Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021

Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Formation Microsoft Azure Azure Active Directory 2021 Une formation Seyfallah TAGREROUT
Une formation • Nom: Seyfallah Tagrerout • Profession: Team Lead Cloud Architect • Région : Suisse • Auteur : Auteur de plusieurs ouvrages • Speaker • Microsoft MVP Azure depuis 2015 • Formateur Alphorm depuis 2015 • Spécialités : Azure – Azure AD – Microsoft 365 Defender – Securité Microsoft Cloud Votre formateur
Mes formations
Cursus
Une formation Introduction 1. Azure Active directory 2. Administrer Azure Active Directory 3. Le monde hybride avec Azure AD 4. Le composant AD Connect 5. AAD connect et l’administration 6. Azure Ad et la sécurité Conclusion Plan de la formation
Une formation Administrateurs AD Administrateurs cloud Architecte cloud Étudiant en informatique Public concerné
Une formation Connaissances requises Notions cloud générale Microsoft 365 Windows Server Active Directory TCP/IP
Azure Active Directory Architecture Une formation Seyfallah TAGREROUT
Une formation Introduction Azure Active Directory Architecture Plan
Une formation L’identité au centre de tout projet cloud Scénarios rencontrés depuis la crise du COVID-19 Cas 1 : J’ai de la chance mais pas mon IT ! Je peux faire du télétravail mais mon entreprise n’a pas de stratégie d'accès à distance sécurisée. Aujourd’hui, la cybercriminalité est au plus haut … Cas 2 : Je n’ai plus aucun accès à mes ressources ! Je souhaite travailler à distance et collaborer avec mon équipe Cas 3 : C’est la panique ! Pas de stratégie cloud et aucun moyen de travailler à distance. Que faire ?
Introduction ADDS Azure AD AADDS
Une formation ADDS Active Directory Domain Services Forêt - Relation d’approbation Domaine DNS Site Active Directory Contrôleur de domaine Contenu OU - Utilisateurs – Groupes -Ordinateurs – imprimantes – GPOs Authentification Kerberos NTLM ordinateurs en workgroup Exemple Connexion à un partage de fichier ou machine
Une formation Azure AD Azure Active Directory IDaaS Identité dans le cloud Microsoft Gestion des utilisateurs , groupes et ordinateurs (Azure AD Join) Pas de notions de Forêt – OU – GPO – Site AD – contrôleur de domaine Contenu Utilisateurs - groupes Authentification: SAML2.0 , WS-Federation, Oauth 2.0 Exemple Utilisation d’Office 365 ( exchange Online, Teams, etc )
Une formation AADDS Azure Active Directory Domain Services Repose sur Windows Server Service managé par Microsoft Identité dans le cloud Microsoft Peut être couplé avec AzureAD – Gestion via ADUC ou PowerShell Pas de connexion RDP au contrôleur de domaine Contenu OU - Utilisateurs – Groupes -Ordinateurs – GPOs Authentification NTLM & Kerberos Lecture et liaison LDAP Exemple Gestion de machines virtuelles Azure
Azure Active Directory
Azure AD Strong usage growth Oct 2019 Enterprise customers Using Azure AD 100K + Azure AD Monthly Active Users 254M
Une formation Azure Active Directory IDaaS Identité dans le cloud Authentification auprès de Microsoft 365 ( exchange Online – sharepoint Online, etc ) Identité pour tout le système d’information Utilisateur cloud Utilisateur synchronisé depuis un AD Local
Une formation Azure AD Licences Azure AD P1 Azure AD P2 Détails de la tarification – Active Directory | Microsoft Azure News What's new? Release notes - Azure Active Directory | Microsoft Docs
Architecture Tolérance de panne Durabilité et protection des données Cohérence Sauvegarde
Azure Active Directory Authentification Une formation Seyfallah TAGREROUT
Identité hybride
Avant d’hybrider Connaitre les besoins Pour quels usages ? La stratégie et la roadmap L’existant : Méthode d’authentification utilisée Définir si y a services cloud Définir si y a de la fédération et identifier les raisons • Kerberos based (SSO) • Authentification des users hors de l’entreprise avec SAML • Etc
Une formation Authentification Connexion aux services cloud avec les comptes Active directory on-premise Garder le même Password entre le monde cloud et On-premise SSO
Une formation S’authentifier dans le cloud via l’identité on-prem hybridée Password Hash Sync Pass-Through Fédération
Password Hash Sync
Pass-Through
Fédération
Une formation Protocoles d’authentification Header-Based Authentication LDAP Authentication OAuth2.0 OIDC Password Based SSO Radius Remote Desktop Gateway Secure Shell SSh SAML Windows Authentication Kerberos
Une formation Conclusion
Une formation Conclusion
Azure Active Directory SaaS, B2B et Provisioning Une formation Seyfallah TAGREROUT
Une formation Intégration SaaS Azure Ad B2B SaaS et Provisioning Plan
Intégration SaaS
Azure AD et l’intégration SaaS
Azure AD B2b Direct Federation Generally available SAML WS-Fed Google ID Federation Generally available Authentification avec email + code Public Preview Federate directly with any identity provider that supports S Sign-in using your any Google or Gmail account Sign-in with any email account plus Azure AD generated code
Azure B2b
Azure AD - Provisioning Azure AD CSV Active Direct ory Active Direct ory
AAD – connect cloud provisioning
Sync des forêts Active directement vers azure AD Transformation et sync des données complexes vers Azure AD AAD connect
Découvrir AAD Fonctionnalités Une formation Seyfallah TAGREROUT
Une formation Fonctionnalités Conditional Access Azure MFA Self Service Password Reset Secure Score Security Default Azure AD Identity Protection Azure Ad Gouvernance PIM Authentification / Password Protection
Corporate Network Geo-location Microsoft Cloud App Security MacOS Android iOS Windows Windows Defender ATP Client apps Browser apps Google ID MSA Azure AD ADFS Require MFA Allow/block access Block legacy authentication Force password reset ****** Limited access Controls Employee & Partner Users and Roles Trusted & Compliant Devices Physical & Virtual Location Client apps & Auth Method Conditions Machin e learnin g Policies Real time Evaluation Engine Session Risk 3 40TB Effective policy
Identity Secure Score
Vérification d’Identité Sécurité Fiabilité Facilité Evolution Termes Double facteur Authentification forte
Options de vérification SMS CODE APPLICATION AVEC AZURE AUTHENTICATOR APPEL TÉLÉPHONIQUE JETON OATH NOTIFICATION SUR L’APPLICATION ATTENTION À PLUSIEURS POINTS AVANT DE L’ACTIVER
Clés FIDO2 Temporary Access Pass 
Microsoft Authenticator
Présentation du Lab et Contexte Une formation Seyfallah TAGREROUT
Une formation Contexte Une entreprise «Alphorm» disposant d’un Ad local souhaite mettre en place Microsoft Teams pour travailler à distance ( COVID19) Cette entreprise va faire une acquisition d’une autre entreprise et voudra intégrer ses utilisateurs directement dans Azure AD sans architecture complexe L’entreprise embauche un RSSI afin de mieux gérer la sécurité et souhaite bénéficier de toutes les bonnes pratiques liées à la sécurité autour d’Azure AD
Une formation LAB – Design
Une formation Lab - composants Un contrôleur de domain DC01 – Win Server 2019 Un serveur AAD connect 01 - Win Server 2019 Un contrôleur de domain VDC01 - Win Server 2019 Un Windows 10 pour la gestion du tenant Licence Microsoft 365 trial
Explorer AAD et les différentes éditions Une formation Seyfallah TAGREROUT
Différence entre Azure AD P1 & P2
Identity Protection Détection des vulnérabilités et des comptes à risque Fournir des recommandations personnalisées pour améliorer la posture de sécurité globale en mettant en évidence les vulnérabilités Calcul des niveaux de risque de connexion Calcul des niveaux de risque des utilisateurs Enquêter sur les événements à risque Envoi de notifications pour les événements de risque Enquêter sur les événements à risque à l'aide d'informations pertinentes et contextuelles Fournir des flux de travail de base pour suivre les enquêtes Fournir un accès facile aux actions de correction telles que la réinitialisation du mot de passe Politiques d'accès conditionnel basées sur les risques Politique visant à atténuer les connexions à risque en bloquant les connexions ou en exigeant des défis d'authentification multi facteur Politique pour bloquer ou sécuriser les comptes d'utilisateurs à risque Politique exigeant que les utilisateurs s'inscrivent pour l'authentification multi facteur
Gestion des identités privilégiées (PIM) Examens d'accès Gouvernance d'identité avancée Une formation
Features P1 Directory Objects1 No Object Limit User/Group Management (add/update/delete). User-based provisioning, Device registration Available Single Sign-On (SSO). Free, basic tiers + self-service app integration templates5 No Limit B2B Collaboration7 Available Self-Service Password Change for cloud users Available Connect (Sync engine that extends on-premises directories to Azure Active Directory) Available Security/Usage Reports Advanced Reports Group-based access management/provisioning Available Self-Service Password Reset for cloud users Available Company Branding (Logon Pages/Access Panel customization) Available Application Proxy Available SLA Available Premium Features Advanced group features8 Available Self-Service Password Reset/Change/Unlock with on-premises writeback Available Device objects 2-way sync between on-premises directories and Azure AD (Device write-back) Available Multi-Factor Authentication (Cloud and On-premises (MFA Server)) Available Microsoft Identity Manager user CAL4 Available Cloud App Discovery9 Available Connect Health6 Available Automatic password rollover for group accounts Available Conditional Access based on group and location Available Conditional Access based on device state (Allow access from managed devices) Available 3rd party identity governance partners integration Available Terms of Use Available SharePoint Limited Access Available OneDrive for Business Limited Access Available 3rd party MFA partner integration Preview Available Microsoft Cloud App Security integration Available
Créer un annuaire AAD Une formation Seyfallah TAGREROUT
Découvrir sur l'interface de l'AAD Une formation Seyfallah TAGREROUT
Découvrir Azure Active Directory et PowerShell Une formation Seyfallah TAGREROUT
Une formation Plan Module PowerShell Azure AD Ressources Installation du module
Une formation Introduction Azure AD MsOnline V1 Azure AD V2 PowerShell for Graph https://www.powershellgallery.com/packages/AzureAD/ Os supporté • Windows 10 • Windows 8.1 Pro • Windows 8.1 Enterprise • Windows 7 SP1 • Windows Server 2016 TP5 • Windows Server 2012 R2 • Windows Server 2008 R2 SP1 .Net Framwork 4.5
Une formation Ressources Azure AD PowerShell for Graph AzureAD Module | Microsoft Docs MSOnline MSOnline Module | Microsoft Docs
Une formation Installation du module Installation du module Azure PowerShell for Graph sur la machine Windows 10 CL01
Découvrir Azure Active Directory et MS Graph Une formation Seyfallah TAGREROUT
Une formation Plan Introduction Démarrer avec l’Api Ms Graph Azure AD
Une formation Graph et Azure AD API Graph azure AD  accès à azure AD via l’API REST Opérations Création Lecture Mise à jour, suppression des données et objets
Une formation L’API Azure Ad Graph Rest API Authentification avec Azure AD RBAC Requête différentielle Extension d’annuaire Sécurité
Une formation Graph et Azure AD REST API donne accès aux service suivants Services Microsoft 365 : Delve, Excel, Microsoft Bookings, Microsoft Teams, OneDrive, OneNote, Outlook/Exchange, Planner et SharePoint Services Enterprise Mobility + Security : Advanced Threat Analytics, Advanced Threat Protection, Azure Active Directory, Identity Manager et Intune Services Windows 10 : activités, appareils, notifications Dynamics 365 Business Central
Une formation Exemple Création d’un nouveau utilisateur dans Azure AD Suppression d’un utilisateur Azure AD Vérification de groupe azure AD Etc ..
Une formation Démarrage https://developer.microsoft.com/graph/gra ph-explorer
Création d’un utilisateur POST https://graph.microsoft.com/v1.0/users Content-type: application/json { "accountEnabled": true, "displayName": "Adele Vance", "mailNickname": "AdeleV "userPrincipalName": "AdeleV@contoso.onmicrosoft.com", "passwordProfile" : { "forceChangePasswordNextSignIn": true, "password": "xWwvJ]6NMw+bWH-d"
POST https://graph.microsoft.com/v1.0/groups Content-type: application/json Content-length: 244 { "description": "Self help community for library", "displayName": "Library Assist", "groupTypes": [ "Unified" ], "mailEnabled": true, "mailNickname": "library", "securityEnabled": false } Création d’un groupe
Découvrir AAD DeepDive Une formation Seyfallah TAGREROUT
Azure AD : L’Identité du Cloud hybride Fiabilité du service, sécurité et amélioration technique continue Oct. 2019 Entreprises Utilisent Azure AD +100K d’utilisateurs actifs en moyenne par mois +254M Azure AD est le service Microsoft le + critique au niveau Worldwide Opéré dans un ‘’monde dangereux’’ où le risque est au + haut 0,5% d'indisponibilité impacte +1 M d’utilisateurs
Tolérance de panne Durabilité et protection des données Cohérence Sauvegarde Architecture
Créer des utilisateurs en interface graphique et PowerShell Une formation Seyfallah TAGREROUT
Une formation Plan Création des utilisateurs AAD portal PowerShell
Créer des groupes en interface graphique et PowerShell Une formation Seyfallah TAGREROUT
Une formation Plan Création groupe – AAD portal Création groupe - PowerShell
Administration utilisateurs et groupes Une formation Seyfallah TAGREROUT
Gérer des mots de passe (administrateur et Self Service) Une formation Seyfallah TAGREROUT
Gérer des licences Une formation Seyfallah TAGREROUT
Une formation Plan Affectation utilisateur Affectation groupe AAD
Affectation utilisateur
Une formation Inconvénients  Beaucoup d’effort Trop contraignant Administration pas gérable en production
Affectation groupe
Une formation Moindre effort Processus automatique Groupe dynamique si besoin Meilleur life-cycle Avantages 
Gérer des rôles (RBAC) Une formation Seyfallah TAGREROUT
Une formation Plan Introduction RBAC Création de custom role
Une formation Les rôles Azure AD Gérer les ressources Azure AD d’un annuaire Créer ou changer des utilisateurs Attribuer des rôles d’administration à d’autres personnes Réinitialiser les mots de passe des utilisateurs Gérer les licences utilisateur et gérer les domaines Description des rôles et des autorisations d’Azure AD - Azure Active Directory | Microsoft Docs
Une formation Les rôles Azure AD Gestion du MFA Administration utilisateurs et groupes Gestion des applications Etc
RBAC Security principal Rôle Scope
Création via le portail
Création via le portail
Création via PowerShell # Basic role information $displayName = "Application Support Administrator" $description = "Can manage basic aspects of application registrations." $templateId = (New-Guid).Guid # Set of permissions to grant $allowedResourceAction = @( "microsoft.directory/applications/basic/update", "microsoft.directory/applications/credentials/update" ) $rolePermissions = @{'allowedResourceActions'= $allowedResourceAction} # Create new custom admin role $customAdmin = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName - Description $description -TemplateId $templateId -IsEnabled $true
Comprendre pourquoi Hybrider un annuaire AD avec AAD? Une formation Seyfallah TAGREROUT
On-prem Le monde on-Prem Utilisateur Application d’entreprise Annuaire Active Directory Seyfallah Tagrerout Microsoft MVP
Problématique
Hybridation Équation Une identité = toutes les applications
Azure Active Directory
Découvrir le design et points d’attention Une formation Seyfallah TAGREROUT
Etendre Active Directory vers AAD
Identité hybride Pourquoi ? Plusieurs applications pour une seule et unique identité Comment ? Connaitre les besoins Pour quels usages ? La stratégie et la roadmap ( Office 365 , Azure, ? ) Une formation
L’existant Architecture AD ( Forêts, domaines, worldwide ) Méthode d’authentification utilisée Besoins Exchange Online ou / et hybridation Définir si y a des services cloud Définir si y a de la fédération et identifier les raisons Kerberos based (SSO) Authentification des users hors de l’entreprise avec SAML Etc Correction avec IDfix
Une formation Points d’attention L’architecture Active Directory Architecture global existante ( ADFS ?) IDFIX Authentification Securité Infrastructure Ressources Compte de service AAD Connect Configuration ( anticiper le futur)
Comprendre le choix de l'authentification Une formation Seyfallah TAGREROUT
Une formation Plan Authentification Choix
Une formation Authentification Password Hash Sync Pass-through ADFS
Password Hash Sync
PTA
ADFS
Choix
Découvrir les différentes topologies AAD Connect Une formation Seyfallah TAGREROUT
Une forêt Une Forêt Active Directory AAD connect Azure Active Directory
Plusieurs forêts AAD connect Azure Active Directory Plusieurs forêts Active Directory
Autres
Autres
Non pris en charge azure-content/active-directory-aadconnect-topologies.md at master · uglide/azure-content · GitHub
Découvrir l'architecture AAD Connect et AAD Connect Cloud Provisioning Une formation Seyfallah TAGREROUT
Une formation Plan Introduction AAD Connect Cloud Provisioning Prérequis
Introduction
Une formation Aad connect cloud provisioning Nouvel agent Sync des utilisateurs, groupes et contacts Avantages  Sync multi forêts déconnectés Active Directory vers AAD Acquisition et les foret Ad qui ne sont pas connectés Installation simple Haute disponibilité Support des architectures Ad complexes Cycle de provisioning
Une formation l’AAD Connect Cloud Provisioning vs AAD Connect Le provisionnement d’Active Directory est orchestré dans Microsoft Online Service La configuration du provisionnement est stockée dans Azure AD L’entreprise achetée par exemple, devra déployer un agent qui va permettre de connecter AAD et leur Active Directory ( simple  )
Fonctionnalité Synchronisation Azure Active Directory Connect Provisionnement cloud Azure Active Directory Connect Connexion à une forêt AD locale ● ● Connexion à plusieurs forêts AD locales ● ● Connexion à plusieurs forêts Active Directory locales déconnectées ● Modèle d’installation d’agent léger ● Plusieurs agents actifs pour la haute disponibilité ● Connexion aux annuaires LDAP ● Prise en charge des objets utilisateur ● ● Prise en charge des objets groupe ● ● Prise en charge des objets contact ● ● Prise en charge des objets appareil ● Autorisation de la personnalisation de base pour les flux d’attributs ● ● Synchronisation des attributs Exchange Online ● ● Synchronisation des attributs d’extension 1-15 ● ● Synchronisation des attributs Active Directory définis par le client (extensions d’annuaire) ● Prise en charge de la synchronisation de hachage de mot de passe ● ● Prise en charge de l’authentification directe ● Prise en charge de la fédération ● ●
Authentification unique transparente ● ● Installation des supports sur un contrôleur de domaine ● ● Prise en charge pour Windows Server 2012 et Windows Server 2012 R2 ● ● Filtrage sur les domaines/unités d’organisation/groupes ● ● Filtrage sur les valeurs d’attributs des objets ● Autorisation d’un ensemble minimal d’attributs à synchroniser (MinSync) ● ● Autorisation du blocage des attributs circulant d’AD vers Azure AD ● ● Autorisation de la personnalisation avancée pour les flux d’attributs ● Prise en charge de la réécriture (mots de passe, appareils, groupes) ● Support Azure AD Domain Services ● Écriture différée d’Exchange hybride ● Prise en charge de plus de 50 000 objets par domaine AD ● Références entre les domaines ●
Aad connect cloud provisioning
Une formation Prérequis Prérequis pour le provisionnement cloud Azure AD Connect dans Azure AD | Microsoft Docs
Savoir les prérequis AAD Connect Une formation Seyfallah TAGREROUT
Une formation Prérequis Azure AD Connect: Prerequisites and hardware | Microsoft Docs
Installer l'AAD Connect - express Une formation Seyfallah TAGREROUT
Une formation LAB – Rappel Un contrôleur de domain DC01 – Win Server 2019 Un serveur AAD connect 01 - Win Server 2019 Un contrôleur de domain VDC01 - Win Server 2019 Un Windows 10 pour la gestion du tenant ( votre Workstation) Licence Microsoft 365 trial Ajout d’un 3 eme Serveur CloudSync01 Conf standard 8GB de RAM – 2 vCPU – 80 GB de disk
Installer l'AAD connect Personnalisée Une formation Seyfallah TAGREROUT
Comprendre l'administration de l'AAD Connect Une formation Seyfallah TAGREROUT
Gérer la synchronisation dans AAD Connect Une formation Seyfallah TAGREROUT
Mettre en place des règles de filtrage Une formation Seyfallah TAGREROUT
Administrer la Métaverse Une formation Seyfallah TAGREROUT
Gérer la synchronisation avec Powershell Une formation Seyfallah TAGREROUT
Installer AAD Connect Cloud Provisioing Une formation Seyfallah TAGREROUT
Gérer l'état de santé d'AAD Connect avec AAD Connect Health Une formation Seyfallah TAGREROUT
Explorer Azure MFA Une formation Seyfallah TAGREROUT
Une formation Introduction L'authentification forte ou à multiples facteurs, c'est comme cela qu'est présentée Azure MFA, qui permet en plus de la saisie de mots de passe une saisie d'un facteur d'authentification additionnel
Une formation Introduction
Une formation Facteurs d’authentification Azure Authenticator avec Push notification Azure Authenticator avec jeton SMS/Appel Jeton physique OATH Clé de sécurité FIDO2 Windows Hello for business
Facteurs d’authentification
Licences Licence Fonctionnalité Azure AD P1 Permet l'activation d'Azure MFA via les stratégies d'accès conditionnel + l'utilisation du rapport détaillé Azure Active Directory Insight Azure AD P2 Permet l'activation d'Azure MFA via les stratégies d'accès conditionnel + la création de règle d'accès conditionnel basés sur le risque de connexion ou de l'état de l'utilisateur. + l'utilisation du rapport détaillé Azure Active Directory Insight. Elle permet aussi l'activation du MFA pour tous les utilisateurs depuis le portail Azure Active Directory Identity Protection M365 Business Premium / M365 E3, M365 E5 Licence M365 Business Premium + M365 E3 : ( ces licences donnent Azure AD P1) Permet l'activation d'Azure MFA via les stratégies d'accès conditionnel + l'utilisation du rapport détaillé Azure Active Directory Insight Licence M365 E5 : ( cette licence donne Azure AD p1 et P2) Permet l'activation d'Azure MFA via les stratégies d'accès conditionnel + la création de règle d'accès conditionnel basés sur le risque de connexion ou de l'état de l'utilisateur. + l'utilisation du rapport détaillé Azure Active Directory Insight. Elle permet aussi l'activation du MFA pour tous les utilisateurs depuis le portail Azure Active Directory Identity Protection
Licences
Une formation Configuration Manuelle PowerShell Conditional Access Azure Identity Protection
Une formation MFA Portail utilisateur Portail myAccount Gestion des information de sécurité ( mot de passe / MFA) Gestion des appareils Informations sur les activités de connexion, location et consommation de données
MFA Portail utilisateur
Une formation Bonnes pratiques • MFA pour tous les utilisateurs / administrateurs • Le MFA doit être activé via les stratégies d'accès conditionnel • Le MFA doit être activé pour tous les utilisateurs externes et invités • Utilisez les rapports tel qu'Utilisation et Insights ou alors les rapports de connexion Azure Active Directory • Le MFA pourrait être activé pour les utilisateurs qui sont à l'extérieur du réseau uniquement, et n'est pas déclenché quand les utilisateurs son sous le réseau de l'entreprise (physique dans les locaux de l'entreprise ou alors à travers leur connexion VPN) • Evitez l'utilisation du SMS comme second facteur d'authentification, mais privilégiez plutôt Microsoft authenticator avec la notification comme second facteur d'authentification • Empêchez l'enregistrement du MFA quand les utilisateurs sont en dehors du réseau de l'entreprise et exigez pour le premier enregistrement du MFA une présence de l'utilisateur au niveau du réseau de l'entreprise (réseau local physiquement ou alors en VPN sécurisée)
Mettre en place Azure MFA en mode standard Une formation Seyfallah TAGREROUT
Une formation Plan MFA portail Conditional Access Identity Protection
Découvrir l'accès conditionnel Une formation Seyfallah TAGREROUT
Une formation Accès conditionnel Azure AD P1 – Min Extension de périmètre - au delà du réseau Identité Utilisation de signale d’identité pour prendre une décision de contrôle d’accès Le cœur du modèle Zero Trust
Accès conditionnel
Conditional Access App Control Conditional Access App Control 6.5 Trillion Signals/Day Azure AD B2B Azure Active Directory Zero Trust : Accès conditionnel
Une formation Accès conditionnel – signaux Utilisateurs et / ou groupes spécifiques Localisation de la source de connexion Appareil ( état, type et version) Applications Détection de risque au moment de la connexion ( Azure AD P2) Cloup App Security
Une formation Accès conditionnel – Licences Azure AD P1 Azure AD P2 avec une intégration d’Identity Protection
Une formation Accès conditionnel – Nouveautés Authentification Context
Une formation Accès conditionnel – Nouveautés Authentification Context Requiring users to authenticate with multi-factor authentication (MFA) when they download sensitive files from any SaaS app on the web, like Office 365, Salesforce, Workday, and more. Require terms of use for SharePoint site collections that have been classified as confidential. For several customers this allows them to move sensitive documents to secured sites in SharePoint online, and complete their migration from on- premises.
Une formation Accès conditionnel – Nouveautés Continuous access evaluation
Découvrir le design et bonnes pratiques accès conditionnel Une formation Seyfallah TAGREROUT
Design Authentification Device management Securité
Bonnes pratiques
Bonnes pratiques
Jeux de test avant production Policy Scenario Le résultat attendu What if - test avant test réel Test réel - Le résultat Commentaire Policy1 Bloquer tous les accès aux applications depuis l’extérieur ( en dehors network xxx) Machine dans xxx : Accès Machine en dehors de xxx : Pas d’accès Testé avec le What if – Ok Machine dans xxx : Accès Machine en dehors de xxx : Pas d’accès Rien à signaler – Policy fonctionnelle Policy2 Autoriser l’accès a Exchange Online depuis les mobile Intune + MFA Mobile compliante : Accès avec MFA Mobile No compliante : Pas d’accès Testé avec le What if – NO Ok Mobile compliante : Accès avec MFA Mobile No compliante : Accés avec MFA Un souci sur la CA, il faut vérifier la partie Intune et voir la partie compliance Policy3 xxx xxx xxx xxx xxx What If Report Only mode Trustez les locations Pilote Validation et PROD
Exemple Security defaults : Attention si Conditional Access est déjà déployé
Powershell Install-Module -Name AzureAD Connect-AzureAD $conditions = New-Object -TypeName Microsoft.Open.MSGraph.Model.ConditionalAccessConditionSet $conditions.Applications = New-Object -TypeName Microsoft.Open.MSGraph.Model.ConditionalAccessApplicationCondition $conditions.Applications.IncludeApplications = "All" $conditions.Users = New-Object -TypeName Microsoft.Open.MSGraph.Model.ConditionalAccessUserCondition $conditions.Users.IncludeUsers = "All" $conditions.Users.ExcludeGroups = "e884a21d-792a-4d6b-ba37-117121f7474a" $conditions.ClientAppTypes = @('ExchangeActiveSync', 'Other') $controls = New-Object -TypeName Microsoft.Open.MSGraph.Model.ConditionalAccessGrantControls $controls._Operator = "OR" $controls.BuiltInControls = "Block" New-AzureADMSConditionalAccessPolicy -DisplayName "PowerShell_Block_LegacyAuthentication-ENI" - State "enabled" -Conditions $conditions -GrantControls $controls
Une formation Convention de nommage Faire une convention de nommage afin de rendre les policies plus lisibles [ ID] _[Application]_[Scope]_ [ Action] Exemples CA04012021-00_LegacyAuthentication_ALL_Block CA04012021-01_AzureMFA_Admins_Allow CA04012021-02_AzureMFA_ALL_Allow CA04012021-03_AzureMFA_B2b_Allow
Mettre en place quelques accès conditionnels Une formation Seyfallah TAGREROUT
Une formation Stratégie accès conditionnel 1.MFA Administrateurs 2.MFA Users 3.MFA Guest 4.Block legacy Authentication 5.MFA Security Info 6.Conditional access App control
Découvrir What if et Report only avec l'accès conditionnel Une formation Seyfallah TAGREROUT
Découvrir le Self Service Password Reset Une formation Seyfallah TAGREROUT
Une formation Introduction Réinitialisation de mots de passe Self service pour les utilisateurs Pas besoin de support Moins d’appel au support Autonomie et plus de productivité
Compte cloud Compte synchronisé depuis l’AD Types de configuration
Prérequis Licence Azure AD P1 / P2 ou Microsoft 365 Business premium
Découvrir et configurer Azure AD Identity Protection Une formation Seyfallah TAGREROUT
Une formation Prérequis Azure Active Directory P2 au minimum
Une formation Détection des vulnérabilités Remédiations Action automatique en fonction des activités suspectes détectées Azure AD Identity Protection
Introduction Risque Description Type de détection Adresse IP anonyme ou inconnue Connexion depuis un endroit ou depuis une adresse IP risquée (réseau Thor ou dark web par exemple) Temps réel Azure AD Threat Intelligence La base de données Microsoft qui contient des informations sur les attaques connues Connexion inhabituelle Détection en cas de connexion avec des propriétés utilisateurs inhabituelles Temps réel Adresse Ip provenant d'un programme malveillant Détection d'une adresse ip provenant d'un programme malveillant sur internet Hors connexion Attaque de mot de passe via du Password Spray Détection en cas d'attaque Password spray au niveau d'un utilisateur Hors connexion Vole d'information Détection en cas divulgation de mots de passe ou information sur internet Hors connexion Connexion depuis un endroit inhabituelle Connexion suspecte par rapport à la dernière connexion de l'utilisateur Hors connexion
Type de détection Temps réel 5 à 10 minutes Hors ligne 2 à 24 heurs Niveau de risque : Elevé – Moyen – Faible
Introduction
Une formation Exemple: stratégies de remédiation Bloquer l’accès si la connexion est jugée comme «Risquée» Activation de l’AzFA pour tous les utilisateurs
Découvrir la protection des mots de passe Une formation Seyfallah TAGREROUT
Introduction Policy de Password depuis Azure AD Comptes cloud Comptes hybrides Deploy on-premises Azure AD Password Protection | Microsoft Docs
Mettre en place le PasswordLess avec FIDO2 et Yubico Une formation Seyfallah TAGREROUT
FIDO2
Protéger l’Identité avec l’Authentification FIDO / FIDO2 2014 2018 1960 - Authentification forte à 2 facteurs - Une clé pour de nombreux services - Forte défense contre le Phishing - Aucun logiciel client, support natif sous Windows 10 et Azure AD FIDO2 FIDO2 FIDO2 FIDO U2F Mots de passe 2004 Tokens & Smart Cards
Hybridation FIDO2 : Ce que prépare Microsoft … AUTH. PASSWORDLESS AVEC CLÉS FIDO2 WINDOWS 10 EN MODE AZURE AD JOINED (AADJ) WINDOWS 10 EN MODE HYBRIDE AADJ SEAMLESS SSO VERS LES RESSOURCES CLOUD ET ON-PREMISE
FIDO2
Mettre en place des comptes brise glace et monitoring Une formation Seyfallah TAGREROUT
Une formation Mise en place 1- Création de deux comptes Break Glass: Cloud only et PAS Sync 2 : configurer le password en Never Expire Set-MsolUser -UserPrincipalName breakglass@domain.onmicrosoft.com -PasswordNeverExpires $true 3- Audit: • Audit renforcé sur ces deux comptes avec : • Azure Sentinel en création un playbook avec une règle Analytics
Une formation Mise en place SigninLogs | where UserPrincipalName == " BreakGlass@testseyf.onmicrosoft.com " | where Status.errorCode == 0 | extend AccountCustomEntity = Identity | extend IPCustomEntity = IPAddress | extend HostCustomEntity = SourceSystem SigninLogs | where UserPrincipalName == "BreakGlass@testseyf.onmicrosoft.com" | where Status.errorCode != '0' | extend AccountCustomEntity = Identity | extend IPCustomEntity = IPAddress | extend HostCustomEntity = SourceSystem
Une formation Mise en place Création des comptes Ajout de droit Global Admin Exclusion conditional access Création de règle dans Cloud App Security
Privileged Identity Management Une formation Seyfallah TAGREROUT
Une formation Plan Découverte de PIM Activation des rôles My role Access review
Découvrir le portail MyAccount - end user Une formation Seyfallah TAGREROUT
Conclusion Une formation Seyfallah TAGREROUT
Une formation Azure Active directory Administrer Azure Active Directory Le monde hybride avec Azure AD Le composant AD Connect AAD connect et l’administration Azure AD et la sécurité Bilan
Prochaines formations

Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021

Check these out next

Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021

Recommended

More Related Content

Slideshows for you(20)

Similar to Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021(20)

More from Alphorm(20)

Recently uploaded(20)

Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021