Archives des étiquettes : Azure AD

Licences Echange Online : simplification de l’administration

Vendredi dernier, Microsoft a annoncé avoir simplifié l’administration des licences Exchange Online lorsqu’elles sont utilisées avec Azure Active Directory. Et ce n’est pas toujours très simple. En attribuant des licences à l’aide du centre d’administration Microsoft 365 ou d’Azure AD PowerShell, certains ont parfois reçu un message indiquant qu’ils ne pouvaient pas attribuer des licences comprenant des services « conflictuels ». Avec à la clé des détails qui ne sont pas plus explicites : « L’attribution de licence a échoué parce que les « attributions simultanées de licences Exchange Online ne son pas autorisées« . En cause plus simplement la non « superposition » possible de licences couvrant le même domaine fonctionnel : Exchange Online !

Avec les nouvelle possibilités offertes par Microsoft c’est maintenant la licence qui prend en charge le plus de fonctionnalités qui aura la priorité sur une licence de moindre importance. Microsoft donne un exemple pour bien expliquer ce changement :

« Lors d’une tentative d’attribution d’une licence Exchange Online Plan 2 à un titulaire de licence Microsoft 365 Business Standard existant (qui dispose déjà de capacités d’accès à Exchange Online). Nous avions avant un échec d’attribution de licence, mais désormais ces licences sont superposées« 

L’ancienne approche d’attribution des licences Exchange Online posait surtout problème aux grandes entreprises clientes de Microsoft qui utilisaient des groupes pour attribuer les licences, explique l’annonce. Les grandes entreprises devaient déterminer « de quel groupe supprimer l’utilisateur » lors de nouvelles attributions. L’ancienne approche était également problématique si des scripts automatisés étaient utilisés dans le cadre de ce processus.

La nouvelle approche avec le cumul des licences d’Exchange Online offre également des avantages pour les organisations qui passent à Teams ou SharePoint. En effet De nombreux services d’Office 365 (y compris Teams) dépendent d’Exchange Online pour stocker des données ou accéder à des données provenant de boîtes aux lettres. Pour cette raison, les packs de licences construits pour Teams ou SharePoint ou d’autres services, incluent parfois une licence Exchange Online également…

Attention néanmoins au risque de double facturation

Il est possible qu’une organisation soit doublement facturée avec la nouvelle approche de Microsoft en matière de cumul de licences pour Exchange Online. car logiquement si deux licences sont attribuées, elles sont toutes « utilisées » (et peuvent être facturées) il sera donc important de ne pas utiliser cette fonction les yeux fermés mais de refaire un point sur l’ensemble, ce qui n’est pas toujours des plus simple, au moins l’erreur générée précédemment évitait ce problème…

La modification du cumul des licences Exchange Online est entré en vigueur dès maintenant pour tous les tenants hors secteur public « Gouv », mais qui devrait arriver aussi d’ici juin.

IPv6 arrive sur Azure AD

Microsoft avait annoncé la prise en charge globale d’IPv6 sur les services Azure dès 2016 mais la semaine dernière elle a annoncé commencer à apporter la prise en charge du protocole Internet version 6 (IPv6) à ses services Azure Active Directory.

Ce changement pourrait présenter un avantage financier en premier lieu, car la prise en charge de l’IPv6 pourrait également contribuer à réduire les dépenses liées aux adresses IPv4 coûteuses et surtout en voie d’épuisement rapide. Néanmoins aucune obligation à ce stade de passer par iPV6 et Microsoft précise qu’il n’a pas l’intention de « déprioriser » l’IPv4, car son utilisation ne devrait pas disparaître dans un avenir proche…

La prise en charge d’IPv6 pour Azure AD arrivera selon « une approche progressive », à partir du 31 mars 2023, les utilisateurs d’Azure AD pourront accéder à ces services via « des points d’extrémité IPv4, IPv6 ou à double pile », explique Microsoft.

Sans surprise, Microsoft a conseillé de procéder à un audit avant le prochain changement d’IPv6. Ils devraient vérifier s’ils utilisent des « emplacements nommés » ou Azure AD « des politiques d’accès conditionnel basées sur l’emplacement pour restreindre et sécuriser l’accès à leurs applications », ce qui pourrait avoir logiquement des effets avec la prise en charge d’IPv6.

Microsoft précise que dans certains cas, l’utilisation d’une adresse IPv6 sera déclenchée automatiquement. Par exemple,lorsque Exchange Online est utilisé avec des méthodes d' »authentification anciennes ». L’Outlook Web App utilisé dans un navigateur peut voir sa session interrompue s’il n’y a pas de plage d’adresses IPv6 configurée, prévient également microsoft. L’entreprise précise aussi que les organisations utilisant Azure VNets auront « du trafic provenant d’une adresse IPv6 », de sorte que les politiques d’accès conditionnel Azure AD doivent être vérifiées pour toute exclusion IPv6.

Pour rappel il est possible d’identifier le trafic IPv6 utilisé avec leurs locations Azure AD via les « rapports d’activité de connexion Azure AD« . Ils devront ajouter une colonne « adresse IP » au rapport pour voir cette activité

Azure AD : « My Sign-Ins » disponible pour tous les utilisateurs d’Office 365

Azure AD My Sign-Ins 5Bonne nouvelle, la fonction « My Sign-Ins » pour les utilisateurs d’Office 365, qui leur permet de vérifier les tentatives de connexion à leur compte, est maintenant disponible pour tous.

My Sign-Ins est une fonction accessible directement par cette URL permettant d’avoir accès aux informations suivantes :

  • Si quelqu’un essaie de deviner votre mot de passe.
  • Si un attaquant a réussi à se connecter à son compte depuis un endroit inconnu.
  • Le cas échéant, les applications auxquelles l’attaquant a accédé.

Cette fonctionnalité avait été présentée en beta en octobre dernier. Depuis lors, Microsoft a ajouté d’autres fonctionnalités. Par exemple, elle comprend maintenant deux nouveaux boutons qui permettent aux utilisateurs de classer l’activité du compte qui s’affiche – à savoir, des boutons « Ce n’était pas moi » et « C’était moi ».

En cliquant sur le bouton « Ce n’était pas moi », les utilisateurs peuvent modifier leur mot de passe.  L’application « Mes ouvertures de session » indiquera aux utilisateurs l’emplacement approximatif associé à la tentative.

Les tentatives de connexion infructueuses sont affichées. Elles peuvent être dues à des mots de passe mal tapés par l’utilisateur réel ou à un attaquant qui a tenté de deviner le mot de passe. Dans les cas où un attaquant est actif, mais ne parvient pas à deviner le mot de passe, Microsoft conseille d’activer l’authentification multifacteur ou MFA (ajout d’une seconde méthode de vérification de l’identité au-delà du mot de passe et dans ce cas le mot de passe n’a pas besoin d’être modifié).

Microsoft rappelle à ce propos que :

« Sur la base de nos études, les comptes protégés par MFA ont 99,9 % de chances en moins d’être compromis« .

0Pour l’instant les alertes ne sont pas gérées (car potentiellement trop nombreuses) mais Robyn Hicock, la responsable du programme au sein de l’équipe de Microsoft Identity Security and Protection, a indiqué que cela faisait partie des plans de Microsoft :

« Notre plan à long terme est de donner aux administrateurs la possibilité de mettre en place des alertes. Microsoft a également l’intention d’envoyer des alertes aussi aux utilisateurs finaux« .

Pas d’information en revanche sur une date de disponibilité pour cette fonction.

Le support de l’authentification AD dans Azure Files est disponible en beta

Azure_FilesPour rappel sur Azure Files : l’éditeur défini son service ainsi :

« offre la possibilité de réaliser des partages de fichiers managés dans le cloud qui sont accessibles via le protocole SMB standard. Les partages de fichiers Azure peuvent être montés simultanément sur des déploiements cloud ou locaux de Windows, Linux et macOS« . En complément, « les partages de fichiers Azure peuvent être mis en cache sur les serveurs Windows avec Azure File Sync pour un accès rapide à proximité de l’endroit où les données sont utilisées« .

Les utilisateurs de (la formidable) apps La Synthèse en connaissent sans aucun doute tous les usages 🙂

En août 2019, Microsoft avait introduit de nouvelles fonctions de sécurité dans son service Azure Files. En particulier la prise en charge de l’authentification Active Directory Domain Service (AD DS) pour l’accès aux fichiers via le protocole traditionnel d’échange sous Windows : SMB (Server Message Block). Aujourd’hui, cette capacité s’élargie avec la mise à disposition en beta de l’authentification classique Azure AD pour Azure Files.

En résumé il est maintenant possible d’accéder aux fichiers Azure Files avec la même expérience qu’on le ferait en local avec une authentification AD… L’éditeur annonce que l’authentification pour les niveaux standard et premium sera disponible, sans aucune restriction en termes de limitation de la fonction à une utilisation sur site ou dans le Cloud. Les autorisations au niveau des partages peuvent être modifiées en utilisant les ACLs sur les rôles. En attendant, les autorisations au niveau des répertoires et des fichiers peuvent être appliquées en utilisant les ACLs discrétionnaire NTFS.

Microsoft estime que grâce à l’authentification AD, Azure Files peut s’avérer être la solution de stockage idéale pour les utilisateurs utilisant les services VDI de l’éditeur. 

Plus d’informations en suivant ce lien.