Partie1: Migration Tenant à Tenant Office 365

Bonjour à tous, aujourd'hui première partie d'un série d'articles sur la migration de données d'un "Tenant office 365 à un autre".

Le scénario suivant a été imaginé:

- Un grand groupe a décidé de racheter une filiale d'un autre grand groupe.

- Le "groupe A" sera le groupe source et le "groupe B" sera le groupe cible.

- Le "groupe A" dispose de plusieurs noms de domaine et seul le domaine de la filiale (dans notre exemple ffo365.fr) sera migré vers le "groupe B".

- Les applications Office 365 utilisées par la filiale du Groupe A sont toutes concernées par la migration ( Exchange Online, Teams, OneDrive, SharePoint Online).

- La migration inclus également la migration des utilisateurs, des groupes et des postes de travail hébergés dans l' "Active Directory" de la filiale.

Les outils suivants seront utilisés:

- ADMT pour la migration des Objets "Active Directory" d'une forêt à une autre.

- L'outil "Fly d'AVPOINT" pour la migration des applications "Office 365".

- Script Powershell pour différentes tâches comme la reconfiguration des profils Outlook à la cible.

Les contraintes d'une migration "Tenant to Tenant Office 365:

- Impossible d'ajouter le même domaine sur les deux tenant Office 365 en même temps
- Privilégier l'utilisation d'un logiciel tiers pour faciliter la migration des données contenus dans les applications "Office 365" surtout pour "SharePoint Online" et "OneDrive".
-Coupure de service nécessaire pour la bascule finale (HNO obligatoire).

Le schéma ci-dessous nous montre l'infrastructure existante des deux côtés:

Le schéma ci-dessous nous montre l'infrastructure de coexistence pour la migration:

Les prérequis seront les suivants:

- Installation d'un serveur ADMT côté cible et  "Password Recovery Server" sur le contrôleur de domaine source. (Nous ne verrons pas l'installation, ce n'est pas l'objet des articles).
- L'outil tiers pour la migration des données "Office 365". Comme évoqué plus haut nous utiliserons l'outil "Fly" d' "Avepoint"
- Une sauvegarde des infrastructures source et cible ( Azure Ad Connect, ADFS...).
- L' approvisionnement de licences office 365 supplémentaires sur le tenant cible pour accueillir les utilisateurs filiale du Groupe A.
- Avoir les informations d'authentification du compte administrateur global Office 365 (account@contoso.onmicrosoft.com).

Voilà, la première partie est terminée.

Dans la deuxième partie nous verrons le "process"  et la mise en place de la coexistence.

A bientôt. 😉😊

Passer de l'authentification ADFS vers l’authentification Pass-Through et Seamless SSO

Bonjour à tous, aujourd'hui nouvel article concernant le changement du mode d’authentification des clients vers les services Azure.

La plupart du temps, pour intégrer certaines applications comme "Office 365" et unifier les authentifications en y ajoutant du SSO, les entreprises mettaient en place une infrastructure ADFS dans leur infrastructure "On-Premise".

La grosse contrainte de l'ADFS, c'est que cela demande une infrastructure importante et complexe surtout si l'on souhaite y ajouter de la haute disponibilité à savoir:

- 2 serveurs ADFS
- 2 Serveurs Azure AD Connect
- 2 Serveurs WAP
- Un load balancer entre les serveurs WAP

Comme vous pouvez le constater cela demande beaucoup de maintenance.

Pour pallier à ça, Microsoft à décider de créer "Azure AD Pass Through Authentication et Seamless SSO"

L'idée est également de ne pas stocker les mots passes dans "Azure AD" comme on le faisait avec ADFS.

Je ne vais pas vous faire une présentation du produit qui est déjà sortie il y a deux ans, Microsoft le fera bien mieux que moi.

https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/how-to-connect-sso 

Le tableau ci-dessous résume les différences entre Azure AD Pass Through Authentication et Seamless SSO" et "ADFS".

La solution qui va nous intéresser le plus sera celle avec le "Pass-Through" car elle ne synchronise pas les mots de passe dans "AzureAD".

Pour pouvoir modifier la façon dont va s'authentifier les utilisateurs, il suffit de se connecter sur le serveur "Azure AD Connect" et de relancer l’exécutable ci-dessous.

L'assistant se lance.

Choisir "Change user sign-in"

Authentifiez-vous avec le compte principal pour Azure AD.

Si "ADFS" est coché, il vous suffit de cocher "Pass-through authentication" et "Enable single sign-on"

Authentifiez-vous avec un "compte administrateur du domaine On-premise"

L'assistant d' "Azure AD Connect"vérifie les composants.

Tout est prêt pour la reconfiguration d' "Azure AD Connect"

Vous pouvez également lancer la synchronisation à la fin du processus.

La reconfiguration se lance.

L'agent pour la fonctionnalité "Pass-through autentication" s'installe sur notre serveur.

Il configure ensuite l'agent "Pass-through autentication"

Activation du sso.

L'opération s'est correctement déroulée.

Nous pouvons également voir que notre domaine "FFO365.FR" n'est plus fédéré et est passé en mode "Managed".

Sur la console "Azure AD" nous pouvons voir la bonne configuration

Lors de la mise en place Azure AD Pass Through Authentication et Seamless SSO" un compte "AZUREADSSOACC" a été créé dans l'OU "Computer"      

Le compte ordinateur "AZUREADSSOACC" est utilisé pour lors de la connexion à "Azure AD/O365" pour générer le ticket Kerberos utilisateur.

La clé Kerberos de l’ordinateur "AZUREADSSOACC" est partagée avec "Azure AD/O365".

La clé Kerberos de l’ordinateur "AZUREADSSOACC" peut et doit être changée régulièrement, ce que je conseille fortement.

Pour que le SSO soit complètement fonctionnel pour les utilisateurs, il faudra ajouter les exceptions ci-dessous dans internet Explorer:

https://autologon.microsoftazuread-sso.com

https://aadg.windows.net.nsatc.net

Pour connaitre les compatibilités des navigateurs je vous laisse le soin de consulter le lien ci-dessous.

https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/how-to-connect-sso 

Nous allons créer notre GPO pour les utilisateurs.

Les deux liens ci-dessus seront a configurer sur le paramètre suivant:

User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet

Control Panel > Security Page. 

Dans Assignment List. Entrer les valeurs suivantes :

Modifier ensuite le paramètre ci-dessous:

User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet

Control Panel > Security Page > Intranet Zone. 

Activer Allow updates to status bar via script.

Je vérifie la bonne application sur mes postes.

Je vérifie ensuite la bon fonctionnement en allant sur le portail Office 365.

Haute disponibilité:

Si vous souhaitez mettre en place de la haute disponibilité, il vous faudra déployer d'autres agents sur d'autres serveurs qui doivent pouvoir communiquer sur les ports 443 et 80.

Pour cela lancer le lien ci-dessous:

http://aka.ms/getauthagent

Exécuter le programme:

Authentifiez-vous sur Azure.

Vérifiez ensuite sur le portail Azure AD la présence du deuxième agent.

Dans cet article nous avons pu voir comment changer l'authentification ADFS vers l’authentification Pass-Through et seamless SSO.

A bientôt. 😏

Fin de Skype For Business Online

Bonjour à tous, c'est la rentrée donc s'est reparti pour une année d'articles!!!😉

Pour débuter ce moi de Septembre, juste une information pour vous indiquer que Skype For Business cessera de fonctionner le 31 Juillet 2021.

Cette information ne concerne que le produit "Office 365 Skype For Business Online". Le produit "On Premise" n'est pas concerné.

https://docs.microsoft.com/fr-fr/skypeforbusiness/legal-and-regulatory/end-of-integration-with-3rd-party-providers

Je vous recommande donc de migrer vers "Teams" qui est son successeur.

https://docs.microsoft.com/fr-fr/microsoftteams/faq-journey

A très vite!!!

Nouveau Terminal Windows

Bonjour à tous, petit article en passant sur la sortie de "Windows Terminal" en mode preview.

Microsoft propose désormais un nouveau terminal Open Source qui permettra d'utiliser plusieurs consoles dans le même terminal (CMD, PowerShell, Ubuntu/WSL....).

Ce nouveau terminal utilise toutes les fonctionnalités du GPU afin de rendre l'interface plus esthétique et surtout plus fluide.

Pour le télécharger, connectez-vous sur le lien ci-dessous ou directement dans le Store Windows

https://www.microsoft.com/fr-fr/p/windows-terminal-preview/9n0dx20hk701?activetab=pivot%3Aoverviewtab






Il vous faudra bien évidemment un compte Microsoft pour le télécharger.




Ci-dessous la version recommandé si vous souhaitez installer le produit.

Une fois installé, vous pouvez lancer le produit.

Par défaut le terminal se lance directement sur la console PowerShell.

Sur le menu de droite nous pouvons afficher et lancer les différentes consoles déjà intégrées au terminal.

Bien évidemment, vous pourrez lancer plusieurs consoles en même temps. 

Comme le produit est "open source", vous allez pouvoir personnaliser votre terminal.

Pour ma part la configuration du terminal sera lancer avec "Visual studio code"

Nous allons montrer un exemple de personnalisation de notre terminal.

L'objectif sera ajouter la console "Ubuntu" au terminal.

La première chose à faire sera d'installer la fonctionnalité "Windows System for Linux"

 Aller ensuite dans le store pour installer "Ubuntu".

Lancer ensuite le terminal (une message vous indiquera d'attendre la fin d'installation et vous demandera ensuite un compte utilisateur et mot de passe).

La console est maintenant opérationnelle

Maintenant nous allons lancer la commande "uuidgen" pour récupérer l'id de la console Ubuntu.

Une fois l'id de la console "Ubuntu" récupéré, nous retournons dans les paramètres de notre terminal.

Dans la partie profil, allez jusqu'à la fin et ajouter une" ," et insérer le code ci-dessous:

{

"acrylicOpacity":0.75,

"closeOnExit":true,

"colorScheme":"Campbell",

"commandline":"wsl.exe -d Ubuntu",

"cursorColor":"#FFFFFF",

"cursorShape":"bar",

"fontFace":"Consolas",

"fontSize":12,

"guid":"745c4985-05d9-43d2-8050-ef9213189dbd",

"historySize":9001,

"icon":"C:/Dummy/image.png",

"name":"Ubuntu",

"padding":"0, 0, 0, 0",

"snapOnInput":true,

"startingDirectory":"%USERPROFILE%",

"useAcrylic":true

}

Enregistrer avec "CTRL+S"

Redémarrer votre terminal et hop magie, la console "Ubuntu" apparaît.

La console se lance correctement.

On retrouve bien évidement toutes les commandes Linux.

Dans cet article nous avons vu la présentation et la personnalisation du "Terminal Windows".

A bientôt. 😉😀