploie, Manage et sécurise les Domain Controller pour vous.

Vous n’avez plus à vous soucier de la sécurité de vos Domain Controllers (Patch Management, Hardening, Monitoring, Sécurité Physique…etc).

Consultez cet article pour en savoir plus sur Azure Active Directory Domain Services.

Note importante : Le fait que MS manage les Domain Controllers à votre place présente certaines limitations que vous devez prendre en considérations, voir cet article pour en savoir plus : https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-comparison > Rubrique « Compare Azure ADDS to DIY AD« 

 

Mais quelle est la différence entre un annuaire AD (traditionnel), un Azure AD et une instance Azure ADDS ?

Nous allons tout d’abord voir la différence entre Windows ADDS et Azure AD, car il s’agit des deux items souvent confondus par les clients.

Pour commencer, il faut toujours garder à l’esprit qu’un Azure AD n’est pas une solution remplaçante ou équivalente d’Active Directory dans le Cloud.

Quand on parle d’Active Directory (AD), on pense généralement à :

• Forêt /Domaine (Root & Child) Active Directory
• Contrôleurs de domaine (DC : Domain Controller) hébergés chez vous généralement et sur lesquels vous avez Full Control (qu’ils soient physiques ou virtuels).
• Service d’annuaire qui a une structure hiérarchique basée sur X.500
• Annuaire pouvant stocker de multiple type d’objet : utilisateurs, ordinateurs, imprimantes, GPOs, Sites AD, Partages…
• Service DNS utilisé en tant que « Locator » de ressources réseaux (traduction d’@IP en Host et vice versa)
• Annuaire pouvant être interrogé à l’aide du protocole LDAP (Lightweight Directory Access Protocol) ou LDAPS
• Authentification via Kerberos/NTLM
• Organisation des objets à l’aide d’OU (Organitional Unit)
• Configuration des postes clients (Ordinateurs) et utilisateurs à l’aide de GPO (Group Policy Object)
• Relation d’approbation entre deux ou plusieurs forêts/Domaine AD si ces dernières ont besoin de discuter et partager des ressources entre elles.

 

Un Azure AD quant à lui est :

• Un service Cloud (IDaaS) : cela veut dire que Microsoft conçoit, déploie et gère toute l’infrastructure (mutualisée) hébergeant Azure AD. Et vous, en tant que « Cloud Customer », vous consommez et payer ce service de manière mensuelle (en fonction du nombre d’utilisateurs s’authentifiant à travers votre Azure AD).
• Authentifie les utilisateurs aux niveaux des applications hébergées dans Azure ou celles hébergées chez vous OnPrem, via l’utilisation du service Azure AD Application Proxy.
• L’authentification se fait via Internet : Azure AD s’appuie principalement sur une authentification over Internet (HTTP/80 ou HTTPS/433).
• L’authentification ne se limite pas aux devices connectés sur le réseau Corporate de l’Entreprise mais plutôt to Any Device (vu que la communication avec un Azure AD se fait à l’aide des protocoles HTTP ou HTTPS, il suffit d’avoir un device connecté à Internet pour pouvoir communiquer avec un Azure AD.
• Azure AD s’appuie quant à lui sur des protocoles dis « Modern Authentication Protocol » tels que OpenID Conncet /Oauth2 /SAML /WS-FEDERATION (Goodbye Kerberos & NTLM ^_^).
• Contrairement à un Active Directory, Azure AD peut être interrogé via une interface REST API, appelée AD Graph API
• Azure AD étant un service Cloud (IDentity-as-a-Service), vous n’avez pas la main sur l’infrastructure hébergeant cette solution IAM, il n’y pas de gestion de GPO possible, la création d’une structure d’OU n’est pas non plus disponible car il s’agit d’une structure Plate (Flat).
• Azure AD stocke et gère uniquement les objets « Users » et « Groups » : pas de GPO, pas de partage réseau, pas de sites AD…etc
• La manière dont les objets AD classiques (users, computers, partages, groupes….) sont stockés et gérés est complètement différente entre un AD et Azure AD :
  • AD : Structure Hiérarchique (Hierarchical Structure)
  • Azure AD : Structure plate (Flat Structure)

Les deux schémas suivants illustre les deux types de structures :

 

En ce qui concerne Azure ADDS, c’est ni plus ni moins qu’un Active Directory traditionnelle déployé et géré par Microsoft. Les mêmes caractéristiques liées à AD listées ci-haut s’appliquent également à un Azure ADDS, ce dernier s’appuie sur Kerberos/NTLM pour authentifier les utilisateurs du réseau, permet l’organisation des objets dans des OU et vous permet de créer et configurer des GPOs. Il existe tout de même certaines limitations relatives à un Azure ADDS :

• Contrairement à un AD, Azure ADDS ne vous permet pas d’établir/créer de relations d’approbation entre plusieurs instances Azure ADDS.
• Vous n’avez plus la main sur les comptes « Admins Entreprises » et « Admins du Schéma »
• Et enfin, l’extension du schéma AD n’est pas possible sur un domaine (Managé) Azure ADDS.

 

Ce qu’il faut retenir !

Ce qu’il faut garder en tête :

Windows Server Active Directory (ou Services de Domaine Active Directory, ou encore Windows ADDS) est un rôle natif dans les plateformes Windows Server (from Windows Server 2000 :)). ADDS authentifie les utilisateurs via les protocoles Kerberos (ou NTLM), vous permet de créer tout type d’objet dans l’AD et les stocker dans des OUs. Ces objets peuvent être gérés à l’aide de GPO (User ou Computer).

Azure Active Directory (ou Azure AD, ou encore AAD), est une offre IDaaS (IDentity-as-a-Service) de Microsoft Azure, qui vous permet d’authentifier vos utilisateurs sur les applications Cloud (ou locales via l’utilisation d’Azure AD Application Proxy). Il peut héberger uniquement des objets « Utilisateurs » et « Groupes ». Ces objets peuvent être directement créés dans Azure AD (Cloud Only mode) ou récupérés depuis votre AD local via une synchronisation AD to AAD à l’aide de l’outil Azure AD Connect (Synchro Mode). Azure AD est conçu pour les Apps/Services Web, il s’appuie sur les protocoles Web Modernes tels que SAML /WS-FEDERATION /OAuth2…etc.

Quand vous déployez un Azure AD, vous êtes considérés comme un « Tenant » > Client Cloud

Votre Azure AD étant « Trusted » par défaut avec plusieurs annuaires (comme ceux de Facebook, Google..etc), vous pouvez automatiquement accéder à d’autres services Web en utilisant le même compte Azure AD (SSO by default).
Pour finir, il faut considérer Azure AD comme un « Federation Hub » car vous pouvez à tout moment « Trust » un autre Azure AD (d’autres clients/partenaires) et accéder à leurs ressources (et vice versa) en rien de temps !

Azure Active Directory Domain Services (ou Azure ADDS ou encore AADDS) est une offre DCaaS (DC-as-a-Service) de Microsoft Azure. Cette plateforme représente votre infrastructure AD locale dans Azure, la différence réside dans le fait que c’est Microsoft (le Cloud Provider) qui créé, déploie, gère et sécurise les Contrôleurs de domaine pour vous. Il s’agit d’une instance « Standalone » d’une forêt AD isolée et déconnectée de votre réseau local. Si vous avez des contraintes de sécurité relatives à la réplication de votre AD local vers Azure (vers des DCs hébergés sous forme de VMs Azure), l’offre Azure ADDS peut être une solution à adopter pour créer rapidement une nouvelle forêt dédiée pour Azure, pour authentifier (via Kerberos/NTLM) vos utilisateurs/machines Windows hébergés dans Azure. Azure ADDS reste aussi le meilleur compromis (Sécu, Réduction de coût /Réduction des efforts liés aux MCO) quand il s’agit de migrer des plateformes/locales Apps « Legacy » vers Azure et donc faire du Lift-and-Shift (ou As-Is) Migration.

 

That’s All,

A bientôt :).

#HK