Il y a quelques années, Microsoft proposait une solution de serveur MFA pour les annuaires Active Directory sur site. L'installation du serveur Azure MFA sur site nécessité la mise en place d'une architecture assez complexe.

A partir de 1^er juillet 2019, cette option n'était plus disponible pour les clients qui ne l'avaient pas encore installé. A partir de cette date, les clients qui le souhaitaient doivent utiliser Azure AD MFA basé sur le cloud.

Les clients ayant déjà mis en place peuvent continuer à utiliser la solution.

Pour rappel, si vous utilisez encore une ancienne version d'Azure AD Connect 1.0, elle sera mise hors service au 31/08/2022.

https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/reference-connect-version-history

Il est temps de mettre à jour l'outil de synchronisation des comptes.

Microsoft a annoncé la disponibilité générale de l'option de laissez-passer d'accès temporaire (TAP) , en tant que méthode d'authentification supplémentaire.

TAP est un mot de passe limité dans le temps qui permet aux utilisateurs d'enregistrer des méthodes d'authentification sans mot de passe.

L'option est activable dans les méthodes d'authentification.

Le TAP est également une solution permettant de donner un accès temporaire à un compte, si l'utilisateur a oublié ou perdu son moyen d'authentification comme une clé Fido2.

Une évolution sur la gestion des contrôles d'accès basés sur les rôles permet de créer des rôles personnalisés pour la gestion des applications.

La création de rôle personnalisé nécessite des licences Azure AD Premium P1 ou P2. Ces dernières sont respectivement dans EMS E3 / Microsoft 365 E3 et EMS E5 Microsoft E5.

Il est possible d'activer une version d'essai d'Azure AD Premium ou de EMS E5.

Vous trouverez plus d'information sur la gestion des rôles personnalisés pour les applications dans l'article suivant :

Un nouveau scénario de synchronisation est disponible en préversion depuis quelques jours.

Il est maintenant possible de synchroniser son environnement sur site avec plusieurs locataires Azure AD et donc vers plusieurs environnement Office 365.

L'architecture comprendra une installation d'Azure AD Connect pour chaque locataire Azure AD.

Azure AD offre la possibilité de personnaliser la connexion à votre environnement Azure en utilisant les options « Marque de société » du portail Azure AD.

L'option est disponible dans Azure AD  avec les Office 365 et Azure AD Premium P1 et P2. Azure AD premium P1 et P2 sont incluse dans les offres Microsoft ou EMS E3 et E5.

Les options de sécurité d'Azure AD Identitity Protection inclus dans l'abonnement Azure AD Premium P2 ou EMS/Microsoft plan E5, inclut des outils d'analyse de risque sur les utilisateurs et les connexions des utilisateurs.

Si vous souhaitez migrer, votre application de synchronisation  Azure AD Connect vers un nouveau serveur, une méthode simple consiste à installer l'outil sur le nouveau serveur en mode préproduction. Le mode de préproduction configure les éléments de la synchronisation, mais les données ne sont pas réellement copiées d'un vers l'autre. Vous pouvez suivre les étapes suivantes :

Si vous n'avez pas lu la première partie de l'article, je vous conseille de la lire avant de modifier vos stratégies d'expiration de mot de passe.

Les paramètres d'expiration et d'avertissement peuvent être modifiant en utilisant le lien dans le portail Web d'administration de Microsoft : https://admin.microsoft.com/Adminportal/Home#/settings/security

Pour modifier les paramètres, il suffit de cliquer sur modifier à droite.

Dans un article précédent, j'avais présenté l'option d'authentification unique (SSO) ainsi que l'option d'authentification directe qui évite la synchronisation du mot de passe dans Azure (Pass Through Authentication) de Azure AD Connect. Si vous utilisez l'option d'authentification directe, un connecteur est installé sur le serveur ou se trouve Azure AD Connect et ce dernier va faire le lien. En cas de panne de ce service, les utilisateurs ne pourront plus s'authentifier dans Azure et Office 365.

Si vous disposez d'une licence Azure AD P1 ou P2, incluse dans les offres EMS E3 ou E5, vous pouvez profiter de l'utilisation de groupes dynamiques. Un groupe dynamique est un groupe de sécurité ou un groupe Office 365, dont les membres sont le résultat d'une requête sur les attributs de vos utilisateurs.

Pour configurer un groupe dynamique, ouvrez les propriétés du groupe, et sélectionnez le type d'appartenance :

Il existe plusieurs possibilités pour créer vos comptes Azure Active Directory. Une des possibilités est de synchroniser vos comptes de votre annuaire local vers Azure, comme expliqué dans l'article suivant.

Azure Active Directory est une solution de gestion d'identité d'authentification hébergée dans le cloud. Azure Active Directory est également fortement liée à Office 365, puisque ce dernier l'utilise pour la gestion des utilisateurs. Comme nous l'avons vu dans cette série d'articles il est possible de synchroniser, les comptes de son domaine Active Directory Domain Services avec Azure à l'aide d'AAD Connect .

Si vous avez mis en place la synchronisation d'annuaire entre votre annuaire AD sur site et Azure Active Directory à l'aide de l'outil Azure AD Connect, il est possible de désactiver la synchronisation avec le module PowerShell d'Azure.

Pour installer le module, consulter l'article :

http://www.pbarth.fr/node/235

Une fois le module installé et après vous êtes connecté sur votre Tenant office, vous pouvez consulter l'état de la synchronisation avec la commande :

Lorsque vous modifier le schéma de votre annuaire Active Directory local (On Premise), vous devez mettre à jour l'outil de synchronisation Azure AD Connect, pour qu'il prenne en compte les modifications. C'est le cas par exemple, lorsque vous faites une extension de schéma pour installer un serveur Microsoft Exchange ou lorsque vous souhaitez installer un contrôleur de domaine plus récent.