[Azure VWD] Liste des Prérequis et Bonnes pratiques pour vos déploiements Azure Windows Virtual Desktop

 

Introduction

L’équipe Azure en charge de l’offre Desktop-as-a-Service (DaaS), connue sous le nom Windows Virtual Desktop (WVD) a récemment publié plusieurs sessions/vidéos assez intéressantes sur le sujet, vous permettant de préparer, déployer, sécuriser, optimiser et troubleshooter vos déploiements Azure WVD.

Je vous partage à travers ce Blog post les liens des différentes sessions recordées.

Enjoy the training :).

 

Liens utiles 

Ci-après les liens des sessions dont je vous ai parlé précédemment, pour une meilleure compréhension du sujet, je vous recommande de suivre/visionner les vidéos dans l’ordre suivant :

Préparez votre environnement Azure Windows Virtual Desktop

https://lnkd.in/dnSrYpX

Déployer votre environnement Azure Windows Virtual Desktop via le Portail Azure

https://lnkd.in/d2Addne

Bonnes pratiques relatives au Profile Management avec FSLogix

https://lnkd.in/dM4G2jr

Moderniser votre Stratégie de gestion d’image pour Azure Windows Virtual Desktop

https://lnkd.in/decx2R3

Optimiser votre déploiement Azure Windows Virtual Desktop

https://lnkd.in/deq99Xy

Sécuriser votre déploiement Azure Windows Virtual Desktop

https://lnkd.in/d3wJEPQ

Troubleshooter & Diagnostiquer votre environnement Azure Windows Virtual Desktop

https://lnkd.in/d3FYk9u

Deployment best practices for latency sensitive workloads

https://lnkd.in/dSGAssZ

 

A bientôt,

 

 

[Azure Free eBook] Inside the Microsoft Operations Management Suite

Azure Guys, Hello again,

Je voulais partager avec vous un (free) eBook Azure assez intéressant.

Il présente la suite Operations Management Suite (OMS) d’Azure et décrit pas mal de fonctionnalité intéressante, notamment le Backup & Recovery sur Azure (Azure Backup & ASR), Azure Automation, Desired State Configuration (DSC) ainsi que tous les services liés à l’analyse et configuration réseau Azure.

L’eBook est organisé en 12 Chapitres, à savoir :

• Chapter 1: Introduction and Onboarding
• Chapter 2: Searching and Presenting OMS Data
• Chapter 3: Alert Management
• Chapter 4: Configuration Assessment and Change Tracking
• Chapter 5: Working with Performance Data
• Chapter 6: Process Automation and Desired State Configuration
• Chapter 7: Backup and Disaster Recovery
• Chapter 8: Security Configuration and Event Analysis
• Chapter 9: Analyzing Network Data
• Chapter 10: Accessing OMS Data Programmatically
• Chapter 11: Custom MP Authoring
• Chapter 12: Cross Platform Management and Automation

 

Plusieurs scripts vous sont fournis avec l’eBook (cf Liens Github fournis dans l’eBook).

Vous pouvez télécharger l’eBook depuis le bouton Download ci-dessous :

 

 

[Azure Free Training] Lesson4 : Tout ce que vous devez savoir sur « Azure Policy »

 

Liste des premiers modules de la série « Gouvernance Azure »

Les trois premiers modules de la série « Gouvernance Azure » sont disponibles depuis les URLs suivantes :

[Azure Free Training] Lesson1 : Définissez votre Convention de Nommage Azure

[Azure Free Training] Lesson2 : Protégez vos ressources Azure, Appliquez des « Locks Azure »

[Azure Free Training] Lesson3 : Tout ce que vous devez savoir sur Azure Tags

 

Introduction

Si vous devez migrer des Workloads depuis votre Corporate Network (aka Onprem) vers Azure (Lift & Shift Mode) ou construire de nouvelles architectures Azure (« Cloud Native » Mode), notez que la Step1 de votre projet va consiste à définir un Modèle de Gouvernance Global pour Azure.

Comme illustré dans le schéma ci-dessus, le modèle de Gouvernance Azure (Azure Scaffold) est composé de :

• Convention de nommage (définition de vos naming standards pour vos ressources Azure)
• Modèle de délégation (RBAC)
• Policy (Stratégies Azure)
• Tags (Azure Resources Tags)
• Azure Locks
• Subscrption Design (Nombre d’abonnements à créer..etc)
• …Etc

 

Durant cette « Lesson 4 », nous allons découvrir un composant critique du Scaffold Azure qu’est « Azure Policy » ou « Stratégie Azure » en Français.

Azure Poliy est service de sécurité (et Gouvernance) Azure très puissant qui vous permet de définir et appliquer une politique de sécurité « Dès la concepton » (ou Security by Design en Anglais).

Azure Policy peut être utilisé pour renforcer la sécurité de votre environnement Azure en mettant en place des règles de sécurité telles que :

• Pas de déploiement de ressources Azure hors « France »
• Pas d’utilisation d’adresse IP Publique sur vos VMs
• Forcer l’utilisation de vos images Master Windows pour Azure VM
• Forcer le chiffrement des comptes de stockage Azure
• Auditer si des comptes propriétaires n’ont pas de MFA « activé »
• …

 

Avec Azure Policy, vos ressources Azure restent « Compliant » avec votre politique de sécurité existante, vous maitrisez aussi votre gouvernance global Azure en forçant vos règles/exigences de sécurité dès le déploiement de tout service Cloud Azure.

Consultez le document SlideShare ci-dessous pour en savoir plus, Enjoy :).

 

Step-by-step guide sur Azure Policy : Introduction & HowTo

Le document est disponible sur SlideShare, à cet URL.

Vous pouvez aussi le visualiser directement depuis ce post, voir Slide ci-dessous :

[Azure Governance] Lesson 4 : Azure Policy from ☁ Hicham KADIRI ☁

Ce Slide a été rédigé en Anglais (pour atteindre un public plus large) mais sera bientôt disponible en Français sur la même plateforme.

 

Next Lesson ?

Je travaille actuellement sur les autres « Lessons/Modules » du modèle de Gouvernance Global Azure, à savoir :

• Azure RBAC
• Azure Resources Groups
• Azure Automation

 

N’hésitez pas à vous abonner à mon Blog (ou à mon profil SlideShare) pour rester informé de toute nouvelle publication.

Sinon, vos Comments/Feedbacks sont bien évidemment les bienvenus :).

#HK

[Azure Toolbox #4] Azure Advisor : Introduction & HowTo

Introduction à Microsoft Azure Advisor 

Microsoft Azure Advisor est un Consultant Azure « Virtuel » et « Automatisé » qui vous aide à optimiser vos déploiements Cloud et réduire vos consommations Azure. Il s’appuie sur tout un ensemble de « Best Practices » et règles de conformité/sécurité standards.

En effet, Azure Advisor examine la configuration de tous vos services Azure déployés et vous propose des recommandations dans les domaines suivants

Haute Disponibilité (HA : High Availability)

Sécurité

Performance

Coût (Cost)

 

Grace à Azure Advisor, vous pouvez :

• Bénéficier de recommandations en termes de meilleures pratiques proactives, interactives et personnalisées.
• Améliorer les performances, la sécurité et la haute disponibilité de vos ressources Azure
• Réduire le coût/consommation Azure.
• Obtenir des recommandations avec des propositions d’actions intégrées.
  • Les recommandations proposées par Azure Advisor sont fournies avec des liens intégrés vous permettant d’implémenter directement les actions de remédiation.

 

Azure Advisor : ce que vous devez savoir !

Les recommandations fournies à travers Azure Advisor reposent sur les Best Practices courantes, telles que le placement de machines virtuelles (VM) dans des Groupes à haute disponibilité, Non-exposition des ports tels que RDP/SSH sur Internet…

Les recommandations de sécurité proviennent d’Azure Security Center. Alors que les données de facturation sont collectées à partir du portail Azure Enterprise, Azure Advisor peut analyser l’utilisation/consommation Azure et identifier les points pouvant réduire le coût tels que les VMs sous-utilisées. C’est la raison pour laquelle Azure Advisor, reste un outil assez puissant qui peut vous aider à renforcer votre gouvernance globale Azure.

Autorisations nécessaires pour accéder à Azure Advisor 

Les utilisateurs ayant les rôles suivants peuvent accéder à Azure Advisor et visualiser toutes les recommandations, et ce pour toutes les catégories :

• Propriétaires
• Contributeur
• Lecteur

 

Ressources pouvant être analysées/évaluées par Azure Advisor 

Azure Advisor peut évaluer la configuration des ressources Azure suivantes seulement :

• Machine Virtuelle Azure
• Groupes à haute disponibilité
• Passerelles d’application
• App Services
• Serveurs SQL
• Cache Azure pour Redis.

 

Azure Advisor : Prise en main

Faisons un tour d’horizon d’Azure Advisor !

Azure Advisor est accessible depuis « Tous les services /All services » ou simplement en saisissant « Advisor » depuis la barre de recherche du Portail Azure

Tip : Je vous recommande de l’ajouter en tant que « Service Favoris » en cliquant sur l’Etoile noire:

Comme montré dans la capture d’écran ci-dessous, Azure Advisor est composé de plusieurs onglets :

• Haute disponibilité : liste les recommandations qui vous aideront à augmenter la disponibilité de vos services Azure les plus critiques
• Sécurité : liste les recommandations qui vous permettent de détecter les menaces et vulnérabilités pouvant conduire à des failles de sécurité.
• Performance : liste les recommandations qui vous aideront à améliorer les performances de vos services Cloud Azure.
• Coût : liste les recommandations qui vous permettant d’optimiser et réduire vos coûts /consommations Azure

Il existe deux autres volets qui sont :

• Vue d’ensemble : cet onglet présente un résumé de toutes les recommandations, pour les 4 domaines/catégories (Sécurité, HA, Performance et Coût). Si vous souhaitez consulter les recommandations pour une catégorie spécifique, rendez-vous sur un des 4 onglets précédemment. eg : Onglet « Sécurité« : pour consulter les recommandations de sécurité).
• Tous : cet onglet liste toutes les recommandations pour les 4 catégories. Vous pouvez simplement cliquer sur une recommandation pour afficher plus de détails. Vous avez ensuite la possibilité de la reporter/ignorer ou de réaliser l’action de remédiation proposée.

Configurer Azure Advisor

Azure Advisor vous offre la possibilité de configurer les abonnements et groupes de ressources à analyser/évaluer.

Si vous voulez exclure certains abonnements ou groupes de ressources du scope d’Azure Advisor, eh bien cela peut être configuré en cliquant sur le bouton « Configurer » :

Vous pouvez ensuite, inclure ou exclure des abonnements ou groupes de ressources dans l’évaluation Azure Advisor :

Note : Par défaut, tous les abonnements Azure (et leurs RG associés) sont inclus dans le scope d’Azure Advisor.

 

Filtrer vos abonnements Azure

Vous pouvez configurer vos filtres pour n’afficher que les recommandations proposées pour un abonnement spécifique.

Cela peut être configuré depuis « Répertoire + abonnement »

Dans l’exemple suivant, le filtre d’abonnement global Azure sera modifié pour sélectionner que l’abonnement « Microsoft Azure Sponsorship » :

Comme montré dans la Screenshot ci-dessus, l’abonnement sélectionné depuis « Répertoire + abonnement » est automatiquement configuré au niveau d’Azure Advisor. Notez que vous pouvez également configurer ce filtre depuis le Dashbord Azure Advisor, depuis la liste déroulante « Abonnements« .

 

Filtrer vos ressources Azure

Vous avez également la possibilité de filtrer les types de ressources Azure pour lesquels vous voulez afficher les recommandations Azure Advisor.

Dans l’exemple suivant, le filtre « Type de ressource > Machines Virtuelles » sera configuré. Les recommandations affichées depuis le Dashbord Azure Advisor concernent uniquement celles qui s’appliquent aux VMs Azure :

 

Grouper vos recommandations par Abonnement

Azure Advisor vous permet d’organiser les recommandations Azure Advisor par Abonnement.

Cela peut être configuré en sélectionnant l’option « Grouper par abonnement » :

Afficher les détails sur les recommandations Azure Advisor

Comme indiqué précédemment, pour obtenir plus d’informations sur les recommandations proposées par Azure Advisor, il faut se rendre dans l’onglet « Tous » ou sur l’onglet correspondant à une catégorie spécifique.

Cliquez sur une recommandation pour en savoir plus. Dans l’exemple suivant, je vais cliquer sur « Utiliser des groupes à haute disponibilité….« :

Les informations détaillées suivantes sont affichées :

• La colonne « Machine Virtuelle« , liste les VMs impactées/concernées par la recommandation.
• La colonne « Actions recommandées« , vous permet d’implémenter l’action recommandée (création d’AS dans notre exemple: Availability Set).
• La colonne « Action » vous permet de reporter cette action ou de l’ignorer.

Dans mon cas, je peux simplement ignorer cette recommandation car il s’agit ici de VMs de Test/Demo.

En effet, un Groupe à haute disponibilité est plutôt destiné à des environnements de Production (Domain Controllers, SQL Server IaaS, ERP, Business App…etc).

 

Configurer la règle « Utilisation moyenne CPU » pour les VMs à analyser par Azure Advisor 

Par défaut, les VMs présentant une utilisation de <5 % CPU sont considérées comme étant « surdimensionnées », c’est la raison pour laquelle vous recevrez des recommandations vous indiquant des VMs sous-utilisées avec comme action « Redimensionnement Machine Virtuelle ». Si vous estimez que cette valeur est très basse, vous pouvez la modifier à tout moment en cliquant « Configurer » > « Règles » > sélectionnez l’abonnement concerné par cette modification > cliquez ensuite sur « Modifier« , enfin spécifier la valeur qui vous convient (<10% dans l’exemple suivant) :

 

Télécharger les rapports Azure Advisor 

Le service « Azure Advisor » vous offre la possibilité de télécharger les rapports des recommandations.

Deux types de rapports peuvent être générés :

• Rapport au format PDF
• Rapport au format CSV

Les rapports PDF sont présentables dans l’état, en revanche les rapports CSV doivent être formatés si vous devez les présenter à votre client ou votre responsable hiérarchique.

Voici un exemple de rapport CSV AzAdvisor format (Excel Data convertie)

Les rapports PDF générés ressemblent à l’image ci-dessous :

 

Azure Advisor : Pricing 

Azure Advisor est un service gratuit :).

Gérer Azure Advisor via Windows PowerShell

Je prépare actuellement un autre guide Step-by-Step sur l’utilisation d’Azure Advisor via Windows PowerShell (Az PowerShell Module).

Restez connectés :).

N’hésitez pas à vous abonner à mon Blog pour rester informé de toute nouvelle publication.

A bientôt,

#HK

[Azure Free Training] Lesson2 : Protégez vos ressources Azure, Appliquez des « Locks Azure »

Premier module de la série « Gouvernance Azure »

Le premier Module de la série « Gouvernance Azure » > « Azure Naming Convention » est disponible depuis l’URL suivante :

[Azure Free Training] Lesson1 : Définissez votre Convention de Nommage Azure

 

Introduction

Si vous devez migrer des Workloads depuis votre Corporate Network (aka Onprem) vers Azure (Lift & Shift Mode) ou construire de nouvelles architectures Azure (« Cloud Native » Mode), notez que la Step1 de votre projet va consiste à définir un Modèle de Gouvernance Global pour Azure.

Comme illustré dans le schéma ci-dessus, le modèle de Gouvernance Azure (Azure Scaffold) est composé de :

• Convention de nommage (définition de vos naming standards pour vos ressources Azure)
• Modèle de délégation (RBAC)
• Policies (Stratégies Azure)
• Tags (Azure Resources Tags)
• Azure Locks
• Subscrption Design (Nombre d’abonnements à créer..etc)
• …Etc

 

Durant la « Lesson 2 », nous allons découvrir la composante « Azure Locks » ou « Verrous Azure » en Français.

Il s’agit d’une Feature de sécurité Azure qui vous permet de protéger vos abonnements, Groupes de Ressources ou encore des ressources Azure spécifiques contre la modification ou suppression accidentelle.

 

Step-by-step guide sur Azure Locks : Introduction & HowTo

Le document est disponible sur SlideShare, à cet URL.

Vous pouvez aussi le visualiser directement depuis ce post, voir Slide ci-dessous :

[Azure Governance] Lesson 2 : Azure Locks from ☁ Hicham KADIRI ☁

Ce Slide a été rédigé en Anglais (pour atteindre un public plus large) mais sera bientôt disponible en Français sur la même plateforme.

 

Next Module : Azure Tags

La troisième Module « Azure Tags » est disponible à cet URL :

[Azure Free Training] Lesson3 : Tout ce que vous devez savoir sur Azure Tags

N’hésitez pas à vous abonner à mon Blog pour rester informé de toute nouvelle publication.

A bientôt,

#HK

[Azure Free Training] Formez-vous gratuitement aux nouvelles certifications Azure « AZ-100, AZ-101, AZ-200, AZ-201, AZ-300 » et « AZ-301 »

Microsoft a récemment ajouté de nouveaux modules/cours gratuits sur les nouvelles certifications Azure AZ-***

Ceux-ci sont proposés à travers la plateforme e-Learning « CloudSociety » et concerne les certifications Azure suivantes :

• AZ-100
• AZ-101
• AZ-200
• AZ-201
• AZ-300
• AZ-301

Pour rappel, les compétences Azure suivantes seront acquises après avoir suivi ces formations/cours :

• AZ-100: Microsoft Azure Infrastructure and Deployment

  • 15-20% sur la gestion des abonnements et des ressources Azure
  • 20-25% sur l’implémentation et la gestion du stockage
  • 20-25% sur le déploiement et la gestion des machines virtuelles
  • 20-25% sur la configuration et la gestion des réseaux virtuels
  • 15-20% sur la gestion des identités

 

• AZ-101: Microsoft Azure Integration and Security

  • 15-20% sur l’évaluation et l’exécution de migration de serveur vers Azure
  • 20-25% sur l’implémentation et la gestion des services d’application
  • 30-35% sur les réseaux virtuels avancés
  • 25-30% sur la sécurisation des identités

 

• AZ-200 : Microsoft Azure Developer Core Solutions

  • Select the appropriate cloud technology solution (15-20%)
  • Develop for cloud storage (30-35%)
  • Create Platform as a Service (PaaS) Solutions (35-40%)
  • Secure cloud solutions (15-20%)

 

• AZ-201 : Microsoft Azure Developer Advanced Solutions

  • Develop for an Azure cloud model (50-55%)
  • Implement cloud integration solutions (25-30%)
  • Develop Azure Cognitive Services, Bot, and IoT solutions (20-25%)

 

• AZ-300: Microsoft Azure Architect Technologies (beta)

  • Deploy and Configure Infrastructure (25-30%)
  • Implement Workloads and Security (20-25%)
  • Architect Cloud Technology Solutions (5-10%)
  • Create and Deploy Apps (5-10%)
  • Implement Authentication and Secure Data (5-10%)
  • Develop for the Cloud (20-25%)

 

• AZ-301: Microsoft Azure Architect Design (beta)

  • Determine Workload Requirements (10-15%)
  • Design for Identity and Security (20-25%)
  • Design a Data Platform Solution (15-20%)
  • Design a Business Continuity Strategy (15-20%)
  • Design for Deployment, Migration, and Integration (10-15%)
  • Design an Infrastructure Strategy (15-20%)

 

 

 

Liens utiles

Quand vous êtes prêts, les examens de certifications AZ-*** peuvent être planifiés via les liens suivants :

• Planifiez votre examen de certification AZ-100
• Planifiez votre examen de certification AZ-101 
• Planifiez votre examen de certification AZ-300
• Planifiez votre examen de certification AZ-301

Les examens de certifications AZ-200 et 201 sont encore en mode « Beta », à ne pas planifier dans l’immédiat car l’Exam/Questions Core risquent de changer complètement.

Enjoy the Training & Goodluck !

#HK

FGPP (Stratégies de mot de passe affinées) désormais prises en charge par Azure Active Directory Domain Services (Azure ADDS)

Introduction à Azure ADDS

AADDS (Azure Active Directory Domain Services) est une offre PaaS (Platform-as-a–Service) de Microsoft Azure, cette offre est aussi connue sous le nom de DCaaS (Domain Controller-as-a–Service).

Azure AD DS est une instance (Forêt AD standalone) Windows Server Active Directory managée par Microsoft, cela veut dire que Microsoft créé, déploie et manage les Domain Controller pour vous.

Vous n’avez plus à vous soucier de la sécurité de vos Domain Controllers (Patch Management, Hardening, Sécurité Physique…etc).

Consultez cet article pour en savoir plus sur Azure Active Directory Domain Services.

Note importante : Le fait que MS manage les Domain Controllers à votre place présente certaines limitations que vous devez prendre en considérations, voir cet article pour en savoir plus : https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-comparison > Rubrique « Compare Azure ADDS to DIY AD« 

Ancienne limitation/restriction relative à la stratégie (par défaut) de mot de passe d’une instance AADDS 

Par défaut, la durée de vie des mots des passe dont le hash est stocké dans une base Azure ADDS était définie à 90 jours.

Cette stratégie de mot de passe ne convient bien évidemment pas à tout le monde, par exemple :

• Une société ayant des exigences de sécurité fortes : durée de vie des mots de passe des Domain Admin et Comptes à Haut privilège à 60 voire 30 jours !
• Une société avec moins de crainte de sécurité ayant une stratégie de sécurité « Plus Relax » : durée de vie des mots de passe des Domain Admin et Comptes à Haut privilège à 180 jours voire 365 jours.

 

Plusieurs Customers (Clients) Azure ont donc remonté cette limitation (moi y compris :)) aux équipes MS Azure Corp.

Ces feedbacks ont été pris en compte et l’équipe Azure a fait un Goodjob sur cette partie en intégrant les stratégies de mots de passe affinées (FGPP : Fine-Grained Password Policy) au niveau des services ADDS Azure.

Note : si vous n’êtes pas encore familier avec les FGPP, je vous invite à consulter cet article.

 

Prérequis 

Vous devez bien évidemment disposer d’un abonnement Azure ainsi que :

• Une instance Azure AD (IDaaS)
• Une instance Azure ADDS configurée (DCaaS)
• Une machine d’Administration membre de votre domaine managé Azure ADDS

 

Useful Links

Si vous ne disposez pas encore de compte/abonnement Azure, je vous invite à en créer un depuis cette URL : https://azure.microsoft.com/fr-fr/free/

Si vous n’avez pas encore créer et configurer un domaine Managé Azure ADDS, je vous invite à suivre les instructions détaillées dans ce post : https://docs.microsoft.com/fr-fr/azure/active-directory-domain-services/active-directory-ds-getting-started

Pour joindre une machine d’administration à votre domaine Azure ADDS, suivez les instructions détaillées dans cet article : https://docs.microsoft.com/fr-fr/azure/active-directory-domain-services/active-directory-ds-admin-guide-join-windows-vm-portal

Dans l’exemple suivant, le DNS name configuré sur mon domaine Managé AADDS est hk.corp

 

Tout d’abord, vérifions la FGPP configurée par défaut sur un domaine managé Azure ADDS

Depuis votre machine d’administration membre du domaine managé, lancez la console DSAC (Active Directory Administrative Center) et développez : votre domaine managé > System > Password Settings Container, enfin double-cliquez sur ‘AADDSSTFPSO‘

Comme indiqué dans la Screenshot ci-dessous, la stratégie de mot de passe configurée par défaut sur votre domaine managé Azure ADDS a les caractéristiques/propriétés suivantes :

1. Longueur minimale du password : 7 caractères
2. Durée de vie des mots de passe : 90 Jours 
3. Le mot de passe doit respecter les règles de complexité : Oui

Note importante : La stratégie de sécurité par défaut (AADDSSTFPSO) ne peut être modifiée ni supprimée !

 

HowTo : Configurez une stratégie de mot de passe personnalisée pour votre domaine Managé Azure ADDS

Nous allons dans l’exemple suivant, créer et configurer une stratégie de sécurité personnalisée pour définir les paramètres suivants :

1. Longueur minimale du password : 16 caractères
2. Durée de vie des mots de passe : 60 Jours 
3. Le mot de passe doit respecter les règles de complexité : Oui

Les valeurs relatives aux options de verrouillage de compte (Lockout) respectent le standard de sécurité adopté aujourd’hui dans les entreprises, nous allons donc garder les mêmes valeurs, à savoir :

• Compte verrouillé suite à : 5 tentatives de connexion échouées
• Durée pendant laquelle le compte reste verrouillé : 30 minutes

 

Notez que cette nouvelle stratégie de sécurité (personnalisée) sera appliquée uniquement au groupe : Domain Admins

Comment ça marche ?

Suivez les instructions suivantes pour configurer votre stratégie de mots de passe au niveau de votre domaine AD managé AADDS :

• Ouvrez une Session Windows sur la machine d’administration membre de votre domaine managé Azure ADDS
• Lancez l’outil DSAC (ou DSAC.exe)
• Naviguez jusqu’au : System > Password Settings Container > Depuis le volet ‘Tasks’, cliquez sur ‘New’ > ‘Password Settings’

• Renseignez toutes les informations de configuration de votre nouvelle stratégie de sécurité, n’oubliez pas de spécifier le groupe « Domain Admins » au niveau de « Directly Applies To« , pour éviter que cette nouvelle stratégie de sécurité s’applique à tout le monde : un password lifetime pour un end user (utilisateur métier : basic/standard user) ne passera jamais :).

Note importante : veillez à bien décocher l’option « Protection from accidental deletion« , sinon la stratégie de sécurité ne pourra être créée (problème de permissions : by design sur l’instance Azure ADDS) : voir capture d’écran suivante avec le message d’erreur :

 

#HK | Just Another IT Guy

Installez votre Interface Azure CLI 2.0 sur une machine Windows

Prérequis 

Azure CLI 2.0 a été développé sous Python, l’installer sur un OS Windows client (ou serveur d’Administration) nécessite donc l’installation de Python pour Windows, en version 3.X ou ultérieur.

Nous allons donc commencer par télécharger et installer Python sur notre machine Windows 10 (LABWS10).

Python pour Windows peut être téléchargé gratuitement à l’URL suivante :

https://www.python.org/downloads/

Les deux versions (stables) disponibles lors de l’écriture de ce post sont  : 3.6.1 & 3.6.5

Une fois téléchargé, exécutez le fichier Python-..*.exe en tant qu’Administrateur.

L’assistant suivant apparaît, veillez à bien cochez l’option « Add Python 3.6 to PATH » et cliquez sur « -> Install Now » pour démarrer l’installation :

L’installation démarre …

Une fois installé, cliquez sur « Close » pour fermer l’assistant :

L’option « Add Python 3.6 to PATH » permet d’ajouter deux répertoires (d’Install et de scripts) utilisés par Python à la variable d’environnement : %Path%

Maintenant, ouvrez l’invite de commande et saisissez la commande suivante pour vérifier la bonne installation de python :

Python –version

 

Installer Azure CLI 2.0

Ouvrez l’Invite de commande (CMD.exe) en tant qu’Administrateur et saisissez la commande suivante pour installer Azure CLI 2.0 :

pip install –user azure-cli

Tous les Packages nécessaires requis par Azure CLI seront téléchargés et placés dans le répertoire suivant :

%UserProfile%\AppData\Roaming\Python\Python36\site-packages

Notez que votre machine Windows 10 doit être connectée à Internet pour télécharger et récupérer les données Azure CLI.

Si l’installation s’est effectuée avec succès, le résultat suivant apparaît à la fin d’exécution de la commande :

Tâches post-installation

Avant de commencer à utiliser votre interface Azure CLI 2.0, une tâche post-installation est à réaliser.

Il s’agit de la configuration /ajout du chemin contenant les fichiers Azure CLI à la variable d’environnement « Path ».

Pour ce faire, lancez l’outil « Sysdm.Cpl » depuis le Menu « Exécuter » ou la zone de recherche du Menu « Démarrer » et rendez-vous ensuite dans l’onglet « Paramètres systèmes avancés ». Enfin, cliquez sur « Variables d’environnement… »

La boite de dialogue suivante apparaît, sélectionnez la variable « Path » et cliquez sur « Modifier… » :

Maintenant cliquez sur « Nouveau » et spécifiez le chemin suivant :

%USERPROFILE%\AppData\Roaming\Python\Python36\Scripts

Si vous avez installé une version de Python autre que la 3.6 (e.g : version 3.x), le chemin devient : %USERPROFILE%\AppData\ Roaming\Python\Python3x\Scripts

 

Cliquez sur « OK » pour valider et fermer les boites de dialogues ouvertes.

L’interface Azure CLI 2.0 est représentée par un fichier .BAT nommé ‘Az.bat’, il est par défaut installé /placé dans le répertoire suivant : %USERPROFILE%\AppData\Roaming\Python\Python3x\Scripts

 

Maintenant, lancez CMD.exe en tant qu’Administrateur et saisissez Az

Le fichier Az.bat est appelé et le menu Azure CLI 2.0 suivant est affiché, de plus la liste complète des commandes disponibles est retournée :

Le script az.bat peut également être appelé depuis Windows PowerShell. Il suffit de saisir az depuis votre console PowerShell pour accéder au menu affiché précédemment sur l’invite de commande.

==========================================================================

Cet article est un extrait de l’eBook « Azure CLI 2.0 – Guide du Consultant Cloud » disponible ici.

[Azure Toolbox #3] AzureHubInfo Web Site : une ressource indisponible pour apprendre et suivre l’actualité d’Azure

Hi Folks,

Aujourd’hui j’aimerais partager avec vous une ressource indispensable que tout Consultant /Architecte /Ing ou Admin Cloud Azure doit garder dans sa toolbox.

Il s’agit de la plateforme Web AzureHubInfo disponible à l’URL suivante :

https://azureinfohub.azurewebsites.net

 

Cette plateforme regroupe des :

• (Free) eBooks et Whitepapers sur plusieurs services Cloud Azure
• Outils Azure
• Tous les liens vers la documentation officielle Microsoft (service Docs.microsoft.com > Rubrique Cloud/Azure)

 

De plus, ce outil web gratuit contient une fonctionnalité de recherche (Query/Search Tab) qui vous permet de rechercher et trouver rapidement des ressources sur un service Cloud spécifique (e.g : IA, Batch AI, AAD App Proxy…)

Je vous laisse faire le tour de la plateforme.

Enjoy !

#HK

[Azure CLI 2.0] HowTo #N°4 : Créer et gérer les Machines Virtuelles Azure (Azure VM)

 

Useful Info : Si vous n’avez pas encore consulté les 3 premiers HowTo Azure CLI 2.0, ceux-ci sont disponibles aux URLs ci-après:

HowTo #N°1 : Connecter l’interface Azure CLI 2.0 à votre abonnement Azure

HowTo #N°2 : Créer et gérer les groupes de ressources Azure

HowTo #N°3 Créer et gérer les réseaux virtuels Azure (VNET : Virtual Network)

 

Introduction

Azure VM (Virtual Machine) est l’une des offres IaaS (Infrastructure-as-a–Service) proposée par Microsoft sur sa Public Cloud Platform : Microsoft Azure.

Azure VM vous permet de créer et gérer des machines virtuelles Windows ou Linux hautement disponibles, Scalables et sécurisées.

Microsoft propose son offre Azure VM pour les deux modèles de déploiement : ASM (Azure Service Manager) et ARM : Azure Resource Manager.

Note : L’interface Azure CLI 2.0 étant disponible uniquement pour l’ARM, le mode ASM ne sera pas traité dans le présent article.

La création d’une VM Azure (ARM mode) peut se faire via :

Le nouveau portail Azure : portal.azure.com

Windows PowerShell : utilisation du module PS Azure

Azure CLI 2.0 : via l’utilisation de la commande az vm

Nous allons découvrir à travers cet article la troisième méthode qu’est l’utilisation de l’interface Azure CLI 2.0

Now let’s create & manage our Azure V(irtual) M(achine) via Azure CLI 2.0__O

 

HowTo : Créer et gérer les VMs Azure via Azure CLI 2.0

• Ouvrez une Session Windows sur votre machine d’administration sur laquelle Azure CLI 2.0 a été installée
• Lancez l’invite de commande (CMD.exe) en tant qu’Administrateur et saisissez az pour vérifier la disponibilité de l’interface Azure CLI 2.0
• Après avoir saisi et exécuté la commande az, le Menu suivant vous est retourné :

• La commande qui nous intéresse est VM. En effet, l’interface az dans le contexte VM vous permet de créer et gérer les Machines Virtuelles Azure (Windows ou Linux)
• Pour afficher toutes les commandes & sous-commandes liés à la création et gestion de VMs Azure, saisissez la commande : az vm -h

#1. Lister toutes les VMs disponibles au niveau de votre abonnement Azure

az vm list –output table

ou simplement

az vm list –out table

Note importante : si le compte connecté à l’interface Azure CLI 2.0 dispose d’un accès à plusieurs abonnements Azure, vous devez d’abord, sélectionner (définir) un abonnement avant de pouvoir lister les VMs qui y sont hébergées Pour ce faire, exécutez la commande az account list –out table comme montré ci-dessous, et définissez ensuite un abonnement Azure « comme étant ‘Actif' », via l’utilisation de la commande az account set -s ID_de_votre_abonnement

 

Astuce : si vous souhaitez lister que les VMs membres d’un groupe de ressources spécifique, exécutez la même commande utilisée précédemment suivie du paramètre -g « Nom_Groupe_de_Ressource » > e.g : az vm list -g hk-dev-rg –out table

 

#2. Démarrer une VM Azure

Dans l’exemple suivant, la VM « hk-dev-dc1 » faisant parti du groupe de ressources « hk-dev-rg » sera démarré :

az vm start -n hk-dev-dc1 -g hk-dev-rg

Astuce : vous pouvez utiliser le paramètre –no-wait pour lancer l’opération en « Background » et ne pas attendre la fin de celle-ci pour récupérer la main sur l’interface CLI, voir Screenshot ci-dessous :

 

#3. Obtenir des informations sur une VM Azure spécifique

Dans l’exemple suivant, nous allons collecter et afficher des informations sur la VM démarrée précédemment (hk-dev-dc1) :

az vm show –show-details -n hk-dev-dc1 -g hk-dev-rg –out table

 

#4. Arrêter une VM Azure 

Dans l’exemple suivant, nous allons arrêter la VM « hk-dev-dc1 »

az vm stop -n hk-dev-dc1 -g hk-dev-rg

Comme pour la commande az vm start, vous n’êtes pas obligé d’attendre la fin de l’opération, vous pouvez utiliser le paramètre –no-wait à la fin de la commande :

 

#5. Redémarrer une VM Azure 

Dans l’exemple suivant, la VM « hk-dev-tfs1 » sera redémarrée :

az vm restart -n hk-dev-tfs1 -g hk-dev-rg –no-wait

 

#6. Désallouer une VM Azure

Pour libérer les ressources consommées par une VM, la commande az vm deallocate est utilisée.

Dans l’exemple suivant, nous allons désallouer la VM hk-dev-sql1 faisant parti du groupe de ressources « hk-dev-rg »

az vm deallocate -n hk-dev-sql1 -g hk-dev-rg

La VM est désormais « Deallocated », ses ressources sont donc libérées et ne sont plus facturées :

 

#7. Lister toutes les tailles de VMs disponibles sur une région Azure spécifique

Dans l’exemple suivant, nous allons lister tous les Size de VM disponible au niveau de la région Azure « Europe de l’Ouest » > « WestEurope ».

az vm list-sizes –location WestEurope –output table

ou simplement

az vm list-sizes -l WestEurope -o table

 

#8. Lister toutes les tailles de VMs vers lesquelles une VM spécifique peut être Upgradée 

Dans l’exemple suivant, nous allons lister toutes les tailles de VMs vers lesquelles la VM « hk-dev-dc1 » pour être Resizée :

az vm list-vm-resize-options -n hk-dev-dc1 -g hk-dev-rg –out table

 

#9. Changer la taille (capacité) d’une VM Azure

Nous avons listé précédemment toutes les VMs vers lesquelles la VM « hk-dev-dc1 » peut être upgradée.

Nous allons maintenant utilisée la commande az vm resize pour upgrader les capacités de cette VM vers la VM size « Standard_A3 ». Pour ce faire, la commande suivante est utilisée :

az vm resize –size Standard_A3 -n hk-dev-dc1 -g hk-dev-rg 

Si vous vous rendez sur le (New) Portail Azure, et cliquez sur la VM en question, vous pouvez déjà constater que la taille (le Flag au niveau Propriétés de la VM) est déjà changé, et que la VM a été rebootée pour que l’augmentation des capacités soit prise en compte :

Une fois l’upgrade effectué, le message suivant vous est retourné :

 

#10. Mettre à jour (Updater) les propriétés d’une VM Azure

Dans l’exemple suivant, les propriétés de la VM « hk-dev-dc1 » seront updatées :

az vm update -n hk-dev-dc1 -g hk-dev-rg 

Cette commande est à exécuter après chaque changement /modification des propriétés et objets associés à une VM Azure.

 

#11. Supprimer une VM Azure

Dans l’exemple suivant, la VM « hk-dev-dc2 » sera supprimé : az vm delete -n hk-dev-dc2 -g hk-dev-rg –no-wait

Un message de confirmation vous est retourné, saisissez « Y » comme « Yes » pour confirmer la suppression :

Astuce  : vous pouvez bypasser cette option de confirmation en utilisant le paramètre –yes ou -y. La commande devient donc : az vm delete -n hk-dev-dc2 -g hk-dev-rg -y –no-wait

 

#12. Créer une VM Azure (Windows ou autre)

Dans l’exemple suivant, une VM Azure exécutant Windows Server 2016 (Edition Datacenter) sera provisionnée:

az vm create -n hk-dev-ws2016 -g hk-dev-rg –image Win2016Datacenter

Note : vous êtes invité à saisir le mot de passe du compte Administrateur

Pour provisionner une VM Azure CentOS, la commande suivante est utilisée :

az vm create -n hk-dev-cos -g hk-dev-rg –image CentOS

Si vous voulez provisionner une nouvelle VM Windows Server 2012 R2 Edition Datacenter de taille « Standard_A3 » et lui attacher un nouveau vDisk (Virtual Hard Drive) de données de 50GB, exécutez la commande ci-dessous :

az vm create -n hk-dev-ws2012R2 -g hk-dev-rg –image Win2012R2Datacenter –data-disk-sizes-gb 50 –size Standard_A3

Plusieurs dizaines de paramètres sont fournis avec la commande az vm create, n’hésitez pas à consulter le « Help » pour en savoir plus sur les autres sous-commandes /paramètres : az vm create -h

 

#13. Redéployer une VM Azure

Dans l’exemple suivant, la VM « hk-dev-dc1 » sera redéployé : az vm redeploy -n hk-dev-dc1 -g hk-dev-rg

Note importante : Une VM dont les ressources ont été désallouées ne peut être redéployée (clonée), vous devez donc vous assurer que la VM que vous souhaitez redéployer est bien démarrée, sinon le message d’erreur suivant vous est retourné :

 

#14. Générer un Template d’une VM Azure

Si vous voulez créer un VM Template à partir d’une VM Azure spécifique, eh bien vous devez utiliser la commande az vm capture.

La capture de la VM se fait en trois étapes :

• Désallouer la VM
• Généraliser la VM
• Capturer la VM

Dans l’exemple suivant, nous allons générer une VM Template à partir de la VM « hk-dev-dc1 », les commandes à exécuter sont donc :

az vm deallocate -n hk-dev-dc1 -g hk-dev-rg

az vm generalize -n hk-dev-dc1 -g hk-dev-rg

az vm capture -n hk-dev-dc1 -g hk-dev-rg –vhd-name-prefix dc-template

Si vous parcourez le compte de stockage hébergeant les fichiers (VHDs) de votre VM « Source », vous constaterez l’apparition de deux nouveaux fichiers : fichier .vhd et son fichier .json associé. Ces deux fichiers se trouvent dans : Compte de stockage > Conteneurs > System > Microsoft.Compute > Images > vhds 

Le fichier dc-template-vmTemplate.XXXXXXXX peut désormais être utilisé pour provisionner de nouvelles VMs Azure.

 

#15. Ouvrir un port spécifique sur une VM azure

Si votre VM fera (par exemple) office de Serveur Web, et que vous avez besoin d’ouvrir le port 80 (HTTP), la commande suivante est à exécuter : az vm open-port -n hk-dev-iis1 -g hk-dev-rg –port 80

 

Plusieurs HowTo Azure CLI 2.0 sont en cours de finalisation, so stay connected dear friends :).