Microsoft Azure | Calipia : le blog

Archives des étiquettes : Microsoft Azure

Des évolutions intéressantes dans le licencing d’Azure Active Directory

Publié le 4 septembre 2018 par Pierre Bugnon Poster un commentaire

Cadenas Azure Active Directory, la solution de Microsoft pour la gestion des identités dans le Cloud est disponible en quatre éditions (Gratuite, Basique, Premium P1 et Premium P2) en plus d’être utilisé par les applications Office 365. A chaque édition correspond, pour un prix croissant, des fonctionnalités plus nombreuses et des limitations repoussées. Les éditions Premium P1 et Premium P2 étant aussi intégrées dans les éditions E3 et E5 de la suite de sécurité Enterprise Mobility + Security.

Mais quelques modifications intéressantes (pour les entreprises) ont été remarquées par Jean-Sébastien Duchene et font l’objet d’un billet dans son blog MicrosoftTouch. Le garçon étant plutôt bien renseigné, je me permets de relayer l’information, en la complétant légèrement afin de la rendre compréhensible pour les non-initiés :

1. Les entreprises peuvent maintenant acheter le service Azure AD Identity Protection pour un sous ensemble d’utilisateurs. Cette fonctionnalité permet de détecter les vulnérabilités potentielles qui affectent les identités de votre organisation, de configurer des réponses automatiques aux actions suspectes détectées, et d’examiner les incidents suspects afin de prendre les mesures appropriées pour les résoudre. Elle nécessite Azure AD Premium P2 (l’édition la plus chère) mais ne peut être considérée comme étant vraiment utile que pour certains comptes utilisateurs sensibles.

2. Les clients Azure AD Premium 1 (P1) peuvent maintenant activer les restrictions basées sur le proxy dans l’accès conditionnel. Les stratégies d’accès conditionnel permettent d’intégrer des critères (emplacement réseau, appareil géré, connexion à risque, etc.) qui vont permettre de limiter l’accès aux applications cloud ou de forcer une authentification multi-facteurs. La localisation des connexions transitant par un proxy est un des critères.

conditional access

3. Les clients Azure AD Premium 1 (P1) peuvent utiliser des solutions d’authentification à facteurs multiples (MFA) tierces. Cette fonctionnalité est en preview et permet de compléter (ou remplacer) Azure Multi-Factor Authentication.

MFA

Voilà donc des évolutions qui vont dans le bon sens pour faciliter la mise en œuvre d’une infrastructure de gestion des identités plus sécurisée.

Actualité

Sécurité : Deux passerelles importantes entre les mondes Microsoft et Google dans le domaine de l’authentification ont été dévoilées

Publié le 2 septembre 2018 par Pierre Bugnon Poster un commentaire

Toute notion de sécurité informatique repose sur la possibilité pour un utilisateur, une machine ou un processus de fournir une identité numérique, et que celle-ci puisse être vérifiée lors d’un processus dit d’authentification dont le but est de vérifier que le « secret » associé est valide.

Avec la rapide adoption des services applicatifs proposés dans le Cloud différents fournisseurs d’identités se sont imposés, tels que Microsoft avec Azure Active Directory ou Google avec Google Account, sans bien sûr oublier Facebook. Mais ce sont des mondes généralement assez indépendants surtout si l’on sort du cadre d’une simple authentification en « B2C » à un site Web sécurisé.

Mais manifestement les choses commencent à changer, avec deux annonces récentes :

Le blog Chrome Story suggère qu’il sera bientôt possible de se connecter à Windows 10 en utilisant les informations de son compte Google.

Authentification Google MS

Cette nouvelle fonctionnalité devrait s’appuyer un « Credential Provider de Google » afin de permettre à Windows d’authentifier les utilisateurs grâce à leur compte entreprise G Suite ou à leur compte Google standard. Tous les détails techniques sont proposés sur le site BleepingComputer.

De plus Mary Jo Foley indique dans son blog que la fédération entre les identités Google Gmail et Azure Active directory B2B est maintenant possible.

Authentification Google MS 2

Cette annonce est importante puisque si Azure AD B2C permet une certaine ouverture vers d’autres fournisseurs d’identité dans le Cloud, Azure AD B2B (qui est utilisé par Office 365 et les partenaires B2B de Microsoft), ne s’appuyait jusqu’alors que sur des identités Azure ou « Microsoft Account ».

Actualité

Le rapport final sur l’interruption de service Azure du 18 novembre

Publié le 19 décembre 2014 par Pierre Bugnon Poster un commentaire

Microsoft vient de publier le rapport final sur l’interruption de service survenue le 18 novembre pour sa plateforme Microsoft Azure.

Pour rappel, ce problème est survenu à la suite d’une mise à jour du service de stockage Azure afin d’en améliorer les performances. Bien que la mise à jour ait été testé pendant plusieurs semaines, elle a engendré un problème résultant en une boucle infini sur les frontends du stockage des blobs. Il est ainsi devenu impossible pour le service d’absorber le trafic et les services associés (machine virtuelle, sites web, visual studio online…) ont été impactés.

Les régions suivantes ont été affectées : Etats Unis, Europe, Asie, Japon.

Le résultat de l’investigation a montré deux erreurs opérationnelles :

La stratégie de déploiement à la volée de manière incrémentielle à travers les couches de production n’a pas été suivie.
Bien que la validation dans les environnements de test et de pré-production ait été faite contre Azure Table storage Front-Ends, le commutateur de configuration n’a pas été correctement activé pour Blob storage Front-Ends.

Après avoir découvert le problème, tous les changements de configuration ont été immédiatement arrêtés pour examiner l’écart avec l’outil de déploiement. Lorsque l’analyse a été terminée, Microsoft a publié une mise à jour de l’outil de déploiement pour faire respecter la stratégie de déploiement.

En résumé, Microsoft Azure avait une stratégie opérationnelle claire mais il y avait un écart dans l’outil de déploiement qui est utilisé pour prendre des décisions.

La plupart des machines virtuelles ont pu redémarrer en utilisant le mécanisme de recouverte automatique. Cependant certains problèmes ont été constatés pour quelques machines :

Durant la restauration, certaines machines ont expérimenté un time-out dans le montage des disques.
Des machines ont échoués durant le provisionnement et l’installation.
Un petit pourcentage de machines virtuelles ont subi une erreur de programmation réseau.

Mutualiser mondialement les ressources est donc certes intéressant, mais implique une mondialisation des risques. Avec heureusement dans ce cas des moyens importants pour réagir.

C’est donc un rappel à l’ordre utile…

Actualité

Microsoft renforce son offre Cloud Hybride

Publié le 23 octobre 2014 par Pierre Bugnon Poster un commentaire

Microsoft a annoncé, avec le soutien de Dell, une offre d’appliances permettant de simplifier la mise en œuvre d’un Cloud « Hybride » de type IaaS ou PaaS. Cette offre, appelée Cloud Platform System (CPS) fait suite à l’annonce au printemps d’Azure ExpressRoute, visant à faciliter la connexion de Datacenters privés à son Cloud Public Microsoft Azure.

Lors d’une conférence pour les médias animée par Satya Nadella et Scott Guthrie, respectivement CEO et vice-président Cloud et Entreprise de Microsoft, CPS a été décrit comme un « Software Defined Data Center in a box », probablement de façon exagérée (le terme SDDC étant largement galvaudé), et certainement pour s’aligner sur la stratégie de communication de VMware.

Concrètement de quoi parle-t-on ?

Cette offre est une appliance « préconfigurée » permettant pour une entreprise de mettre rapidement en œuvre :

Un IaaS (virtualisation) privé.
Un PaaS (API Rest, Web, SQL) privé.

Avec de plus les composants nécessaires pour pouvoir le cas échéant basculer facilement les ressources « privées » en mode « public » (sur Microsoft Azure), le tout basé sur les technologies Windows Server 2012 R2, System Center 2012 R2, Windows Azure Pack, SQL Server, les APIs REST et Windows Powershell. Avec aussi des services d’antivirus, de sauvegardes de VMs, de plans de reprise d’activité, de mise à jour automatisé, etc.

Il n’y a évidemment aucun management de Microsoft en mode de fonctionnement « privé », mais vous disposez d’une interface d’administration Azure permettant de simplifier une utilisation en mode « hybride ».

CPS est donc assez proche dans sa philosophie de l’offre APS (Analytics Platform System) qui avait été proposée au printemps et qui ciblait le Big Data (en mode hybride), et même si aucun élément technique nouveau n’est associé à cette annonce le concept peut être séduisant.

Actualité

Microsoft renomme Windows Azure

Publié le 27 mars 2014 par Eric Mijonnet Poster un commentaire

Le 3 avril, le changement de nom de Windows Azure sera effectif, soit quelques jours après l’annonce : Microsoft Azure sera ainsi le nouveau nom de l’offre Cloud de Microsoft.

Le changement peut apparaître anecdotique, mais reflète néanmoins l’acceptation par l’éditeur de Redmond de la nécessité d’une stratégie ouverte ou Windows n’est plus qu’une alternative parmi d’autres pour l’équipement des différents facteurs de formes mis entre les mains des utilisateurs : iOs, Android, MacOS, etc.

Un vrai signe des temps, indéniablement positif pour l’avenir de l’entreprise !