2020

[AD GPO] Gérer chrome avec les stratégies de groupe

Tout comme Firefox, il existe des fichiers ADMX pour gérer Google Chrome depuis les stratégies de groupe. Vous pouvez les télécharger dans le lien suivant.

Vous pouvez ajouter les fichier admx à votre magasin central. L'article suivant vous donne plus d'information sur la mise en place d'un magasin central.

Tags: 

[NPS] Migrer NPS et serveur Radius

 

Si vous souhaitez migrer les services NPS, comme par exemple votre serveur Radius, sur un nouveau serveur, vous pouvez utiliser l'export et l'import de la configuration pour faciliter le déploiement sur le nouveau serveur. Dans cet exemple, la configuration des services NPS sur un Windows 2008R2 est exportée et ensuite importée sur un nouveau serveur en 2016 à l'aide de PowerShell. Le temps de l'opération est inférieur à 5 minutes et comprend :

Tags: 

[Azure AD] Personnalisez la page de connexion à votre tenant

Azure AD offre la possibilité de personnaliser la connexion à votre environnement Azure en utilisant les options « Marque de société » du portail Azure AD.

L'option est disponible dans Azure AD  avec les Office 365 et Azure AD Premium P1 et P2. Azure AD premium P1 et P2 sont incluse dans les offres Microsoft ou EMS E3 et E5.

 

[Azure AD] Accès conditionnel

L'accès conditionnel est une autre option permettant de renforcer la sécurité dans Azure AD.

Elle permet de mettre en œuvre des conditions d'accès différentes en fonction de situation (signaux d'entrée). Parmi les éléments qui peuvent être pris en compte, nous retrouverons :

[Azure AD Sécurité] Utiliser l’authentification multi facteur (MFA)

 

L'authentification multi-facteur permet de renforcer la sécurité de la connexion à votre compte Azure en utilisant au moins deux mécanismes combinés pour vous connecter.

Le principe de l'authentification multi facteur est de combiner aux moins deux éléments parmi un élément que vous connaissez (mot de passe), un élément que vous possédez (smartphone par exemple) ou un élément qui vous caractérise (biométrie).

Tags: 

[Windows 2016] Erreur dans la console de stratégie de groupe

 

Si vous avez installé la mise à jour de septembre sur Windows 2016 Server, vous pouvez rencontrer des erreurs lors de l’affichage des options de sécurité dans les stratégies de groupe (gpedit.local ou gpmc.msc pour les domaines AD), comme présenté dans l’image ci-dessous :

L’erreur est décrite dans le lien suivant :

Tags: 

[Active Directory] Mise à jour suite vulnérabilité

 

Au mois d’août Microsoft a publié un correctif de sécurité lié à une faille du protocole NetLogon, qui peut être exploité pour prendre le contrôle d’un domaine Active Directory 

Un petit rappel a été lancé ce jeudi 29/10/2020, pour les entreprises n’ayant pas encore appliqué la mise à jour du mois d’août sur les contrôleurs de domaine :https://msrc-blog.microsoft.com/2020/10/29/attacks-exploiting-netlogon-vulnerability-cve-2020-1472/  .

[Azure AD] Migrer Azure AD Connect vers un nouveau serveur

Si vous souhaitez migrer, votre application de synchronisation  Azure AD Connect vers un nouveau serveur, une méthode simple consiste à installer l'outil sur le nouveau serveur en mode préproduction. Le mode de préproduction configure les éléments de la synchronisation, mais les données ne sont pas réellement copiées d'un vers l'autre. Vous pouvez suivre les étapes suivantes :

[Azure AD] Stratégie d’expiration des mots de passe (2)

Si vous n'avez pas lu la première partie de l'article, je vous conseille de la lire avant de modifier vos stratégies d'expiration de mot de passe.

Les paramètres d'expiration et d'avertissement peuvent être modifiant en utilisant le lien dans le portail Web d'administration de Microsoft : https://admin.microsoft.com/Adminportal/Home#/settings/security

Pour modifier les paramètres, il suffit de cliquer sur modifier à droite.

[Azure AD] Stratégie d’expiration des mots de passe (1)

Lorsque vous utilisez des comptes Azure AD, il existe des paramètres par défaut pour l'expiration des mots de passe, permettant ainsi de garantir que le mot de passe de vos utilisateurs change régulièrement. Vous pouvez configurer deux valeurs, la durée de vie maximale du mot de passe et le seuil d'avertissement. Les valeurs par défaut sont de 90 jours pour la durée de vie maximale et l'avertissement se fait à 14 jours de l'expiration.

[AD Sécurité] Gérer vos comptes administrateurs locaux avec LAPS (partie 2)

Dans la première partie nous avons :

  • Installer LAPS sur le poste de management
  • Etendue le schéma de l'annuaire AD
  • Déléguer le droit d'enregistrer le mot de passe dans l'annuaire au compte de l'ordinateur
  • Déléguer le droit de lire le mot de passe à un compte spécifique de l'équipe support.

Dans cette seconde partie, nous allons :

[AD Sécurité] Gérer vos comptes administrateurs locaux avec LAPS (partie 1)

La gestion des comptes locaux des postes de travail membre du domaine peut s'avérer délicate. Il peut arriver de devoir utiliser un compte local avec des droits d'administrations sur l'ordinateur. Mais la gestion du mot de passe de ce compte présent sur l'ensemble des postes peut poser un problème. Il existe une solution gratuite proposée par Microsoft permettant de gérer des mots de passe uniques pour un compte spécifique sur l'ensemble des postes membres du domaine : Microsoft Local Administrator Password Solution (LAPS).

[AD DS Sécurité] Délégué l’administration de l’annuaire

Dans la gestion quotidienne des comptes de l'annuaire Active Directory, il n'est pas recommandé d'utiliser systématiquement des comptes membre de « Admins du domaine ». Il est possible de déléguer ces opérations à des groupes d'utilisateurs spécifiques. Vous pouvez par exemple, limiter le droit de réinitialiser le mot de passe à une partie de l'équipe IT, vous pouvez également déléguer le droit de remplir certaines informations comme la fonction ou le service de l'utilisateur à l'équipe RH.

[AD DS Securité] Gérer les administrateurs des postes avec GPP

Il y a quelques années j'avais écrit sur un article sur la gestion des utilisateurs et groupe locaux à l'aide des GPO. Je vous présente ici, une autre méthode qui existe depuis 2008 et qui utilise les préférences dans les stratégies de groupes. L'objectif est d'ajouter un groupe spécifique en tant qu'administrateurs des postes de travail, afin d'éviter d'utiliser des mots de passe de comptes administrateurs du domaine sur les postes.

[Azure AD Connect] Ajouter un agent d’authentification

Dans un article précédent, j'avais présenté l'option d'authentification unique (SSO) ainsi que l'option d'authentification directe qui évite la synchronisation du mot de passe dans Azure (Pass Through Authentication) de Azure AD Connect. Si vous utilisez l'option d'authentification directe, un connecteur est installé sur le serveur ou se trouve Azure AD Connect et ce dernier va faire le lien. En cas de panne de ce service, les utilisateurs ne pourront plus s'authentifier dans Azure et Office 365.

[AD PowerShell] Déplacement des rôles FSMO

J'avais écrit il y a pas mal de temps un article sur le déplacement des rôles FSMO depuis les consoles Active Directory : http://www.pbarth.fr/node/79 .

Dans cet article nous allons voir comment déplacer rapidement l'ensemble des rôles FSMO avec PowerShell.

Les premières commandes que nous allons voir, permettent de déterminer les serveurs qui disposent des rôles actuellement.

Pour déterminer les serveurs qui disposent des rôles FSMO du domaine vous pouvez utiliser la commande :

[Azure AD] Domaine personnalisé

 

Dans Azure Active Directory, vous disposez d'au moins d'un répertoire par défaut contenant des utilisateurs, des groupes et d'autres objets Active Directory. Chacun de ses répertoires dispose par défaut d'un nom de domaine en mondomaine.OnMicrosoft.com. Il est possible de créer des répertoires supplémentaires pour un même compte.

Vous avez la possibilité d'ajouter un nom de domaine personnalisé, que vous pourrez utiliser en tant qu'identifiant d'utilisateur afin de faire correspondre l'identifiant avec l'adresse email par exemple.

[ Azure Cloud] Gérer son environnement

Il existe plusieurs solutions permettant de gérer son environnement Azure, que ce soit pour créer des VMs ou pour gérer Azure Active Directory. La première solution est le portail Web azure disponible à l'adresse https://portal.azure.com/#home.

Une autre solution est l'utilisation de l'application Windows que vous pourrez installer sur votre poste de travail. Vous pourrez télécharger l'application avec le lien suivant :

https://preview.portal.azure.com/app/welcome

[Azure AD] Groupe dynamique

 

Si vous disposez d'une licence Azure AD P1 ou P2, incluse dans les offres EMS E3 ou E5, vous pouvez profiter de l'utilisation de groupes dynamiques. Un groupe dynamique est un groupe de sécurité ou un groupe Office 365, dont les membres sont le résultat d'une requête sur les attributs de vos utilisateurs.

Pour configurer un groupe dynamique, ouvrez les propriétés du groupe, et sélectionnez le type d'appartenance :

[Azure AD PowerShell] Créer un utilisateur

Si vous n'utilisez pas Azure AD Connect pour synchroniser vos comptes depuis votre domaine local, vous pouvez créer les comptes directement dans l'interface de gestion d'Azure Active Directory. Il est également possible de le faire par script comme par exemple avec PowerShell. Pour cela il vous faudra installer le module PowerShell AzureAD. Vous pouvez également utiliser le module propre à MSOnLine.

[Azure AD PowerShell] Installer et mettre à jour le module Azure AD

Dans l'article suivant nous avons parlé de la gestion des comptes Office 365, stocké dans Azure AD avec PowerShell. Nous avons pour cela installé le module MSOnline. Il existe un autre module permettant de gérer Azure Active Directory et non lié à Office 365 : le module Azure AD.

La commande suivante permet de voir si le module AzureAD est déjà installé et la version que vous disposez :

[Azure Active Directory] Premium P1 et P2

 

Azure Active Directory est une solution de gestion d'identité d'authentification hébergée dans le cloud. Azure Active Directory est également fortement liée à Office 365, puisque ce dernier l'utilise pour la gestion des utilisateurs. Comme nous l'avons vu dans cette série d'articles il est possible de synchroniser, les comptes de son domaine Active Directory Domain Services avec Azure à l'aide d'AAD Connect .

 

[News] Fin du support de Windows 7 et Windows server 2008

 

Le support des produits Windows 7 et Windows Serveur 2008/ 2008R2 a pris fin le 14/01/2020.

Pour ceux qui utilisent encore ces anciennes versions, il n'y aura désormais plus de mise à jour mensuelle y compris pour les correctifs de sécurité.

 

https://support.microsoft.com/fr-fr/help/4057281/windows-7-support-ended-on-january-14-2020

S'abonner à RSS - 2020