Azure AD (Restreindre l'accès au portail)

Bonjour à tous, nouvel article concernant l'accès au portail "Azure Active Directory".

L'objectif de cet article sera de vous montrer comment restreindre l'accès au portail "Azure Active Directory" .

Aujourd'hui, si je me connecte sur le portail "Azure Active Directory" avec un utilisateur par défaut je constate qu'il a accès aux informations de l’ensemble de l'application.

Ce  n'est pas grave en soit car il ne pourra pas apporter de modifications, mais ça me gêne un peu de laisser un utilisateur d'avoir accès à ce type d'informations.

On peut constater que certaines fonctionnalités sont quand même bloquées (grisées).






Nous allons nous connecter sur le portail "Azure AD" avec votre compte Admin sur l'adresse suivante: https://aad.portal.azure.com

Cliquer sur "Paramètres Utilisateur"

Dans la partie "Portail d'administration" sur "Limiter l'accès au portail d'administration Azure AD" valider la case "Oui" et "Enregistrer".

Nous testons à nouveau l'accès avec notre compte utilisateur et nous pouvons constater qu'il n'a plus accès au différents menus.

Dans cet article, nous avons pu voir comment restreindre l'accès au portail "Azure AD".

A bientôt. 😏

Azure AD Privileged Identity Management

Bonjour à tous, nouvel article aujourd'hui sur "Azure AD Privileged  Identity Management".

"Azure AD Privileged  Identity Management" est un service Azure permettant de gérer et contrôler l'accès aux ressources Azure (Azure AD, Office 365, Azure....).

L'objectif de "PIM" est donc de pouvoir déléguer avec affinités les accès (Accès configuration Teams, Exchange, Administration des licences....).

Grâce à "Azure AD Privileged  Identity Management" nous allons donc pouvoir:

• Donner des accès temporels à des utilisateurs (accès à la demande).
• Remonter des alertes d'accès à des applications avec privilèges.
• Gérer l'attribution des rôles à haut privilèges dans Azure AD.
• Générer des rapports sur l'historique des droits attribués 

Pour pouvoir utiliser "Azure AD Privileged  Identity Management" il faudra acquérir les licences suivantes:

• Azure AD Premium P2
• Enterprise Mobility + Security (EMS) E5

 Toutes les informations sont disponible sur le lien suivant: https://docs.microsoft.com/fr-fr/azure/active-directory/privileged-identity-management/pim-configure

Ci-dessous les options de licences à cocher pour les utilisateurs concernés par la délégation des droits.

Nous allons maintenant nous connecter sur la console "Azure AD" https://aad.portal.azure.com

Vous pouvez également vous connecter depuis le portail Azure directement https://portal.azure.com

Avant de pouvoir utiliser l'application "Azure AD Privileged  Identity Management" il va falloir vérifier notre identité afin de sécuriser l'accès.

Une authentification "MFA" vous sera demandée

Nous validons le consentement "PIM" pour l'accès à l'application.

Nous avons maintenant totalement accès à notre console.

En allant dans la partie "Mes rôles" nous observons un message qui nous indique que nous devons inscrire "PIM" dans "Azure AD".

Il nous suffit de cliquer sur "s'inscrire".

On valide l’inscription.

Nous pouvons maintenant afficher tous les rôles dans "Azure AD".

Nous allons pouvoir nous déplacer dans la partie "Membres" pour attribuer à un utilisateur des droits à une application "office 365".

Cliquer sur "Ajouter un membre".

Sélectionner le rôle que vous souhaitez attribuer.

Sélectionner les membres "utilisateurs" ou "groupes".

Le groupe a correctement été ajouté.

Ci-dessous on peut constater que le groupe est en mode "Eligible".

Cela veut dire que les utilisateurs ont été affectés à un rôle "Azure AD" considéré comme éligible.

Dans la partie "Groupe", on peut constater une vue assez pratique qui classe les différents rôles avec les différents membres.

Dans la partie "historique d'audit" nous permet de voir tout l'historique des actions effectuées dans "PIM".

Dans "Rôles Azure AD" la partie "Paramètres" nous permet d'affiner la configuration des rôles.

Choisir le rôle que l'on souhaite modifier.

On va pouvoir par exemple modifier la durée d'activation par défaut du rôle.

Ci-dessus, nous avions pu voir l'attribution de l'accès à une application pour un utilisateur ou un groupe.

Une fois un rôle attribuer, l'utilisateur reçois la notification ci-dessous, pour qu'il puisse activer son accès.

L'utilisateur arrive sur le portail ci-dessous et va pouvoir "activer" le rôle qui lui a été attribué.

Cliquer à nouveau sur "Activer"

On voit que l'activation du rôle sera d'une heure

Vous avez l'obligation de mettre une description.

L'activation est maintenant correctement validée.

On peut également vérifier les rôles actifs pour l'utilisateur et sa durée d'utilisation. 

Une notification sera également envoyée par mail aux administrateurs.

Dans cet article nous avons pu voir comment mettre en place "Azure AD Privileged  Identity Management" pour pouvoir gérer, déléguer et contrôler l'accès aux différents rôles Azures.

Je vous souhaite une très bonne semaine.

A bientôt. 😏😊

Azure Information Protection (protection sur site)

Bonjour à tous, nous sommes de retour pour un nouvel article concernant "Azure Information Protection".

Dans notre dernier article nous avions pu voir la mise en place d'étiquettes pour protéger nos documents partagés dans OneDrive par exemple.

Aujourd'hui la plupart des entreprises utilisent encore des serveurs de fichiers en local.

Dans cet article nous allons démontrer comment sécuriser de la même façon que OneDrive nos serveurs de fichiers en local.

Avant de lancer la démonstration, ci-dessous un schéma représentant la configuration et le fonctionnement.

Un serveur hébergeant le "Scanner Azure Information Protection" avec une base "SQL ou SQL express" est installé en local.

Ce serveur "Scanner Azure Information"  va analyser les documents présents sur les serveurs de fichiers ou serveurs SharePoint, stocker ces informations dans la base "SQL" et va ensuite envoyer les informations collectées vers "Azure Information Protection", ce qui va ensuite permettre d'appliquer les différentes "étiquettes" aux documents. 

Dans cette démonstration, nous allons donc installer le "Scanner Azure Information Protection" avec les configurations suivantes:

- Un serveur AIP Scanner en Windows 2019 Server 

- La dernière version du client AIP https://www.microsoft.com/en-gb/download/details.aspx?id=53018

- SQL  Express 2016: https://www.microsoft.com/fr-fr/download/details.aspx?id=56840

Une fois le serveur Windows 2019 Server prêt, nous installons "SQL Server Express"

Nous installons ensuite le client Azure Information Protection.

 

Nous créons ensuite un compte de service AIP.

Point très important:  Normalement pour plus de sécurité, ce compte de service ne doit pas être synchronisé avec Azure AD.

Pour cet article, ce compte sera synchronisé avec Azure AD pour ce labo de test mais non recommandé en production.

Plus d'informations: https://docs.microsoft.com/en-us/azure/information-protection/deploy-aip-scanner

Ce compte de service sera membres du groupe local "Administrateurs"

Nous lançons ensuite une fenêtre PowerShell.

Nous créons ensuite une instance SQL avec la commande suivantes:

Install-AIPScanner -SqlServerInstance AIPSRV\SQLEXPRESS

Authentifiez-vous avec votre compte de service.

L'écran ci-dessous nous montre le bon fonctionnement.

La partie "On-Premises" est maintenant terminée.

Nous allons maintenant nous connecter sur le portail "Azure AD Connect".

L'objectif va être d'obtenir un jeton Azure AD pour que le "Scanner AIP" puisse s'authentifié sur "Azure Information Protection" 

 Une fois arrivé sur le portail, dirigez-vous vers "Inscriptions des applications".

Cliquer sur "Nouvelle inscription d'applications"

Entrer les informations ci-dessous:

L'inscription de l'application est maintenant terminée.

Nous allons maintenant donner les autorisations à cette application.

Pour cela, nous allons nous diriger sur la droite en cliquant sur "Autorisations requises"

Cliquer ensuite sur "Accorder des autorisations"

Valider sur "oui"

Les autorisations on été correctement accordées.

Nous allons maintenant créer une clé.

Cette clé va nous permettre de sécuriser les échanges entre nos utilisateurs Azure AD, nos applications Web créées et notre Scanner "AIP On-premises".

Sur la droite de l'application cliquer sur clés.

Ajouter votre description ainsi que la date d'expiration.

L'ID (valeur) sera automatiquement généré, il faudra juste bien le copier pour la suite.

Nous créons ensuite une autre application avec les informations ci-dessous:

La nouvelle application est maintenant créée. 

Nous allons maintenant ajouter l'application créée précédemment (AIPApp) aux autorisations de l'application "AIPFront"

Cliquer sur "ajouter" et sélectionner l'API.

Sélectionner les autorisations.

Cliquer sur terminé.

Les autorisations ont maintenant été ajoutés.

Dernière étape, sur le serveur Scanner AIP nous allons lancer la commande PowerShell ci-dessous pour que notre serveur puisse récupérer son jeton Azure AD. 

Set-AIPAuthentication -WebAppId “Id AIPApp” -WebAppKey “Clé AIPApp” -NativeAppId “Application ID de l' Application AIPFront”

Vous devrez vous authentifier avec votre compte Azure.

Valider sur "Accepter" au message ci-dessous:

Maintenant, nous allons indiquer à notre serveur "Scanner AIP" quels répertoires de serveurs de fichiers ou SharePoint sera à analyser.

Add-AIPScannerRepository -Path “\\AD2019\partage”

La commande Remove-AIPScannerRepository permet de supprimer le répertoire.

La commande Get-AIPScannerRepository permet de voir les répertoires analysés.     

Nous pouvons voir que notre "Scanner AIP" remonte bien la console "Azure Information Protection"

La commande ci-dessous permet de forcer la planification de l'analyse:

Set-AIPScannerConfiguration -Enforce On -Schedule Always

Nous pouvons maintenant vérifier que les étiquettes s'appliquent correctement sur nos serveurs de fichiers. 

Dans cet article, nous avons pu voir la sécurisation de nos fichiers On-Premises avec "Azure Information Protection".

A bientôt. 😏