Au mois de mars, Microsoft avait annoncé la modification des cycles des annonces des nouveautés (4 * par an : en mars, juin, septembre et novembre) et des services en fin de vie (2* par an, en mars et septembre).

Parmi les services en fin de vie annoncés au 30/09, il y a l'utilisation du serveur MFA sur site. Depuis le 1^er juillet 2019, cette option n'est plus disponible pour les entreprises qui ne l'ont pas déployé. La solution a été remplacée par les services MFA basé sur le cloud.

Microsoft a mis à disposition une nouvelle méthode d'authentification pour l'authentification multi-facteur dans Azure Active Directory B2C.

Azure Active Directory vous permet de gérer l'accès aux utilisateurs de vos applications. Il propose d'utiliser des méthodes d'authentification multi-facteurs (MFA).

Dans l'actualité Microsoft depuis quelques mois l'évolution des services d'identités avec un nouveau nom, Microsoft Entra et une nouvelle interface d'administration :

https://entra.microsoft.com/#home

Microsoft Entra comprend :

Microsoft a annoncé la disponibilité générale de l'option de laissez-passer d'accès temporaire (TAP) , en tant que méthode d'authentification supplémentaire.

TAP est un mot de passe limité dans le temps qui permet aux utilisateurs d'enregistrer des méthodes d'authentification sans mot de passe.

L'option est activable dans les méthodes d'authentification.

Le TAP est également une solution permettant de donner un accès temporaire à un compte, si l'utilisateur a oublié ou perdu son moyen d'authentification comme une clé Fido2.

Une évolution sur la gestion des contrôles d'accès basés sur les rôles permet de créer des rôles personnalisés pour la gestion des applications.

La création de rôle personnalisé nécessite des licences Azure AD Premium P1 ou P2. Ces dernières sont respectivement dans EMS E3 / Microsoft 365 E3 et EMS E5 Microsoft E5.

Il est possible d'activer une version d'essai d'Azure AD Premium ou de EMS E5.

Vous trouverez plus d'information sur la gestion des rôles personnalisés pour les applications dans l'article suivant :

Un nouveau scénario de synchronisation est disponible en préversion depuis quelques jours.

Il est maintenant possible de synchroniser son environnement sur site avec plusieurs locataires Azure AD et donc vers plusieurs environnement Office 365.

L'architecture comprendra une installation d'Azure AD Connect pour chaque locataire Azure AD.

Azure AD offre la possibilité de personnaliser la connexion à votre environnement Azure en utilisant les options « Marque de société » du portail Azure AD.

L'option est disponible dans Azure AD  avec les Office 365 et Azure AD Premium P1 et P2. Azure AD premium P1 et P2 sont incluse dans les offres Microsoft ou EMS E3 et E5.

Les options de sécurité d'Azure AD Identitity Protection inclus dans l'abonnement Azure AD Premium P2 ou EMS/Microsoft plan E5, inclut des outils d'analyse de risque sur les utilisateurs et les connexions des utilisateurs.

Si vous souhaitez migrer, votre application de synchronisation  Azure AD Connect vers un nouveau serveur, une méthode simple consiste à installer l'outil sur le nouveau serveur en mode préproduction. Le mode de préproduction configure les éléments de la synchronisation, mais les données ne sont pas réellement copiées d'un vers l'autre. Vous pouvez suivre les étapes suivantes :

Si vous n'avez pas lu la première partie de l'article, je vous conseille de la lire avant de modifier vos stratégies d'expiration de mot de passe.

Les paramètres d'expiration et d'avertissement peuvent être modifiant en utilisant le lien dans le portail Web d'administration de Microsoft : https://admin.microsoft.com/Adminportal/Home#/settings/security

Pour modifier les paramètres, il suffit de cliquer sur modifier à droite.

Dans un article précédent, j'avais présenté l'option d'authentification unique (SSO) ainsi que l'option d'authentification directe qui évite la synchronisation du mot de passe dans Azure (Pass Through Authentication) de Azure AD Connect. Si vous utilisez l'option d'authentification directe, un connecteur est installé sur le serveur ou se trouve Azure AD Connect et ce dernier va faire le lien. En cas de panne de ce service, les utilisateurs ne pourront plus s'authentifier dans Azure et Office 365.

Si vous disposez d'une licence Azure AD P1 ou P2, incluse dans les offres EMS E3 ou E5, vous pouvez profiter de l'utilisation de groupes dynamiques. Un groupe dynamique est un groupe de sécurité ou un groupe Office 365, dont les membres sont le résultat d'une requête sur les attributs de vos utilisateurs.

Pour configurer un groupe dynamique, ouvrez les propriétés du groupe, et sélectionnez le type d'appartenance :

Il existe plusieurs possibilités pour créer vos comptes Azure Active Directory. Une des possibilités est de synchroniser vos comptes de votre annuaire local vers Azure, comme expliqué dans l'article suivant.

Azure Active Directory est une solution de gestion d'identité d'authentification hébergée dans le cloud. Azure Active Directory est également fortement liée à Office 365, puisque ce dernier l'utilise pour la gestion des utilisateurs. Comme nous l'avons vu dans cette série d'articles il est possible de synchroniser, les comptes de son domaine Active Directory Domain Services avec Azure à l'aide d'AAD Connect .

Si vous avez mis en place la synchronisation d'annuaire entre votre annuaire AD sur site et Azure Active Directory à l'aide de l'outil Azure AD Connect, il est possible de désactiver la synchronisation avec le module PowerShell d'Azure.

Pour installer le module, consulter l'article :

http://www.pbarth.fr/node/235

Une fois le module installé et après vous êtes connecté sur votre Tenant office, vous pouvez consulter l'état de la synchronisation avec la commande :