Articles Tagués ‘Azure Free Training’

 

Liste des premiers modules de la série « Gouvernance Azure »

Les trois premiers modules de la série « Gouvernance Azure » sont disponibles depuis les URLs suivantes :

[Azure Free Training] Lesson1 : Définissez votre Convention de Nommage Azure

[Azure Free Training] Lesson2 : Protégez vos ressources Azure, Appliquez des « Locks Azure »

[Azure Free Training] Lesson3 : Tout ce que vous devez savoir sur Azure Tags

 

Introduction

Si vous devez migrer des Workloads depuis votre Corporate Network (aka Onprem) vers Azure (Lift & Shift Mode) ou construire de nouvelles architectures Azure (« Cloud Native » Mode), notez que la Step1 de votre projet va consiste à définir un Modèle de Gouvernance Global pour Azure.

Comme illustré dans le schéma ci-dessus, le modèle de Gouvernance Azure (Azure Scaffold) est composé de :

  • Convention de nommage (définition de vos naming standards pour vos ressources Azure)
  • Modèle de délégation (RBAC)
  • Policy (Stratégies Azure)
  • Tags (Azure Resources Tags)
  • Azure Locks
  • Subscrption Design (Nombre d’abonnements à créer..etc)
  • …Etc

 

Durant cette « Lesson 4 », nous allons découvrir un composant critique du Scaffold Azure qu’est « Azure Policy » ou « Stratégie Azure » en Français.

Azure Poliy est service de sécurité (et Gouvernance) Azure très puissant qui vous permet de définir et appliquer une politique de sécurité « Dès la concepton » (ou Security by Design en Anglais).

Azure Policy peut être utilisé pour renforcer la sécurité de votre environnement Azure en mettant en place des règles de sécurité telles que :

  • Pas de déploiement de ressources Azure hors « France »
  • Pas d’utilisation d’adresse IP Publique sur vos VMs
  • Forcer l’utilisation de vos images Master Windows pour Azure VM
  • Forcer le chiffrement des comptes de stockage Azure
  • Auditer si des comptes propriétaires n’ont pas de MFA « activé »

 

Avec Azure Policy, vos ressources Azure restent « Compliant » avec votre politique de sécurité existante, vous maitrisez aussi votre gouvernance global Azure en forçant vos règles/exigences de sécurité dès le déploiement de tout service Cloud Azure.

Consultez le document SlideShare ci-dessous pour en savoir plus, Enjoy :).

 

Step-by-step guide sur Azure Policy : Introduction & HowTo

Le document est disponible sur SlideShare, à cet URL.

Vous pouvez aussi le visualiser directement depuis ce post, voir Slide ci-dessous :

Ce Slide a été rédigé en Anglais (pour atteindre un public plus large) mais sera bientôt disponible en Français sur la même plateforme.

 

Next Lesson ?

Je travaille actuellement sur les autres « Lessons/Modules » du modèle de Gouvernance Global Azure, à savoir :

  • Azure RBAC
  • Azure Resources Groups
  • Azure Automation

 

N’hésitez pas à vous abonner à mon Blog (ou à mon profil SlideShare) pour rester informé de toute nouvelle publication.

Sinon, vos Comments/Feedbacks sont bien évidemment les bienvenus :).

#HK

Publicités

Introduction à Microsoft Azure Advisor 

Microsoft Azure Advisor est un Consultant Azure « Virtuel » et « Automatisé » qui vous aide à optimiser vos déploiements Cloud et réduire vos consommations Azure. Il s’appuie sur tout un ensemble de « Best Practices » et règles de conformité/sécurité standards.

En effet, Azure Advisor examine la configuration de tous vos services Azure déployés et vous propose des recommandations dans les domaines suivants

Haute Disponibilité (HA : High Availability)

Sécurité

Performance

Coût (Cost)

 

Grace à Azure Advisor, vous pouvez :

  • Bénéficier de recommandations en termes de meilleures pratiques proactives, interactives et personnalisées.
  • Améliorer les performances, la sécurité et la haute disponibilité de vos ressources Azure
  • Réduire le coût/consommation Azure.
  • Obtenir des recommandations avec des propositions d’actions intégrées.
    • Les recommandations proposées par Azure Advisor sont fournies avec des liens intégrés vous permettant d’implémenter directement les actions de remédiation.

 

Azure Advisor : ce que vous devez savoir !

Les recommandations fournies à travers Azure Advisor reposent sur les Best Practices courantes, telles que le placement de machines virtuelles (VM) dans des Groupes à haute disponibilité, Non-exposition des ports tels que RDP/SSH sur Internet…

Les recommandations de sécurité proviennent d’Azure Security Center. Alors que les données de facturation sont collectées à partir du portail Azure Enterprise, Azure Advisor peut analyser l’utilisation/consommation Azure et identifier les points pouvant réduire le coût tels que les VMs sous-utilisées. C’est la raison pour laquelle Azure Advisor, reste un outil assez puissant qui peut vous aider à renforcer votre gouvernance globale Azure.

Autorisations nécessaires pour accéder à Azure Advisor 

Les utilisateurs ayant les rôles suivants peuvent accéder à Azure Advisor et visualiser toutes les recommandations, et ce pour toutes les catégories :

  • Propriétaires
  • Contributeur
  • Lecteur

 

Ressources pouvant être analysées/évaluées par Azure Advisor 

Azure Advisor peut évaluer la configuration des ressources Azure suivantes seulement :

  • Machine Virtuelle Azure
  • Groupes à haute disponibilité
  • Passerelles d’application
  • App Services
  • Serveurs SQL
  • Cache Azure pour Redis.

 

Azure Advisor : Prise en main

Faisons un tour d’horizon d’Azure Advisor !

Azure Advisor est accessible depuis « Tous les services /All services » ou simplement en saisissant « Advisor » depuis la barre de recherche du Portail Azure

Tip : Je vous recommande de l’ajouter en tant que « Service Favoris » en cliquant sur l’Etoile noire:

Comme montré dans la capture d’écran ci-dessous, Azure Advisor est composé de plusieurs onglets :

  • Haute disponibilité : liste les recommandations qui vous aideront à augmenter la disponibilité de vos services Azure les plus critiques
  • Sécurité : liste les recommandations qui vous permettent de détecter les menaces et vulnérabilités pouvant conduire à des failles de sécurité.
  • Performance : liste les recommandations qui vous aideront à améliorer les performances de vos services Cloud Azure.
  • Coût : liste les recommandations qui vous permettant d’optimiser et réduire vos coûts /consommations Azure

Il existe deux autres volets qui sont :

  • Vue d’ensemble : cet onglet présente un résumé de toutes les recommandations, pour les 4 domaines/catégories (Sécurité, HA, Performance et Coût). Si vous souhaitez consulter les recommandations pour une catégorie spécifique, rendez-vous sur un des 4 onglets précédemment. eg : Onglet « Sécurité« : pour consulter les recommandations de sécurité).
  • Tous : cet onglet liste toutes les recommandations pour les 4 catégories. Vous pouvez simplement cliquer sur une recommandation pour afficher plus de détails. Vous avez ensuite la possibilité de la reporter/ignorer ou de réaliser l’action de remédiation proposée.

Configurer Azure Advisor

Azure Advisor vous offre la possibilité de configurer les abonnements et groupes de ressources à analyser/évaluer.

Si vous voulez exclure certains abonnements ou groupes de ressources du scope d’Azure Advisor, eh bien cela peut être configuré en cliquant sur le bouton « Configurer » :

Vous pouvez ensuite, inclure ou exclure des abonnements ou groupes de ressources dans l’évaluation Azure Advisor :

Note : Par défaut, tous les abonnements Azure (et leurs RG associés) sont inclus dans le scope d’Azure Advisor.

 

Filtrer vos abonnements Azure

Vous pouvez configurer vos filtres pour n’afficher que les recommandations proposées pour un abonnement spécifique.

Cela peut être configuré depuis « Répertoire + abonnement »

Dans l’exemple suivant, le filtre d’abonnement global Azure sera modifié pour sélectionner que l’abonnement « Microsoft Azure Sponsorship » :

Comme montré dans la Screenshot ci-dessus, l’abonnement sélectionné depuis « Répertoire + abonnement » est automatiquement configuré au niveau d’Azure Advisor. Notez que vous pouvez également configurer ce filtre depuis le Dashbord Azure Advisor, depuis la liste déroulante « Abonnements« .

 

Filtrer vos ressources Azure

Vous avez également la possibilité de filtrer les types de ressources Azure pour lesquels vous voulez afficher les recommandations Azure Advisor.

Dans l’exemple suivant, le filtre « Type de ressource > Machines Virtuelles » sera configuré. Les recommandations affichées depuis le Dashbord Azure Advisor concernent uniquement celles qui s’appliquent aux VMs Azure :

 

Grouper vos recommandations par Abonnement

Azure Advisor vous permet d’organiser les recommandations Azure Advisor par Abonnement.

Cela peut être configuré en sélectionnant l’option « Grouper par abonnement » :

Afficher les détails sur les recommandations Azure Advisor

Comme indiqué précédemment, pour obtenir plus d’informations sur les recommandations proposées par Azure Advisor, il faut se rendre dans l’onglet « Tous » ou sur l’onglet correspondant à une catégorie spécifique.

Cliquez sur une recommandation pour en savoir plus. Dans l’exemple suivant, je vais cliquer sur « Utiliser des groupes à haute disponibilité….« :

Les informations détaillées suivantes sont affichées :

  • La colonne « Machine Virtuelle« , liste les VMs impactées/concernées par la recommandation.
  • La colonne « Actions recommandées« , vous permet d’implémenter l’action recommandée (création d’AS dans notre exemple: Availability Set).
  • La colonne « Action » vous permet de reporter cette action ou de l’ignorer.

Dans mon cas, je peux simplement ignorer cette recommandation car il s’agit ici de VMs de Test/Demo.

En effet, un Groupe à haute disponibilité est plutôt destiné à des environnements de Production (Domain Controllers, SQL Server IaaS, ERP, Business App…etc).

 

Configurer la règle « Utilisation moyenne CPU » pour les VMs à analyser par Azure Advisor 

Par défaut, les VMs présentant une utilisation de <5 % CPU sont considérées comme étant « surdimensionnées », c’est la raison pour laquelle vous recevrez des recommandations vous indiquant des VMs sous-utilisées avec comme action « Redimensionnement Machine Virtuelle ». Si vous estimez que cette valeur est très basse, vous pouvez la modifier à tout moment en cliquant « Configurer » > « Règles » > sélectionnez l’abonnement concerné par cette modification > cliquez ensuite sur « Modifier« , enfin spécifier la valeur qui vous convient (<10% dans l’exemple suivant) :

 

Télécharger les rapports Azure Advisor 

Le service « Azure Advisor » vous offre la possibilité de télécharger les rapports des recommandations.

Deux types de rapports peuvent être générés :

  • Rapport au format PDF
  • Rapport au format CSV

Les rapports PDF sont présentables dans l’état, en revanche les rapports CSV doivent être formatés si vous devez les présenter à votre client ou votre responsable hiérarchique.

Voici un exemple de rapport CSV AzAdvisor format (Excel Data convertie)

Les rapports PDF générés ressemblent à l’image ci-dessous :

 

Azure Advisor : Pricing 

Azure Advisor est un service gratuit :).

Gérer Azure Advisor via Windows PowerShell

Je prépare actuellement un autre guide Step-by-Step sur l’utilisation d’Azure Advisor via Windows PowerShell (Az PowerShell Module).

Restez connectés :).

N’hésitez pas à vous abonner à mon Blog pour rester informé de toute nouvelle publication.

A bientôt,

#HK

Premier module de la série « Gouvernance Azure »

Le premier Module de la série « Gouvernance Azure » > « Azure Naming Convention » est disponible depuis l’URL suivante :

[Azure Free Training] Lesson1 : Définissez votre Convention de Nommage Azure

 

Introduction

Si vous devez migrer des Workloads depuis votre Corporate Network (aka Onprem) vers Azure (Lift & Shift Mode) ou construire de nouvelles architectures Azure (« Cloud Native » Mode), notez que la Step1 de votre projet va consiste à définir un Modèle de Gouvernance Global pour Azure.

Comme illustré dans le schéma ci-dessus, le modèle de Gouvernance Azure (Azure Scaffold) est composé de :

  • Convention de nommage (définition de vos naming standards pour vos ressources Azure)
  • Modèle de délégation (RBAC)
  • Policies (Stratégies Azure)
  • Tags (Azure Resources Tags)
  • Azure Locks
  • Subscrption Design (Nombre d’abonnements à créer..etc)
  • …Etc

 

Durant la « Lesson 2 », nous allons découvrir la composante « Azure Locks » ou « Verrous Azure » en Français.

Il s’agit d’une Feature de sécurité Azure qui vous permet de protéger vos abonnements, Groupes de Ressources ou encore des ressources Azure spécifiques contre la modification ou suppression accidentelle.

 

Step-by-step guide sur Azure Locks : Introduction & HowTo

Le document est disponible sur SlideShare, à cet URL.

Vous pouvez aussi le visualiser directement depuis ce post, voir Slide ci-dessous :

Ce Slide a été rédigé en Anglais (pour atteindre un public plus large) mais sera bientôt disponible en Français sur la même plateforme.

 

Next Module : Azure Tags

La troisième Module « Azure Tags » est disponible à cet URL :

[Azure Free Training] Lesson3 : Tout ce que vous devez savoir sur Azure Tags

N’hésitez pas à vous abonner à mon Blog pour rester informé de toute nouvelle publication.

A bientôt,

#HK

Microsoft a récemment ajouté de nouveaux modules/cours gratuits sur les nouvelles certifications Azure AZ-***

Ceux-ci sont proposés à travers la plateforme e-Learning « CloudSociety » et concerne les certifications Azure suivantes :

  • AZ-100
  • AZ-101
  • AZ-200
  • AZ-201
  • AZ-300
  • AZ-301

Pour rappel, les compétences Azure suivantes seront acquises après avoir suivi ces formations/cours :

 

 

 

 

 

 

 

 

Liens utiles

Quand vous êtes prêts, les examens de certifications AZ-*** peuvent être planifiés via les liens suivants :

Les examens de certifications AZ-200 et 201 sont encore en mode « Beta », à ne pas planifier dans l’immédiat car l’Exam/Questions Core risquent de changer complètement.

Enjoy the Training & Goodluck !

#HK

Introduction à Azure ADDS

AADDS (Azure Active Directory Domain Services) est une offre PaaS (Platform-as-aService) de Microsoft Azure, cette offre est aussi connue sous le nom de DCaaS (Domain Controller-as-aService).

Azure AD DS est une instance (Forêt AD standalone) Windows Server Active Directory managée par Microsoft, cela veut dire que Microsoft créé, déploie et manage les Domain Controller pour vous.

Vous n’avez plus à vous soucier de la sécurité de vos Domain Controllers (Patch Management, Hardening, Sécurité Physique…etc).

Consultez cet article pour en savoir plus sur Azure Active Directory Domain Services.

Note importante : Le fait que MS manage les Domain Controllers à votre place présente certaines limitations que vous devez prendre en considérations, voir cet article pour en savoir plus : https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-comparison > Rubrique « Compare Azure ADDS to DIY AD« 

Ancienne limitation/restriction relative à la stratégie (par défaut) de mot de passe d’une instance AADDS 

Par défaut, la durée de vie des mots des passe dont le hash est stocké dans une base Azure ADDS était définie à 90 jours.

Cette stratégie de mot de passe ne convient bien évidemment pas à tout le monde, par exemple :

  • Une société ayant des exigences de sécurité fortes : durée de vie des mots de passe des Domain Admin et Comptes à Haut privilège à 60 voire 30 jours !
  • Une société avec moins de crainte de sécurité ayant une stratégie de sécurité « Plus Relax » : durée de vie des mots de passe des Domain Admin et Comptes à Haut privilège à 180 jours voire 365 jours.

 

Plusieurs Customers (Clients) Azure ont donc remonté cette limitation (moi y compris :)) aux équipes MS Azure Corp.

Ces feedbacks ont été pris en compte et l’équipe Azure a fait un Goodjob sur cette partie en intégrant les stratégies de mots de passe affinées (FGPP : Fine-Grained Password Policy) au niveau des services ADDS Azure.

Note : si vous n’êtes pas encore familier avec les FGPP, je vous invite à consulter cet article.

 

Prérequis 

Vous devez bien évidemment disposer d’un abonnement Azure ainsi que :

  • Une instance Azure AD (IDaaS)
  • Une instance Azure ADDS configurée (DCaaS)
  • Une machine d’Administration membre de votre domaine managé Azure ADDS

 

Useful Links

Si vous ne disposez pas encore de compte/abonnement Azure, je vous invite à en créer un depuis cette URL : https://azure.microsoft.com/fr-fr/free/

Si vous n’avez pas encore créer et configurer un domaine Managé Azure ADDS, je vous invite à suivre les instructions détaillées dans ce post : https://docs.microsoft.com/fr-fr/azure/active-directory-domain-services/active-directory-ds-getting-started

Pour joindre une machine d’administration à votre domaine Azure ADDS, suivez les instructions détaillées dans cet article : https://docs.microsoft.com/fr-fr/azure/active-directory-domain-services/active-directory-ds-admin-guide-join-windows-vm-portal

Dans l’exemple suivant, le DNS name configuré sur mon domaine Managé AADDS est hk.corp

 

Tout d’abord, vérifions la FGPP configurée par défaut sur un domaine managé Azure ADDS

Depuis votre machine d’administration membre du domaine managé, lancez la console DSAC (Active Directory Administrative Center) et développez : votre domaine managé > System > Password Settings Container, enfin double-cliquez sur ‘AADDSSTFPSO

Comme indiqué dans la Screenshot ci-dessous, la stratégie de mot de passe configurée par défaut sur votre domaine managé Azure ADDS a les caractéristiques/propriétés suivantes :

  1. Longueur minimale du password : 7 caractères
  2. Durée de vie des mots de passe : 90 Jours 
  3. Le mot de passe doit respecter les règles de complexité : Oui

Note importante : La stratégie de sécurité par défaut (AADDSSTFPSO) ne peut être modifiée ni supprimée !

 

HowTo : Configurez une stratégie de mot de passe personnalisée pour votre domaine Managé Azure ADDS

Nous allons dans l’exemple suivant, créer et configurer une stratégie de sécurité personnalisée pour définir les paramètres suivants :

  1. Longueur minimale du password : 16 caractères
  2. Durée de vie des mots de passe : 60 Jours 
  3. Le mot de passe doit respecter les règles de complexité : Oui

Les valeurs relatives aux options de verrouillage de compte (Lockout) respectent le standard de sécurité adopté aujourd’hui dans les entreprises, nous allons donc garder les mêmes valeurs, à savoir :

  • Compte verrouillé suite à : 5 tentatives de connexion échouées
  • Durée pendant laquelle le compte reste verrouillé : 30 minutes

 

Notez que cette nouvelle stratégie de sécurité (personnalisée) sera appliquée uniquement au groupe : Domain Admins

Comment ça marche ?

Suivez les instructions suivantes pour configurer votre stratégie de mots de passe au niveau de votre domaine AD managé AADDS :

  • Ouvrez une Session Windows sur la machine d’administration membre de votre domaine managé Azure ADDS
  • Lancez l’outil DSAC (ou DSAC.exe)
  • Naviguez jusqu’au : System > Password Settings Container > Depuis le volet ‘Tasks’, cliquez sur ‘New’ > ‘Password Settings’

  • Renseignez toutes les informations de configuration de votre nouvelle stratégie de sécurité, n’oubliez pas de spécifier le groupe « Domain Admins » au niveau de « Directly Applies To« , pour éviter que cette nouvelle stratégie de sécurité s’applique à tout le monde : un password lifetime pour un end user (utilisateur métier : basic/standard user) ne passera jamais :).

Note importante : veillez à bien décocher l’option « Protection from accidental deletion« , sinon la stratégie de sécurité ne pourra être créée (problème de permissions : by design sur l’instance Azure ADDS) : voir capture d’écran suivante avec le message d’erreur :

 

#HK | Just Another IT Guy

Prérequis 

Azure CLI 2.0 a été développé sous Python, l’installer sur un OS Windows client (ou serveur d’Administration) nécessite donc l’installation de Python pour Windows, en version 3.X ou ultérieur.

Nous allons donc commencer par télécharger et installer Python sur notre machine Windows 10 (LABWS10).

Python pour Windows peut être téléchargé gratuitement à l’URL suivante :

https://www.python.org/downloads/

Les deux versions (stables) disponibles lors de l’écriture de ce post sont  : 3.6.1 & 3.6.5

Une fois téléchargé, exécutez le fichier Python-..*.exe en tant qu’Administrateur.

L’assistant suivant apparaît, veillez à bien cochez l’option « Add Python 3.6 to PATH » et cliquez sur « -> Install Now » pour démarrer l’installation :

L’installation démarre …

Une fois installé, cliquez sur « Close » pour fermer l’assistant :

L’option « Add Python 3.6 to PATH » permet d’ajouter deux répertoires (d’Install et de scripts) utilisés par Python à la variable d’environnement : %Path%

Maintenant, ouvrez l’invite de commande et saisissez la commande suivante pour vérifier la bonne installation de python :

Python –version

 

Installer Azure CLI 2.0

Ouvrez l’Invite de commande (CMD.exe) en tant qu’Administrateur et saisissez la commande suivante pour installer Azure CLI 2.0 :

pip install –user azure-cli

Tous les Packages nécessaires requis par Azure CLI seront téléchargés et placés dans le répertoire suivant :

%UserProfile%\AppData\Roaming\Python\Python36\site-packages

Notez que votre machine Windows 10 doit être connectée à Internet pour télécharger et récupérer les données Azure CLI.

Si l’installation s’est effectuée avec succès, le résultat suivant apparaît à la fin d’exécution de la commande :

Tâches post-installation

Avant de commencer à utiliser votre interface Azure CLI 2.0, une tâche post-installation est à réaliser.

Il s’agit de la configuration /ajout du chemin contenant les fichiers Azure CLI à la variable d’environnement « Path ».

Pour ce faire, lancez l’outil « Sysdm.Cpl » depuis le Menu « Exécuter » ou la zone de recherche du Menu « Démarrer » et rendez-vous ensuite dans l’onglet « Paramètres systèmes avancés ». Enfin, cliquez sur « Variables d’environnement… »

La boite de dialogue suivante apparaît, sélectionnez la variable « Path » et cliquez sur « Modifier… » :

Maintenant cliquez sur « Nouveau » et spécifiez le chemin suivant :

%USERPROFILE%\AppData\Roaming\Python\Python36\Scripts

Si vous avez installé une version de Python autre que la 3.6 (e.g : version 3.x), le chemin devient :

%USERPROFILE%\AppData\

Roaming\Python\Python3x\Scripts

 

Cliquez sur « OK » pour valider et fermer les boites de dialogues ouvertes.

L’interface Azure CLI 2.0 est représentée par un fichier .BAT nommé ‘Az.bat’, il est par défaut installé /placé dans le répertoire suivant :

%USERPROFILE%\AppData\Roaming\Python\Python3x\Scripts 

 

Maintenant, lancez CMD.exe en tant qu’Administrateur et saisissez Az

Le fichier Az.bat est appelé et le menu Azure CLI 2.0 suivant est affiché, de plus la liste complète des commandes disponibles est retournée :

Le script az.bat peut également être appelé depuis Windows PowerShell. Il suffit de saisir az depuis votre console PowerShell pour accéder au menu affiché précédemment sur l’invite de commande.

==========================================================================

Cet article est un extrait de l’eBook « Azure CLI 2.0 – Guide du Consultant Cloud » disponible ici.

Hi Folks,

Aujourd’hui j’aimerais partager avec vous une ressource indispensable que tout Consultant /Architecte /Ing ou Admin Cloud Azure doit garder dans sa toolbox.

Il s’agit de la plateforme Web AzureHubInfo disponible à l’URL suivante :

https://azureinfohub.azurewebsites.net

 

Cette plateforme regroupe des :

  • (Free) eBooks et Whitepapers sur plusieurs services Cloud Azure
  • Outils Azure
  • Tous les liens vers la documentation officielle Microsoft (service Docs.microsoft.com > Rubrique Cloud/Azure)

 

De plus, ce outil web gratuit contient une fonctionnalité de recherche (Query/Search Tab) qui vous permet de rechercher et trouver rapidement des ressources sur un service Cloud spécifique (e.g : IA, Batch AI, AAD App Proxy…)

Je vous laisse faire le tour de la plateforme.

Enjoy !

#HK