Liens ISA Server
Blogs - Sites Web des MVPs
Les blogs de mes collègues
Other Msftee blogs
Sécurité Informatique - Sites FR
Blogs de sécurité
Security sites [US]
Virtual Private Network
Outils - Tools
Blogs des partenaires
Cette année, je m’occupe du parcours Infrastructure Datacenter et Cloud (de la PME à la grande entreprise) des Microsoft TechDays 2015. Ce parcours qui va s’étaler sur les 3 journées (du 10 au 12 février 2015 à Paris Porte Maillot) sera particulièrement riche du fait d’une bonne actualité produits et services (Prochaine édition de Windows Server, Microsoft Azure IaaS, migration de Windows Server 2003…).
Cet article vous détaille toutes les sessions auxquelles vous allez pouvoir assister dans ce parcours durant les 3 jours des Microsoft TechDays 2015
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Azure Automation, Orchestrator et Service Manager Session animée par : Jean-François Berenguer, Rémy Bovi, Romuald Gauvin et Jean Marie SavinDescription : Découvrez comment tirer profit d’Azure Automation et Orchestrator pour automatiser et piloter toutes vos opérations de management IT aussi bien en local que dans Azure. Profitez de Service Manager pour offrir un catalogue de services à la demande à vos utilisateurs et réduire les délais de réalisation sans vous rajouter de travail ! Au travers de cas d’usage concrets, nous passerons en revue les points de passage type de chaque projet ainsi que les aspects techniques tels que les modules PowerShell d’Azure Automation.Enfin, nous vous présenterons comment faciliter l’accès à vos services au travers d’interfaces tactiles à vos utilisateurs sans changer vos traitements de back office déjà orchestrés. Des scénarios de management d’infrastructures, de gestion d’opérations, quotidiennes ou à la demande, viendront illustrer l’ensemble.. Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=5c3c0a8c-d4aa-4bd3-ac7a-a59a9ab79d9f
Azure IaaS pour les IT - Demo ExtravaganzaSession animée par : Arnaud Lheureux, Pascal Sauliere et Stanislas QuastanaDescription : 3 slides, 45 minutes de démonstration sur la partie IaaS de Microsoft Azure : de la VM Windows, Linux, du stockage, du réseau, du PRA.... Le tout dans la bonne humeur et sans stressPlus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=70c6654f-3083-41b7-bb01-da0151976824
Bonnes pratiques de StorSimple v2 et interconnexion dans le cloudSession animée par : Philippe BerthotDescription : Comment mettre en place la nouvelle version de StorSimple dans votre environnement informatique et dans Azure pour créer l'Hybrid Cloud StoragePlus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=7793c5d8-2ae1-4f53-9cd0-97c44318ac5a
Concevoir votre infrastructure cloud privé avec Hyper-V et System Center Virtual Machine Manager 2012 R2 Session animée par : Cédric Bravo et Florent ChambonDescription : Sur la base de cas pratiques issus d'expériences terrain, cette session se propose de vous donner les clefs pour traiter les principales problématiques qui peuvent se poser en entreprise lors de la construction d'une infrastructure cloud privé. Définition du service, identification des différentes briques fonctionnelles, conception système et réseau, architecture physique et logique, sauvegardes et plan de reprise d'activité. Nous aborderons aussi différentes problématiques liées à l'automatisation et aux déploiements de charges applicatives en entreprise.Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=60576210-c12e-40e4-9f39-899e5ba9c020
En route vers Active Directory 2012 R2 et au-delà Session animée par Christophe Dubos et Nadim BioudDescription : La fin de support prochaine de Windows Server 2003 est pour de nombreux clients l'occasion de migrer leur environnement Active Directory existant. C'est aussi l'occasion de regarder les évolutions apportées par les versions 2012 / 2012 R2 d'Active Directory afin de ne pas limiter cette opération à une simple montée de version mais de l'utiliser comme une occasion de mettre en place les évolutions en terme de fonctionnalités et d'architecture qui permettront d'envisager de nouveaux scénario de mise en œuvre. De quoi faire d'une pierre deux coups en restant pleinement supporté et en apportant à vos utilisateurs de nouveaux services… de quoi permettre à votre DSI de retrouver le sourire en transformant un souci en occasion de briller… Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=b86a8058-60e4-4a15-b33d-565b4bb4b25b
Extension de votre de votre infrastructure vers Microsoft Azure avec ExpressRouteSession animée par : Pierre Chesne et Thomas VarletDescription : ExpressRoute est un service qui permet de connecter votre réseau à Microsoft Azure via une connexion direct avec un débit garanti. Ce service ouvre Azure à de nombreux nouveaux cas d'usage car il connecte votre datacenter à Microsoft Azure via un lien sécurisé, privé et rapide. Dans cette session venez découvrir ce service et les cas d'usage et comprendre les offres de deux de nos partenaires InterCloud et Orange. Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=6832d915-1be5-4c37-8760-571fc735e66c
Fin de support et migration des infrastructures, quels choix pour les PME ?Session animée par Pierre Chesne et Tarik Lahlou Description : Beaucoup de PME en France disposent déjà d'une infrastructure, souvent basée sur les anciennes versions de Small Business Server. Cette session passe en revue les différentes options qui s'offrent aux PME pour migrer leur existant vers des solutions de cloud privé ou public avec Microsoft Azure. Vous y découvrirez un récapitulatif des étapes importantes pour bien préparer sa migration. Quand migration peut rimer avec modernisation ! Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=6a1aa052-a33c-4b86-9ebc-ee0f022260fb
Fin de support Windows Server 2003, quelles options ?Session animée par Fabrice Meillon, Christophe Dubos et Hervé ThibaultDescription : La fin de support Windows Server 2003 est un de vos enjeux majeurs pour 2015. Ce sujet est complexe car il ne se limite pas à une migration de système d'exploitation; vos questions sont nombreuses et légitimes. Cette session y répondra avec une approche innovante. Les thématiques pourquoi migrer, comment aborder ce projet, vers quoi et comment gérer l'obsolescence seront abordées; et surtout venez poser vos questions !Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=722b8d9c-fba6-4301-a1cb-da0a42dd22fe
Geek is in da {new} HouseSession animée par David Catuhe, Laurent Ellerbach, Stanislas Quastana et Sébastien Warin. Notons aussi la participation d'Arnaud Lheureux en pré-sessionDescription : Cette année nos geeks ont presque tous déménagé. Nouveaux logements --> Nouveaux projets et nouveaux défis pour "gadgetiser" la maison et le jardin toujours en intégrant la dimension WAF. C'est dans une chaude ambiance et de la bonne humeur que nous vous accueillerons dans cette 4ème édition de Geek in da House avec comme chaque année de la geekerie de qualité française ! Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=74426b9c-3037-4d4c-b8ee-a79e510ffee9
Introduction à Azure Active DirectorySession animée par Frédéric Wickert et Stéphane RenaudDescription : Dans l'ère cloud public et hybride, l'identité est d'une importance fondamentale. Dans cette session, vous allez voir comment étendre l'accès de votre identité aux applications du cloud public ou privé, avec une expérience unique pour les utilisateurs : le SSO avec des milliers d'applications, l'authentification multi-facteur (MFA), du self-service pour la réinitialisation du mot de passe et l'intégration des groupes, l'intégration de vos applications, etc.Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=889c3c38-d7b7-4d83-bdf3-4ee392746501
Le cloud-in-a-box avec Cloud Platform System (CPS) et Windows Azure PackSession animée par Emmanuel Sache, Emmanuel Torchy et Fabrice MeillonDescription : Microsoft apporte son expérience dans la conception et la gestion des centres de données et du cloud avec un système convergent entièrement validé et intégré en usine. CPS associe une pile logicielle éprouvée avec Windows Server 2012 R2 et System Center 2012 R2, le portail Windows Azure Pack et les infrastructures serveurs, stockage et équipements réseau de DELL. Basé sur un bloc de construction évolutif et extensible, CPS raccourcit le temps de mise en oeuvre tout en proposant une expérience cohérente du cloud telle que demandée par vos métiers.Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=3c396446-8925-471e-b4b4-dbd9b18833e8
Machines Virtuelles dans Azure quoi de neuf ?Session animée par Maelle Glemarec et Pierre ChesneDescription : Cette session passe en revue des nouveautés autour de l'infrastructure dans Microsoft Azure. Nous verrons toutes les dernières évolutions : les modèles de VM, le stockage, le réseau, la console … Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=164c6052-60fb-4a2d-a23e-a34b1e463f90
OpenStack et WindowsSession animée par Arnaud LheureuxDescription : Comment Windows s'intègre dans OpenStack ? Pourquoi et comment Hyper-V peut être utilisé dans un cloud OpenStack ? Quelles sont les options d'interopérabilité pour les clouds en mode hybride ? Voici quelques-unes des questions que nous aborderons dans cette session Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=6c95a230-1831-47e3-9e4f-34a8fb76f117
Operational Insight : la supervision depuis le cloud !Session animée par Christophe Cygan, Pierre Buffiere de Lair et Jean-François BerrengerDescription : Operational Insight est la réponse de Microsoft au défi technique de la collecte et analyse des informations depuis tous les serveurs sans les contraintes que peuvent parfois apporter des outils traditionnels comme Operations Manager. Avec ou sans Operations Manager, vous avez maintenant un outil basé sur la puissance d'analyse du cloud Microsoft Azure, permettant la corrélation entre les données de performances et évènements importants de votre infrastructure.Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=987ef865-e90b-4be8-b81f-ee89ddfa1273
PowerShell Desired State Configuration & AzureSession animée par Fabien Dibot et Jean-Marie SavinDescription : Depuis la version 4 de PowerShell, Desired State Configuration vous permet de consolider vos infrastructures et apporte la notion d'intégration continue. Cette session vous exposera les enjeux derrière la technologie DSC en vous montrant par des démos comment créer vos configurations et les utiliser dans Azure.Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=07872947-6151-4a9d-ac0d-440927d925ea
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideSession animée par Eric Tran, Johan Demay et Sébastien CrespinDescription : Cette session est destinée à vous présenter des retours d'expériences de solutions cloud pour rendre votre IT plus agile. Cette session animée et interactive vous permettra de découvrir plusieurs solutions que vous pourrez intégrer progressivement. Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=1f00743a-db7d-43ac-84fc-80138e044104
Retour expérience MS ITSession animée par Patrice TroussetPlus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=c321383d-9944-4c4a-89b2-591fbb99e91d
Software Defined Networking dans Windows Server vNextSession animée par Arnaud LheureuxDescription : La prochaine version de Windows Server s'annonce riche en nouveautés pour le réseau : le Software Defined Networking (SDN) est mis au coeur des investissements. Au programme de cette session, venez découvrir le nouveau rôle "Network Controller", centre du SDN dans Windows, mais également les nouvelles techniques d'encapsulation et de pilotage des périphériques réseau. Nous étudierons également le Software Load Balancing, la passerelle de virtualisation ainsi que le pare-feu pour le datacenter dans la prochaine version de Windows Server. Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=e65f4c66-0f41-44a4-8020-587517bfc8b1
Solutions de sauvegarde et PRA avec Microsoft Azure Session animée par : Pierre ChesneDescription : Cette session a pour but d'aborder la protection de vos données sous différents angles. Sauvegardez vos données dans le cloud à l'aide d'Azure Backup, créez un PRA facilement avec Azure Site Recovery (ASR) pour l'ensemble de vos serveurs (Hyper-V, VMware et physique) et découvrez les bénéfices de StorSimple pour simplifier votre processus de sauvegarde.Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=9ed9cb9d-4bd7-4028-b765-b0f1b7e22088
Windows Server vNext- administration et réseauSession animée par Arnaud Lheureux, Stanislas Quastana et Pascal SauliereDescription : La prochaine version de Windows Server va être riche en terme de nouveautés sur l'administration, le réseau et le VDI. Venez faire le tour de ces nouveautés en 45 minutes !Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=08ace49d-c539-47c0-a8f8-3ea457b70be0
Windows Server vNext- virtualisation et stockageSession animée par Arnaud Lheureux, Stanislas Quastana et Pascal SauliereDescription : La prochaine version de Windows Server va être riche en terme de nouveautés sur la virtualisation de machine et sur le stockage. Venez faire le tour de ces nouveautés en 45 minutes !Plus d'informations : https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=1eb64980-fa2d-42ec-8cbc-544d2aa19cdc
Bref, du bon contenu à venir et de superbes sessions en perspective \o/ Nous vous attendons nombreux à ces présentations.
Pour vous inscrire aux Microsoft TechDays 2015, c’est très simple et gratuit sur : http://www.microsoft.com/france/mstechdays
- Stanislas Quastana -
Si comme moi, vous êtes propriétaire à titre privé ou alors dans votre entreprise d’un NAS Synology récent (séries x10 à x15) alors vous avez certainement fait récemment la mise à jour vers la dernière version de l’OS de Synology : le DSM 5.1.
Une des nouveautés intéressantes de ce DSM 5.1 c’est la capacité de faire des sauvegardes externalisées dans le Cloud dont celui de Microsoft et pour être plus précis dans le stockage d’Azure.
L’objectif de ce billet est d’expliquer en mode pas à pas comment configurer une sauvegarde sur un Synology DSM 5.1 à destination d’Azure Storage.
Pré requis : Disposer d’un abonnement Microsoft Azure. Si vous avez un compte abonné MDSN, petit rappel : vous avez droit à 115 € de crédit Azure par mois qui peuvent être notamment utilisés avec Azure Storage. Pour ceux qui veulent d’abord évaluer Azure, il est possible de souscrire à un abonnement de test avec 150 € de crédits ici : http://aka.ms/jetesteazure
Pour calculer le coût du stockage dans Azure, regarder avec la calculatrice des coûts Azure : http://azure.microsoft.com/fr-fr/pricing/calculator/?scenario=data-management
Etape 1 : Création d’un compte de stockage dans l’abonnement Microsoft Azure
Dans l’interface d’administration de Microsoft Azure (https://manage.windowsazure.com) aller dans la partie Stockage pour créer un compte de stockage.
Sélectionner Create a Storage Account
Donner un nom (qui doit être unique) et sélectionner un Datacenter Azure (rappel : West Europe = Amsterdam et North Europe = Dublin). En terme de réplication Locally Redundant devrait suffire dans cet usage.
Création en cours.
Une fois le compte de stockage créer, il est possible d’éditer ses propriétés et notamment de voir les clés d’accès (qui seront utilisées lors de la configuration de la sauvegarde sur le Synology)
Etape 2 – Configuration de la destination de sauvegarde sur le NAS Synology
Se connecter à l’interface d’administration DSM 5.1 du NAS (DiskStation). Aller dans le menu principal puis dans la partie Sauvegarde et Réplication.
Créer une nouvelle destination de sauvegarde. Sélectionner Destination de sauvegarde de cloud public.
Puis Destination de sauvegarde Microsoft Azure.
Donner un nom à cette destination de stockage. Saisir le nom du compte de stockage Azure, sa clé d’accès (primaire ou secondaire) et le nom d’un container (qu’il est possible de créer dans le portail d’administration d’Azure ou depuis l’interface DiskStation du Synology)
La destination de stockage est créée.
Etape 3 – Créer une sauvegarde à destination d’Azure
Aller dans Sauvegarder, puis cliquer sur Créer.
Choisir la destination de sauvegarder créée dans l’étape 2.
Sélectionner les données du Synology à sauvegarder.
Le cas échéant, sélectionner les applications exécutées sur le Synology à sauvegarder.
Finaliser les paramètres de sauvegarde (penser à Activer le chiffrement des communications) et planifier la sauvegarde.
La tâche de sauvegarde est créée. Attendre la prochaine exécution de la tâche ou Sauvegarder maintenant.
Etre patient en fonction du volume à sauvegarder et de la bande passante montante disponible.
Une fois la sauvegarde terminée, il est possible de visualiser les données transférées via le portail Azure ou via un outil tiers de gestion du stockage Azure (ex: Azure Explorer)
A noter que les données sont en accès privé (normal !).
Vous êtes professionnel et légitimement vous vous posez des questions sur le Cloud, Microsoft Azure, Hyper-V, Windows Server, l’évolution du datacenter vers un cloud privé ou hybride, la gestion des périphériques mobiles en entreprise alors pour en savoir plus, n’hésitez pas à suivre les sessions gratuites de formation de la Microsoft Virtual Academy : http://www.microsoftvirtualacademy.com/ Pour une recherche efficace des formation en français et faites par des français, saisir [FR] dans la zone de recherche.
Concernant Azure IaaS (dont la partie Stockage), le cours MVA en français est accessible via le lien suivant : http://aka.ms/mvaiaas
Azure Active Directory est une solution complète pour la gestion des identités et de l'accès dans le cloud. Azure Active Directory fournit un ensemble de fonctionnalités permettant de gérer les utilisateurs et les groupes, et de sécuriser l'accès aux applications, notamment aux services en ligne de Microsoft tels qu'Office 365, Microsoft Intune et aux nombreuses autres applications SaaS tierces.
Dans ses déclinaisons Gratuite, Basic et Premium, Azure Active Directory permet aux administrateurs de proposer aux collaborateurs un portail d'accès aux applications Web, Intranet ou SaaS.
L'objectif est ici d'émanciper les utilisateurs et leur fournir un accès simplifié en terme d’authentification, le tout sur leurs différents appareils (PC, tablette, smartphone).
Ce portail des applications peut être accédé via :- un compte Azure Active Directory- un compte Active Directory synchronisé dans AAD- un compte Active Directory fédéré avec AAD
Note : il est tout à fait possible de sécuriser encore plus l'accès à ce portail via une authentification forte comme Azure Multi-Factor Authentication (qui est inclus dans Azure AD Premium)
Plus d'informations sur Azure MFA- Le cours MVA : Introduction à l'authentification multifacteur Azure [FR] http://aka.ms/mfa-b- La documentation officielle http://azure.microsoft.com/fr-fr/services/multi-factor-authentication/
1- Quelles applications mettre dans le portail ?
Avec Azure Active Directory, il devient possible de gérer les accès des utilisateurs et groupes aux applications SaaS commerciales ou métiers hébergées à l’extérieur de votre organisation. Reste l’épineuse question : est ce vos utilisateurs ou divisions métiers utilisent exclusivement les applications et services que vous gérez ?
Probablement pas. Avec le développement de la mobilité et des services cloud, le phénomène de Shadow IT s’amplifie au sein des organisations où l’informatique n’est pas assez agile ou à l’écoute des besoins de leurs utilisateurs.
Dans l’optique de vous aider à déterminer le taux de pénétration de services cloud non officiels dans votre Système d’Information, Microsoft propose un outil de découverte et d’analyse baptisé Cloup App Discovery.
Cet outil accessible sur http://appdiscovery.azure.com/ est donc un bon point de départ pour établir la liste des applications à publier.
Plus d'informations sur Cloup App Discovery, comment le configurer et l'utiliser : Azure Active Directory – introduction à Cloup App Discovery http://blogs.technet.com/b/stanislas/archive/2014/10/20/azure-active-directory-introduction-224-cloup-app-discovery.aspx
2- Publier une application dans le portail
2.1- Application simple avec login / mot de passe fourni par l'utilisateur
Aller dans le portail d’administration de Microsoft Azure (http://manage.windowsazure.com/), Aller dans la partie Azure Active Directory, sélectionner l’annuaire AAD puis se placer dans l’onglet APPLICATIONS. Cliquer sur Add
Sélectionner Add an application from the gallery.
Sélectionner par exemple Twitter puis cliquer sur la coche en bas à droite de l’interface.
Cliquer sur Configure sign-on.
Sélectionner Password Sign-On pour les applications sans fédération.
Aller dans l’onglet USERS AND GROUPS et sélectionner les utilisateurs à qui affecter cette application. Cliquer ensuite en bas sur Assign.
L’application est désormais publiée et utilisable par les utilisateurs affectés dans le portail des applications. Ces utilisateurs saisiront une fois les crédentiels pour cette application puis ensuite il auront une expérience de Single Sign-On (cf. point 3 de cet article).
2.2- Application avec compte partagé
Plusieurs utilisateurs peuvent utiliser une application en utilisant le même compte (ex: compte Twitter / Facebook de l’organisation…).
Objectif : protéger ces comptes de l’organisation :
Le mot de passe du compte partagé est sécurisé dans le tenant Azure Active Directory et est directement envoyé lorsque l'utilisateur veut accéder à l'application depuis le portail.
Pour utiliser un compte partagé, l'accès à l'application se fait via un groupe d'utilisateurs.
Exemple : publication de Facebook avec utilisation d’un compte partagé
Dans la zone applications d’Azure Active Directory, cliquer sur Add. Sélectionner Add an application from the gallery.
Cliquer sur Assign Users, sélectionner Groups et choisir un groupe d’utilisateurs qui aura accès à l’application en utilisant le compte partagé.
Saisir pour ce groupe d’utilisateurs (= groupe de sécurité) les crédentiels de l’application Facebook et cocher la case “I want to enter Facebook credentials to be shared among all group members”
Valider. L’application est publiée.
2.3- Application avec fédération
Certaines applications sont fédérables avec Azure Active Directory via différents mécanismes allant jusqu’à des processus de provisionning entrant ou sortant. Ces applications proposent généralement plus d’options de configuration dans leurs interfaces AAD et sont parfois aussi documentées de manière plus spécifique.
Quelques exemples :
Tutorial: Azure AD integration with Salesforce http://msdn.microsoft.com/en-us/library/azure/dn308593.aspx Tutorial: Azure AD integration with Box http://msdn.microsoft.com/en-us/library/azure/dn308589.aspx Tutorial: Azure AD integration with Dropbox for Businesshttp://msdn.microsoft.com/en-us/library/azure/dn510978.aspx Tutorial: Azure AD integration with Citrix GoToMeetinghttp://msdn.microsoft.com/en-us/library/azure/dn440168.aspx Tutorial: Azure AD integration with Workday http://msdn.microsoft.com/en-us/library/azure/dn510972.aspx
Tutorial: Azure AD integration with Salesforce http://msdn.microsoft.com/en-us/library/azure/dn308593.aspx
Tutorial: Azure AD integration with Box http://msdn.microsoft.com/en-us/library/azure/dn308589.aspx
Tutorial: Azure AD integration with Dropbox for Businesshttp://msdn.microsoft.com/en-us/library/azure/dn510978.aspx
Tutorial: Azure AD integration with Citrix GoToMeetinghttp://msdn.microsoft.com/en-us/library/azure/dn440168.aspx
Tutorial: Azure AD integration with Workday http://msdn.microsoft.com/en-us/library/azure/dn510972.aspx
La liste des applications SaaS se fédérant avec Azure Active Directory augmentant rapidement, je vous encourage à aller sur le lien suivant qui les référence et documente les configurations spécifiques.
Application access : http://msdn.microsoft.com/en-us/library/azure/dn308590.aspx
3- Accéder au portail à une application
Les utilisateurs peuvent accéder au portail des applications via un navigateur Web ou via une application mobile :- Portail Web : http://myapps.microsoft.com/- Application iOS : https://itunes.apple.com/us/app/my-apps-azure-active-directory/id824048653?mt=8- Application Android: https://play.google.com/store/apps/details?id=com.microsoft.myapps
Une fois authentifié, l'utilisateur n'a plus qu'à cliquer sur l'application désirée et saisir le cas échéant son mot de passe (généralement lors de première utilisation si aucun mécanisme de fédération n'a été mis en place)
Concernant Azure Active Directory Premium, le cours MVA en français est accessible via le lien suivant : http://aka.ms/aadprem
Dans ses déclinaisons Basic et Premium, Azure Active Directory permet aux administrateurs de personnaliser certaines parties des interfaces d’authentification des utilisateurs des organisations. L’objectif de cet article est de détailler ces personnalisations possibles.
Cliquer sur Customize Branding.
Option “SIGN IN PAGE ILLUSTRATION”
Ici c’est l’image affichée à gauche des champs de saisie login / mot de passe. C’est une image de grande dimension (1420 x 1200 pixels) qu’il faut sélectionner / télécharger. La taille maximale du fichier est de 500 Ko (Attention : plus la taille du fichier est importante, plus cela affectera le temps de chargement).
Avant configuration de cette option :
Après configuration de cette option :
Note : en fonction des résolutions / ratio des écrans utilisés, l’image sera automatiquement rognée. Il est donc conseillé d’avoir le sujet de l’image bien centré.
Option “SIGN IN PAGE TEXT”
Ce champs est fait pour personnaliser un texte en bas à droite de l’interface de connexion à Azure AD. La longueur maximale du texte est de 256 caractères.
Option “BANNER LOGO”
Permet de mettre un logo de l’entreprise dans certaines interfaces telles que le portail de réinitialisation des mots de passe en self service. la taille de l’image est de 280 pixels x 60 pixels (hauteur) et ne doit pas avoir une taille supérieure à 500 Ko.
Option “TILE LOGO”
Permet de mettre un logo de l’entreprise dans certaines interfaces telles que le portail de réinitialisation des mots de passe en self service. la taille de l’image est de 120 pixels x 120 pixels (et non 200 x 200 comme indiqué dans l’interface) et ne doit pas avoir une taille supérieure à 500 Ko. Ce logo n’est pas utilisé dans la page de login.
Permet de définir la couleur de fond de la page d’authentification. La valeur numérique à saisir doit être en format hexadécimal (exemple: #FFFFFF). Si vous vous voulez vous simplifier la vie, il y a plein de sites Web permettant de générer le code hexa de la couleur voulue. Personnellement je recommande http://www.w3schools.com/tags/ref_colorpicker.asp
Note : une fois les paramètres sauvegardés, leur application peut prendre plusieurs minutes. De plus, si vous cliquez à nouveau sur l’option Customize branding, il devient possible de définir une customisation par langue.
Quelques exemples de personnalisation : http://aka.ms/aaddemo001 et http://aka.ms/aaddemo002
Vous êtes professionnel et légitimement vous vous posez des questions sur le Cloud, Windows Azure, Hyper-V, Windows Server, l’évolution du datacenter vers un cloud privé ou hybride, la gestion des périphériques mobiles en entreprise alors pour en savoir plus, n’hésitez pas à suivre les sessions gratuites de formation de la Microsoft Virtual Academy : http://www.microsoftvirtualacademy.com/
La fonctionnalité de réinitialisation du mot de passe en libre-service permet aux utilisateurs finaux d’une organisation de réinitialiser automatiquement leurs mots de passe sans avoir à contacter un administrateur ni le support technique. Préalablement disponible pour les utilisateurs Azure Active Directory Premium, désormais cette fonctionnalité est fournie dans toutes les éditions d’Azure Active Directory (Free, Basic, Premium). Cet article a pour objectif de montrer comment configurer et utiliser cette fonctionnalité.
3 composants principaux constituent SSPR (Self-Service Portal Reset) :- Le portail de configuration de la stratégie de reset de mot de passe ==> Admin- Le portail d'enregistrement des utilisateurs- Le portail de réinitialisation des mots de passe des utilisateurs
1- Le Portail de configuration de la stratégie de reset des mots de passe
Ce portail est utilisé par les administrateurs Azure Active Directory et est accessible via l’onglet CONFIGURE d’un Azure Active Directory dans le portail d’administration des services Azure.
Il suffit de placer le paramètre “Users enabled for password reset” à Yes.
Les administrateurs peuvent limiter la possibilité de réinitialisation de mot de passe à certains utilisateurs ou groupes d’AAD.
2- Le portail d'enregistrement des utilisateurs pour la fonction de réinitialisation des mots de passe en self service
Ce portail est accessible pour les utilisateurs AAD à l’adresse suivante : http://aka.ms/ssprsetup (un raccourci de l’URL : https://account.activedirectory.windowsazure.com/PasswordReset/Register.aspx)
Important : il est nécessaire d’avoir un utilisateur AAD sur lequel a été affectée une licence AAD Basic ou AAD Premium pour accéder à ce service (cf. tableau des options entre les différentes éditions d’Azure Active Directory)
L’administrateur a choisi dans le portail de configure 1 (Authentification via téléphone ou adresse email)ou 2 options (Authentification via téléphone et adresse email) obligatoires pour paramétrer le self service pour la réinitialisation du mot de passe.
Ici par exemple, l’utilisateur configure un numéro de téléphone portable.
L’utilisateur clique alors sur une des options permettant de vérifier qu’il est le propriétaire du numéro : message SMS (option text me) ou appel (option call me).
L’utilisateur saisie alors dans le champs le code reçu via SMS et clique sur Verify.
Si la valeur a été saisie dans un temps raisonnable (=court) alors c’est validé.
Si l’administrateur n’a pas imposé 2 modes d’authentification, il est possible de cliquer sur Finish pour être redirigé vers le portail des applications (https://myapps.microsoft.com).
3- Le portail de réinitialisation des mots de passe des utilisateurs
Ce portail utilisateur est accessible via l’adresse : http://passwordreset.microsoftonline.com ou via le lien “Vous ne parvenez à accéder à votre compte?” sur la page de connexion aux services Azure, Office..
L’utilisateur saisi son email (= son ID) et la valeur affichée dans le Capcha).
L’utilisateur sélectionne la méthode de contact.
L’utilisateur saisi le code envoyé par SMS.
Une fois le code validé, l’utilisateur peut choisir et saisir un nouveau mot de passe.
Azure Active Directory se décline en 3 éditions :
Plus d’informations sur les différentes versions : http://msdn.microsoft.com/library/azure/dn532272.aspx
L’objectif de cet article est d’expliquer en pas à pas comment activer le mode Premium d’Azure Active Directory
Prérequis :
- Avoir déjà configuré un Azure Active Directory (cf. ici)
Activation du mode Premium
Dans le portail d’administration de Microsoft Azure, se placer dans la zone dédiée à Azure Active Directory
Sélectionner l’Azure Active Directory à passer en Premium
Cliquer sur l’onglet LICENSES
Puis cliquer sur Try Azure Active Directory Premium Now et valider
Une fois l’Azure Active Directory passé en mode premium, un certain nombre de licences utilisateur premium sont disponibles.
Affectation des licences Premium
Le premier utilisateur auquel affecter une licence premium est l’administrateur (cela est nécessaire pour qu’il puisse voir les options d’administration Premium dans l’interface).
Si l’administrateur a bien une licence Premium, alors les options de l’onglet CONFIGURE d’Azure Active Directory doivent inclure les options Premium
Ensuite assigner aux utilisateurs les licences premium.
Prochains articles : l’exploration des fonctionnalités apportées par la version Premium d’Azure Active Directory
Dans l’optique de vous aider à déterminer le taux de pénétration de services cloud non officiels dans votre SI, Microsoft propose un outil de d’analyse et de découverte baptisé Cloup App Discovery.
L’objectif de ce billet est de présenter ce nouveau service (encore en Preview à la date de cette article)
Que permet Cloud App Discovery ?
Etape 1 : se connecter au service
Pour cela, aller à l’adresse http://appdiscovery.azure.com/
Cliquer sur Sign In et s’authentifier avec un compte d’administration AAD
L’interface présente alors les 3 étapes de configuration de l’outil :
Etape 2 : Téléchargement et installation de l’agent sur les serveurs et postes de travail
Cloup App Discovery fonctionne avec un agent qu’il faut installer (via un déploiement GPO ou autre outil de télédistribution) sur les postes Windows 7, 8 ou 8.1.
L’agent se télécharge depuis le menu de paramétrage –> Manage Agent
Cocher la case Allow automatic update qui permet à l’agent d’être toujours à la dernière version
Télécharger le package d’installation de l’agent et l’installer sur les postes de travail (via télédistribution, GPO ou via installation manuelle)
L’agent se présente comme un service
Etape 3 – Configurer le compte de stockage Azure pour stocker les données collectées
Dans le menu settings, aller dans l’option Store Data
Ici, mettre le nom d’un compte de stockage Microsoft Azure ainsi que sa clé d’accès
Etape 4 : Sélectionner les catégories de services à collecter
Dans le menu settings, aller dans l’option Data Collection
Etape 4 : Explorer les résultats
Après une période d’activité, les données collectées permettent de découvrir quelles sont les applications externes / cloud utilisées depuis les PC de votre organisation
Etape 5 : commencer à réfléchir à l’implémentation du SSO et proposer des solutions adaptées aux besoins des métiers
Et cette étape sera l’occasion d’un prochain article !
C'est la rentrée et cette nouvelle année va être riche en produits et services d'infrastructure chez Microsoft. le nouveau Windows 10 vient d'être annoncé mais c'est aussi son pendant côté serveur "Windows Server Technical Preview" qui fait son apparition accompagné de "System Center Technical Preview".
Voici les premières lectures disponibles sur le sujet, en commençant par l'annonce sur le blog Server & Cloud : An early look at the future of the datacenter from Microsofthttp://blogs.technet.com/b/server-cloud/archive/2014/09/30/an-early-look-at-the-future-of-the-datacenter-from-microsoft.aspx
Téléchargement sur votre abonnement MSDN (http://www.microsoft.com/france/msdn/) ou TechNet (http://www.microsoft.com/france/technet)
Si vous avez un abonnement Microsoft Azure, l'image de Windows Server Technical Preview est également disponible dans la Gallery
Et pour terminer, de la lecture sur quelques unes des nouveautés techniques de cette nouvelle mouture du serveur :
What’s New in the Windows Server Technical Preview:http://technet.microsoft.com/en-us/library/dn765472.aspx
What’s New in Hyper-V in the Windows Server Technical Preview:http://technet.microsoft.com/en-us/library/dn765471.aspx
What's New in DHCP in Windows Server Technical Previewhttp://technet.microsoft.com/en-us/library/dn765482.aspx
What's New in DNS Client in Windows Server Technical Previewhttp://technet.microsoft.com/en-us/library/dn765479.aspx
GRE Tunneling in Windows Serverhttp://technet.microsoft.com/en-us/library/dn765485.aspx
What's New in IPAM in Windows Server Technical Previewhttp://technet.microsoft.com/en-us/library/dn765487.aspx
What’s New in Storage Services in the Windows Server Technical Preview:http://technet.microsoft.com/en-us/library/dn765475.aspx
What’s New in Failover Clustering in the Windows Server Technical Preview:http://technet.microsoft.com/en-us/library/dn765474.aspx
What’s New in Remote Desktop Services in the Windows Server Technical Preview:http://technet.microsoft.com/en-us/library/dn765476.aspx
What’s New in Web Application Proxy in the Windows Server Technical Preview:http://technet.microsoft.com/en-us/library/dn765473.aspx
What’s New in PowerShell 5.0 in the Windows Server Technical Preview:http://technet.microsoft.com/library/hh857339.aspx#BKMK_new50
Avec la multiplication des périphériques (PC, tablette, smartphone) et le BYOD, il devient parfois difficile aux développeurs et aux IT d’avoir les bons matériels pour tester les sites Web et autres applications / services. Avec le support d’Intel, il est désormais possible d’installer un système Android récent sur une plateforme x86 donc une plateforme virtualisable avec Hyper-V par exemple.
L’objectif de cet article est démontrer en mode pas à pas comment créer une machine virtuelle Android 4.4 x86 sur un Hyper-V de dernière génération.
Prérequis
- Télécharger une image ISO de la dernière release d’Android x86 (ici j’ai utilisé la 4.4R1) à l’adresse suivante : http://www.android-x86.org/download
- Utiliser un Hyper-V sous Windows Server 2012 R2 ou Windows 8.1
Installation du système
Premièrement, depuis le gestionnaire d’Hyper-V, créer une nouvelle machine virtuelle
Donner un nom à la machine virtuelle
Choisir une machine de 1ère génération (les gen2 sont réservées à Windows Server 2012, 2012 R2 et distribution Linux très récentes)
Affecter de la RAM à la VM. Entre 1024 et 4096 Mo.
Sélectionner un switch virtuel externe (c’est à dire un switch virtuel bindé sur une interface réseau sur la machine hôte).
Sélectionner l’emplacement et la taille du disque de la machine Android (entre 32 et 127 Go).
Sélectionner Install an operating system from a bootable CD/DVD-ROM et choisir l’ISO téléchargée précédemment.
Cliquer sur Finish.
Sélectionner la VM et cliquer pour settings pour ajouter si besoin des vCPU à la VM. Avec 4 vCPU les performances sont bien meilleures (dans mon cas)
Démarrer la VM et cliquer sur Connect. Sélectionner Installation – Install Android-x86 to harddisk.
Sélectionner Create/modifiy partitions et valider avec Entrée.
Sélectionner la partition Free Space et valider avec Entrée.
Sélectionner New et valider avec Entrée.
Sélectionner Primary et valider avec Entrée.
Sélectionner l’espace libre et valider avec Entrée.
Sélectionner Bootable et valider avec Entrée.
La partition est désormais flagguée Boot
Sélectionner Write et valider avec Entrée.
Taper yes et valider avec Entrée.
Sélectionner Quit et valider avec Entrée.
Sélectionner sda1 Linux et valider avec Entrée.
Sélectionner ext3 comme format de système de fichiers.
Valider l’effacement du support.
Attendre (la barre de progression ne va pas bouger…)
Répondre à Yes à la question sur le boot loader GRUB
Répondre Yes
Eteindre la machine virtuelle (bouton Turn Off) et éjecter le DVD virtuel (l’image ISO Android)
Rédémarrer la VM.
Finalisation de la configuration
Sélectionner la langue.
Cliquer sur Ignorer pour la question sur le Wifi.
Cliquer sur ignorer quand même.
Cliquer sur Oui (prérequis : avoir un compte Google).
Cliquer sur pas maintenant.
Sélectionner le fuseau horaire (Amsterdam, Berlin si vous êtes à Paris).
Et voilà !!! Si cette VM est exécutée sur une machine avec un écran tactile, le tactile est pleinement utilisable. De même si la VM tourne sur un serveur Windows Server 2012 R2 avec une connexion faite avec un client RDP 8.1, alors le tactile en remote est également opérationnel.
Le navigateur intégré à Android fonctionne bien. Par contre les autres navigateurs installés depuis Google Play vont planter.
D’après mes recherches, l’explication serait que ces navigateurs utilisent Open GL ES pour le rendu et que cela ne fonctionne pas en environnement virtualisé (cf. https://groups.google.com/forum/#!topic/android-x86/cvpWSk-yMLo et http://osdir.com/ml/android-x86/2013-07/msg00026.html) car les drivers Open GL ES ne sont pas disponibles. Bref ce n’est pas encore parfait mais il est légitime d’espérer une amélioration de cela dans le futur.
Ensuite, il faut tester les applications en provenance de Google Play au cas par cas. Exemple ci-dessous : le portail d’entreprise de Windows Intune.
System Center Virtual Machine Manager 2012 R2 permet comme son prédécesseur d’utiliser des modèles (template) de machines virtuelles (VM) pour accélérer le déploiement de systèmes seuls ou de systèmes + applications.
Dans cette série d'articles, je vais expliquer la création basique d’un modèle de machine virtuelle Linux (VM Template) dans System Center Virtual Machine Manager 2012 R2.
La première partie est ici : http://blogs.technet.com/b/stanislas/archive/2014/09/17/scvmm-2012-r2-comment-cr-233-er-un-mod-232-le-de-machine-virtuelle-linux-partie-1.aspx
La seconde est ici : http://blogs.technet.com/b/stanislas/archive/2014/09/19/scvmm-2012-r2-comment-cr-233-er-un-mod-232-le-de-machine-virtuelle-linux-partie-2.aspx
La troisième est ici : http://blogs.technet.com/b/stanislas/archive/2014/09/23/scvmm-2012-r2-comment-cr-233-er-un-mod-232-le-de-machine-virtuelle-linux-partie-3.aspx
Cette quatrième partie est consacrée à la création d’une VM à partir du modèle de VM.
Dans la console de Virtual Machine Manager se placer dans la partie VMs and Services et cliquer sur Create Virtual Machine.
Sélectionner Use an existing virtual machine, VM Template or virtual disk et cliquer sur Browse…
Sélectionner le modèle créé précédemment.
Donner un nom (le nom de la machine virtuelle dans Hyper-V / VMM) à la nouvelle machine. Exemple ici TestLinuxStan
Saisir le nom d’hôte de la machine Linux (le nom dans l’OS)
Choisir où déployer la VM.
Attendre puis une fois l’installation terminée, se connecter à la VM et vérifier le hostname.
Vous êtes professionnel et légitimement vous vous posez des questions sur le Cloud, Windows Azure, Hyper-V, Windows Server, l’évolution du datacenter vers un cloud privé ou hybride alors pour en savoir plus, n’hésitez pas à suivre les sessions gratuites de formation de la Microsoft Virtual Academy : http://www.microsoftvirtualacademy.com/
Cette troisième partie est consacrée à la création du modèle de VM.
Dans la console de Virtual Machine Manager, aller dans la partie consacrée à la Library et la sous branche Templates
Cliquer sur Create VM Template
Sélectionner un type de VM Génération 1
Configurer le matériel virtuel par défaut de ce modèle
Sélectionner la version de l’OS (ou la plus proche) et le nom d’hôte à utiliser dans ce modèle
Suite et prochain article : déploiement d’une nouvelle VM à partir de ce modèle
Cette deuxième partie est consacrée à l’installation des pré-requis dans la machine virtuelle linux.
2 pré requis :
Téléchargement et installation des LIS
Linux Integration Services Version 3.5 for Hyper-V http://www.microsoft.com/en-us/download/details.aspx?id=41554
Installation de l’agent VMM dans la machine virtuelle Linux
Les sources d’installation de l’agent VMM sont disponibles dans un sous répertoire de VMM :
\program Files\Microsoft System Center 2012 R2\Virtual Machine Manager\agents\Linux\
Il est possible de créer un partage de fichiers sur l’arborescence pour y accéder via CIFS depuis la VM Linux pour une copie locale dans la VM
Pour installer l’agent dans la VM Linux (ici un Ubuntu 14.04 LTS 64 bit), exécuter dans un terminal :
chmod +x install
sudo ./install scvmmguestagent.1.0.2.1015.x64.tarmod
Note : la version du fichier évolue en fonction des update rollup package pour System Center 2012 R2. Avec le Roll up n°3, la version passe en version 1.0.2.1059)
Arrêter la machine virtuelles et copier le disque dur virtuel dans la Library VMM (par copie du fichier VHDX dans la répertoire contenant la Library VMM). Rafraichir la Library.
Suite et prochain article : la création du modèle de machine virtuelle Linux
Cette première partie est consacrée à la création d’une machine virtuelle de référence.
Dans un premier temps, il faut créer depuis le gestionnaire d’Hyper-V une machine virtuelle avec la distribution Linux de votre choix (sous réserve qu’elle soit supportée. cf. http://aka.ms/hyperlinux).
Ici j’ai choisi la version 64 bit d’Ubuntu 14.04 LTS.
Choisir une machine de Génération 1 (note : dans les dernières versions d’Ubuntu 12.04 et >, il est possible d’utiliser une génération 2 mais cela nécessite des opérations complémentaires cf. ici)
Les distributions Linux récentes supportent la mémoire dynamique d’Hyper-V. En cas de doute, il est plus simple dans un premier temps de définir une mémoire statique.
Sélectionner le fichier ISO de la distribution à installer.
Editer les propriétés de la machine virtuelle pour ajouter des vCPU et sélectionner le switch virtuel à utiliser (celui ci doit permettre d’avoir un accès à Internet, histoire de bien mettre à jour l’ensemble des composants logicielles de la VM avant de s’en servir dans un modèle).
Démarrer la machine virtuelle et effectuer l’installation de l’OS.
Suite des opérations et prochain article : installation de l’agent VMM dans la machine Linux
Azure RemoteApp est un nouveau service présenté en mai 2014 lors de TechEd North America. C’est un service permettant d’exécuter des applications Windows dans le Cloud et d’y accéder depuis n’importe quel périphérique (PC/tablette Windows, Mac, iPad, IPhone, Android, Windows Phone /RT). En version simple : c’est du RDSH dans le Cloud !
2 modes de déploiements sont possibles :
Une nouveauté annoncée fin juin 2014 est la possibilité de déployer une image de serveur RDSH avec les applications d’entreprise dans le mode de déploiement Cloud.
Cet article détaille en mode pas à pas comment déployer sa propre image de serveur dans Azure RemoteApp.
Etape 1 : Téléchargement vers Azure de l’image d’un serveur RDSH préalablement configuré avec les applications d’entreprise à exposer via le service
Pré requis : avoir une image de serveur RDSH conforme aux exigences de la plateforme Azure RemoteApp
Procédure pas à pas pour préparer l’image de serveur RDSH dans l’article suivant : http://blogs.technet.com/b/stanislas/archive/2014/08/11/azure-remoteapp-d-233-ploiement-en-mode-hybride-partie-3-cr-233-ation-du-mod-232-le-de-machine-virtuelle-rdsh.aspx
Aller dans la partie RemoteApp du portail d’administration Microsoft Azure et dans l’onglet TEMPLATE IMAGE.
Cliquer sur Upload en bas dans l’interface. Donner un nom au modèle à uploader et choisir la région dans laquelle déployer le service.
Sauvegarder le fichier PowerShell localement (idéalement dans le même répertoire que le fichier VHD à télécharger).
Copier la commande à exécuter (bouton copier en haut à droite).
Ouvrir une invite PowerShell.
Exécuter au préalable la commande $NtfsDisableEncryptionError = “NtfsDisableEncryptionError” (c’est pour pallier à un bug du script dans la Preview d’Azure RemoteApp)
Puis coller la commande copiée précédemment.
Sélectionner l’image à uploader
L’opération va prendre du temps : calcul du condensé de l’image, vérification de l’espace disque à zéro, upload…
Etape 2 : Création d’un déploiement 100% Cloud Azure RemoteApp
Nouveau –> Services d’application –> RemoteApp –> Quick Create.
Donner un nom au déploiement et choisir comme modèle l’image préalablement téléchargées sur Azure.
Cliquer sur Create RemoteApp service et attendre quelques minutes.
Etape 3 : sélectionner des applications à publier et affectation des accès à des utilisateurs
Aller sur l’onglet PUBLISHING et cliquer sur publish remoteapp program.
Sélectionner les applications à publier
Aller dans l’onglet USER ACCESS et saisir les adresses email des personnes autorisées à se connecter aux Azure RemoteApp (ces comptes proviennent de Azure Active Directory, Active Directory via fédération d’identité ou sont des comptes Microsoft).
Etape 4 : Test de connexion aux Azure RemoteApp
Télécharger et installer sur un périphérique le client Azure RemoteApp (OS clients et liens de téléchargement).
Ouvrir une connexion avec un client RemoteApp.
Les applications publiées en mode 100% Cloud public apparaissent dans la première section (appelée mes applis ici).
Note : dans cette capture, certains icones sont doublés car j’ai fait 2 déploiements différents mais avec les mêmes applications.
Double cliquer sur une des applications.
A noter : dans la barre de tâches, dans l’icone de l’application, un petit symbole RemoteApp rappelle que l’application n’est pas locale mais distante.
Pour évaluez gratuitement Windows Azure : http://azure.microsoft.com/fr-fr/pricing/free-trial/
Depuis mai 2014, Microsoft Azure offre un service baptisé Azure File qui offre un service de partage de fichiers SMB 2.1 aux machines virtuelles exécutées sur la plateforme IaaS. L’usage du protocole SMB 2.1 n’est pas possible depuis des environnements externes. Pour ceux-ci, il est possible d’utiliser l’API REST pour télécharger / uploader des fichiers depuis / à destination d’un partage Azure File. Parmi les outils disponibles pour faire ce type d’opération, Microsoft propose AzCopy.
L’objectif de cet article est de découvrir quelques exemples pratiques d’usage d’Azcopy.
Pré requis :
1- Télécharger et installer Azcopy
Azcopy est un outil en ligne de commande permettant de faire des opérations sur le stockage de Microsoft Azure (Blobs, Files...). La dernière version est disponible à l'adresse suivante : http://aka.ms/downloadazcopy
2- Avoir déjà créé et configuré un partage Azure File sur un abonnement Azure
Pour cela, suivre les instructions données dans l'article suivant :http://blogs.technet.com/b/stanislas/archive/2014/06/13/comment-configurer-un-partage-smb-2-1-avec-azure-file.aspx
3- Avoir le nom et la clé d'accès à un compte de stockage Azure où Azure File a été configuré
Copie d'un répertoire de fichiers depuis une machine et à destination d'Azure File (ici /S est pour la récursion)
Syntaxe : AzCopy C:\monrépertoire https://moncomptedestockage.file.core.windows.net/myfileshare/ /DestKey:key /S
Exemple : AzCopy C:\Sources https://azurefilestan1.file.core.windows.net/fsstan1/ /DestKey:olt1Wz0v26PnmyJE+HkKF5bdEx== /S
Téléchargement d'un fichier depuis un partage Azure File à destination d'un disque local
Syntaxe : AzCopy https://moncomptedestockage.file.core.windows.net/myfileshare/myfolder1/ C:\monrépertoire /SourceKey:key nomdufichier.extention
Exemple :AzCopy https://azurefilestan1.file.core.windows.net/fsstan1/demoAzcopy/ C:\sources\demoAzcopy /SourceKey:olt1Wz0v26PnmyJE+HkKF5bdExvSyfgWeLS7N5sde25Fr75im8YTw+/CWyqi3PRw== fichierdemo.txt
Téléchargement du contenu d'un répertoire depuis un partage Azure File à destination d'un disque local
Syntaxe : AzCopy https://moncomptedestockage.file.core.windows.net/myfileshare/ C:\monrépertoire /SourceKey:key /S
Exemple : AzCopy https://azurefilestan1.file.core.windows.net/fsstan1/ C:\Sources\temp /SourceKey:olt1Wz0v26PnmyJE+HkKF5bdExvSyfgWeLS7N5sde25Fr75im8+x4MjRkvi3PRw== /S
Azure File fait partie des nouveaux services IaaS de Microsoft Azure présentés lors de l’édition nord américaine de Microsoft TechEd 2014 en mai 2014. Ce service permet à des machines virtuelles dans Azure de se connecter à du stockage Azure via une ressource de type partage de fichiers SMB 2.1. Il est également possible de se connecter à cette ressource via REST.
L’objectif de cet article est de présenter comment connecter partage sur Azure File depuis une VM Linux hébergée dans Azure IaaS.
Installation des outils CIFS dans la VM Linux
Pour cela, exécuter la commande suivante : sudo apt-get install cifs-utils
Création d’un répertoire et montage du partage Azure File dans ce répertoire
Créer un répertoire : mkdir repertoiredemo
Dans cet exemple, j’ai monté un partage Azure File baptisé azurefilestan1. Aller dans le portail Azure dans les propriétés du compte de stockage pour récupérer la clé primaire d’accès au compte de stockage
Monter le partage sur le répertoire :
sudo mount -t cifs //azurefilestan1.file.core.windows.net/fsstan1 ./repertoiredemo -o vers=2.1,username=azurefilestan1,password=cléducomptedestockageavec==àlafin,dir_mode=0777,file_mode=0777
Vérification de la bonne connexion au partage Azure File : aller dans le répertoire repertoiredemo et lister le contenu. Créer du contenu (fichiers et répertoires à l’intérieur)
Rappel rapide des permissions sur les systèmes de fichiers Unix :- le premier digit représente la User permission- le second digit représente la Group permission- le troisième digit représente World permission- 1=execute, 2=write, 4=read. Donc 1+2+4=7 => permission execute+write+read
Note : dans la commande de montage, j’ai utilisé les masques offrant le maximum de permissions (0777) ce qui n’est pas forcément la meilleure option dans beaucoup de scénarios. il est bien entendu possible d’affecter d’autres valeurs moins permissives comme 0775 par exemple.
Pour déconnecter le partage : sudo umount ./repertoiredemo
La première partie de cette série d’article est ici : http://blogs.technet.com/b/stanislas/archive/2014/08/05/azure-remoteapp-d-233-ploiement-en-mode-hybride-partie-1-introduction-et-cr-233-ation-du-service-remoteapp.aspx
La seconde concernant l’interconnexion réseaux est ici : http://blogs.technet.com/b/stanislas/archive/2014/08/07/azure-remoteapp-d-233-ploiement-en-mode-hybride-partie-2-connexion-vpn-site-224-site.aspx
La troisième décrivant la création d’un modèle d’image de serveur RDSH est ici : http://blogs.technet.com/b/stanislas/archive/2014/08/11/azure-remoteapp-d-233-ploiement-en-mode-hybride-partie-3-cr-233-ation-du-mod-232-le-de-machine-virtuelle-rdsh.aspx
Cette quatrième partie décrit l’étape de publication des applications Azure RemoteApp
Depuis le portail d’Azure, aller dans le déploiement hybride des RemoteApp et cliquer sur publish remoteapp programs.
L’assistant propose alors les exécutables présents dans l’image RDSH customisée et téléchargement dans Azure préalablement.
Les applications sont désormais disponibles
Il reste à les affecter à des membres de l’annuaire Azure Active Directory. Ici mon annuaire AAD est synchronisé avec mon Active Directory sur site (cf. http://blogs.technet.com/b/stanislas/archive/2014/07/11/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-5-synchronisation-d-active-directory.aspx)
Dans l’onglet user access, sélectionner un des utilisateurs présents dans WAAD
Ouvrir une connexion avec un client RemoteApp
Les applications publiées en mode hybride apparaissent dans la seconde section (appelée par défaut Work Resources)
Cette troisième partie sera consacrée à la création d’un modèle de machine virtuelle RDSH destiné à être utilisé dans Azure RemoteApp
Prérequis:
1- Création d’un disque VHD de taille fixe
Ouvrir le gestionnaire de disque et dans le menu Action, sélectionner Create VHD
Bien sélectionner le format VHD et Fixed Size (ça devrait fonctionner en mode dynamique aussi, à valider)
Détacher le VHD
2- Installation d’une machine virtuelle Windows Server 2012 R2 RDSH
Ouvrir la console d’administration d’Hyper-V et lancer l’assistant de création d’une VM.
Important : la VM doit être de génération 1
Sélectionner l’option utiliser un disque existant (celui créé précédemment).
Installation du rôle RDSH et de la fonctionnalité Desktop Experience via l’assistant Add Role and Features du Server Manager.
Télécharger les dernières mises à jour puis redémarrer la machine.
Installer les applications à publier et les mettre à jour.
Désactiver EFS avec la commande fsutil behavior set disableencryption 1 exécutée depuis une invite de commande en mode administrateur
3- Sysprep
Exécuter Sysprep en mode OOBE avec les options Generalize et Shutdown
L’image est prête à être téléchargée vers Azure
4- Téléchargement de l’image sur Azure
Dans le portail d’administration d’Azure cliquer sur link a remoteapp Template image
Pour uploader le VHD vers Microsoft Azure, il suffit d’exécuter la commande présentée
Copier la commande à exécuter (bouton copier en haut à droite)
Ouvrir une invite PowerShell
Puis coller la commande copiée précédemment. Sélectionner l’image à uploader.
5- Affectation de l’image au déploiement
Le provisionnement de l’image va prendre une trentaine de minutes
Prochaine étape : La publication des applications RemoteApp
Cette seconde partie d’une série d’articles destinée à vous aider à mettre en œuvre Azure RemoteApp en mode hybride concerne l’interconnexion réseau entre le Vnet Azure RemoteApp et le réseau sur site de l’entreprise.
Se connecter en compte administrateur de l’abonnement Azure et aller dans les propriétés du déploiement hybride RemoteApp fait précédemment.
Création du VNet dédié aux instances serveurs Azure RemoteApp
Cliquer sur Link a remote virtual network
Cliquer sur Create a new RemoteApp virtual network
Donner un nom explicite et choisir la région (Datacenter Azure) dans lequel seront exécutés les Azure RemoteApp
Donner le plan d’adressage du VNet dédié aux Azure Remote App (ici : 10.30.0.0/16) ainsi que le plan d’adressage du réseau d’entreprise (généralement le plan d’adressage IP on-premise, là où sont les contrôleurs de domaine Active Directory. ici : 10.20.0.0/16)
Avant de passer à l’étape suivante, il faut connaître l’adresse IP publique de la passerelle VPN du Datacenter de l’entreprise.
Note : ici, mon réseau on-premise est constitué de 2 VNets dans Windows Azure (qui simule 2 Datacenters sur site). Pour cette configuration je vais donc établir un VPN site à site entre mon VNet aux USA (reseau-demor2estusa) et le VNet Azure RemoteApp. L’adresse IP de la passerelle VPN de mon infrastructure sur site est visible dans les propriétés du VNet
Mettre les informations concernant l’adresse IP de la passerelle VPN sur site, ainsi que les adresses des DNS sur site (généralement les adresses des contrôleurs de domaine Active Directory)
La création du VNet Azure RemoteApp est déclenché et peut prendre plusieurs dizaines de minutes (cela inclus le provisionning d’une Azure Gateway)
Quand le provisionning est terminé, tous les blocs de l’étape sont au vert et le premier à une coche verte signifiant que ce bloc est fini d’être configuré.
Le bloc Get script permet de télécharger un modèle de fichier de configuration pour configurer la passerelle VPN sur site (ceci est bien connu des administrateurs réseau ayant déjà établi un VPN site à site).
Pour alimenter les informations de ce fichier de configuration ou pour simplement configurer la passerelle VPN sur site, il faut connaître les informations relatives à la Azure Gateway déployée par Azure RemoteApp. Pour cela, il est possible d’aller dans l’onglet Virtual Network de l’interface d’administration d’Azure RemoteApp
Ainsi il est possible d’obtenir l’adresse IP publique de la passerelle ainsi que la clé partagée à utiliser sur les 2 passerelles VPN
Dans ma plateforme, le réseau sur site est constitué de 2 VNet déjà interconnectés en VPN site à site (USA et Irlande). Depuis mai 2014, il est possible d’interconnecter plusieurs réseaux à un même passerelle mais cela doit se faire en modifiant le fichier XML de la configuration du VNet. Ici, j’ai ajouté une section décrivant la présence d’un autre VNet distant à interconnecter avec cette passerelle
L’interface VPN site à site de Microsoft Azure se trouve ainsi modifiée en cas de multiples tunnels VPN depuis une même passerelle
Ici j’ai positionné la clé partagée utilisée par la Azure Gateway des Azure RemoteApp sur ma passerelle VPN (sur site)
Le tunnel est établi entre le VNet sur site et le VNet Azure RemoteApp
Paramétrage de l’intégration à l’Active Directory
Dans un déploiement Azure RemoteApp hybride, c’est l’IT de l’entreprise qui va créer puis uploader les images des serveurs RDSH (sous la forme de fichier de machines virtuelles au format VHD) exécutant les applications distantes. Afin de permettre à ces applications d’entreprises d’accéder aux ressources internes via le VPN, ces machines vont être intégrées en tant que serveurs membres de l’Active Directory.
Reste à préciser le nom du domaine Active Directory sur site, une unité organisationnelle (dans laquelle seront créés les comptes ordinateurs des serveurs RDSH d’Azure Remote App) ainsi qu’un compte de service ayant comme privilèges le droit d’ajouter des comptes machines dans l’OU définie précédemment.
Prochaine étape : La création du modèle de machine virtuelle Remote Desktop Server Host
Dans cette nouvelle série d’article, je vais présenter pas à pas la mise en œuvre des Azure RemoteApp en mode de déploiement Cloud hybride.
Descriptif de la plateforme
Sur site : un Active Directory (ADinAzure.net) avec une fédération d’identité établie avec Azure Active Directory. Le serveur de fédération est exposé via un serveur Web Application Proxy sous le nom de domaine public ADinAzure.info. L’Active Directory sur site est synchronisé avec Azure Active Directory grâce au serveur DirSync01.
Une passerelle VPN est présente sur l’infrastructure sur site, elle servira pour l’interconnexion avec le réseau virtuel contenant les instances des serveurs Azure RemoteApp.
Plan d’adressage du réseau du Datacenter (on premise) : 10.20.0.0/16
Futur plan d’adressage du réseau des instances Azure RemoteApp : 10.30.0.0/16
Création du service RemoteApp
Sélectionner RemoteApp puis Create with VPN
Prochaine étape : Etablir la connectivité entre le réseau du Datacenter et le réseau des Azure RemoteApp
Avec la démultiplication des services Cloud Microsoft, des options d’administrations et des moyens de les consommer, je me suis dit qu’il était temps d’avoir une petite boite à outils des liens indispensables pour bien gérer ses abonnements Azure, Office 365 et Microsoft Intune. J’ai donc synthétisé dans cet article (que je vais essayer de maintenir à jour) les liens les plus utiles.
[Dernière mise à jour : 12/01/2015]
Microsoft Azure
Version d'évaluation de Microsoft Azurehttp://azure.microsoft.com/fr-fr/pricing/free-trial/
Calculatrice des coûts Azurehttp://azure.microsoft.com/en-us/pricing/calculator/
Les différents types de VM Azure en 1 image (Merci à Patrick)https://yos365.files.wordpress.com/2014/10/image9.png
Le portail d'administration de Microsoft Azure :https://manage.windowsazure.com
le nouveau portail d'administration (encore en Preview)https://portal.azure.com/
Azure SDK Tools / Module PowerShell :https://github.com/Azure/azure-sdk-tools/releases
Windows Azure AD PowerShell module (version 64 bits)http://go.microsoft.com/fwlink/p/?linkid=236297
Scripts pour Azurehttp://azure.microsoft.com/en-us/documentation/scripts/
Etat des services Azurehttp://status.azure.com
Windows Azure Active Directory Sync Tool 64 bithttp://go.microsoft.com/fwlink/?LinkID=278924
Assistant de connexion Microsoft Online Serviceshttp://www.microsoft.com/fr-fr/download/details.aspx?id=41950
Azure Explorer - a free Microsoft Azure storage toolhttp://www.cerebrata.com/products/azure-explorer/introduction
CloudXplorer v1 - Free Downloadhttp://clumsyleaf.com/products/cloudxplorer
Outil AzCopyhttp://aka.ms/downloadazcopy
Microsoft Azure Datacenter IP Ranges http://www.microsoft.com/en-us/download/details.aspx?id=41653
Azure Preview features --> pour tester en beta les futurs serviceshttps://azure.microsoft.com/en-us/services/preview/
URL et Services associés*.core.windows.net --> Stockage Azure*.cloudapp.net --> Cloud Service, VM*.msapproxy.net => Azure AD Application Proxy
Portail des applications utilisateurs (AAD Premium) https://myapps.microsoft.com/
My Apps for Android https://play.google.com/store/apps/details?id=com.microsoft.myapps
My Apps for iOShttps://itunes.apple.com/us/app/my-apps-windows-azure-active/id824048653?mt=8
Cloud App Discovery (AAD Premium)http://appdiscovery.azure.com/
Portail d'enregistrement des utilisateurs pour le Self Service Password Reset (AAD Basic et Premium) https://account.activedirectory.windowsazure.com/PasswordReset/Register.aspx
Portail de réinitialisation des mots de passe des utilisateurs Azure Active Directory (AAD Basic et Premium) http://passwordreset.microsoftonline.com
Microsoft Intune
Version d'évaluation 30 jours de Microsoft Intune : http://www.microsoft.com/fr-fr/server-cloud/products/windows-intune/try.aspx
Portail d'administration de Microsoft Intune :https://manage.microsoft.com/ et https://account.manage.microsoft.com
Page d'accueil des utilisateurs Microsoft Intune :https://portal.manage.microsoft.com/
Microsoft Intune Service health Statushttp://status.manage.microsoft.com/StatusPage/ServiceDashboard
Operational Insights
Azure Operational Insights (Preview)https://preview.opinsights.azure.com/
Office 365
Version d'évaluation 30 jours d’Office 365 Entreprise E3 :http://office.microsoft.com/fr-fr/business/microsoft-office-365-entreprise-e3-FX103030346.aspx
Portail d’administration Office 365https://portal.microsoftonline.com/
Page d'accueil des utilisateurs Office 365https://login.microsoftonline.com/
Outlook Web Access Office 365https://outlook.office365.com/owa/
Microsoft Remote Connectivity Analyzer (Merci à Flavien pour le lien)https://testconnectivity.microsoft.com/
Office 365 service health statushttp://status.office365.com/
La roadmap (Merci à Patrick et Nicolas)http://office.com/roadmap
Description du service (par plan) (Merci à Patrick et Nicolas)http://O365SD.com
LE point d'entrée Yammer (Merci à Patrick)http://www.yammer.com
Produits Office pour OS mobiles (Merci à Patrick)https://products.office.com/en-GB/mobile
Vous avez d’autres URL utiles ? n’hésitez pas à poster un commentaire et je mettrai à jour cet article
Création d’un service RemoteApp en mode Cloud
Sélectionner Quick Create (=mode de déploiement Cloud). Create with VPN correspond au déploiement en mode hybride.
Donner un nom et sélectionner une région et un modèle d’image (un seul dans la Preview du service)
Aller boire un café le temps du provisioning du service
Cliquer sur publish remoteapp pour sélectionner les applications à publier (parmi celles d’Office 2013 ProPlus)
Affecter des utilisateurs au service
Connexion avec un compte Microsoft
Télécharger le client RemoteApp pour Windows :
Version Windows : https://www.remoteapp.windowsazure.com/ClientDownload/Windows.aspx
Tous les clients pour presque tous les OS : https://www.remoteapp.windowsazure.com/ClientDownload/AllClients.aspx
Accepter l’invitation aux RemoteApp
Le client se connecte à Azure et télécharge la liste des applications RemoteApp auxquelles il a accès (Attention cela peut prendre quelques dizaines de secondes)
Connexion avec une identité fédérée
Le client RemoteApp est compatible avec la fédération d’identité, il est donc possible de consommer des RemoteApp en mode de déploiement Cloud mais avec des identités de l’entreprise et les mots de passe dans l’AD.
Ceci est le sixième article d’une série de billets expliquant le montage d’une plateforme permettant de faire de la fédération d’identité entre le SI et les services de Cloud public Microsoft.
La première partie est visible ici : http://blogs.technet.com/b/stanislas/archive/2014/08/01/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-1-introduction-et-pr-233-sentation-de-la-plateforme.aspxLa seconde concernant le serveur ADFS est ici : http://blogs.technet.com/b/stanislas/archive/2014/08/02/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-2-le-serveur-adfs.aspxLa troisième partie décrit l'installation et la configuration du serveur WAP : http://blogs.technet.com/b/stanislas/archive/2014/08/03/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-3-le-serveur-web-application-proxy-wap.aspxLa quatrième partie décrit l'établissement de la relation de confiance entre AD et WAAD : http://blogs.technet.com/b/stanislas/archive/2014/08/04/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-4-installation-outil-de-gestion-f-233-d-233-ration-d-identit-233-de-windows-azure-active-directory.aspxLa cinquième partie décrit l'installation et la configuration du serveur de synchronisation d'annuaire : http://blogs.technet.com/b/stanislas/archive/2014/08/05/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-5-synchronisation-d-active-directory.aspx
Cette sixième partie concerne l’activation de services Cloud Public Microsoft et le test de la fédération d’identité
1- Activation d’un abonnement Windows Intune d’évaluation
Version d'évaluation 30 jours de Windows Intune : http://www.microsoft.com/fr-fr/server-cloud/products/windows-intune/try.aspx
Cliquer sur Use another account
Saisir les identifiants d’un administrateur du WAAD
Cliquer sur Try Now
Cliquer sur Continue pour activer 25 licences utilisateurs pour 30 jours
Entrer les informations demandées, puis Save and continue
2- Paramétrage de Windows Intune
Se connecter en temps qu’administrateur WAD à Windows Intune : https://manage.microsoft.com/
Aller dans le menu Users
Sélectionner un compte utilisateur et cocher Windows Intune pour associer une licence à l’utilisateur
Aller dans l’onglet Settings et sélectionner Allowed dans Set sign-in status
3- Test de connexion à Windows Intune avec un compte utilisateur de l’AD
Page d'accueil des utilisateurs Windows Intune : https://account.manage.microsoft.com
logon : Pascal@ADinAzure.info
Cliquer sur la zone de saisie du mot de passe
La redirection ADFS s’effectue et envoie l’utilisateur sur le portail d’authentification de l’entreprise (le serveur ADFS)
Entrer les informations d’identification
Si la fédération fonctionne, l’utilisateur est connecté au service Windows Intune et peut accéder par exemple au portail d’entreprise
4- Test avec Office 365
Il est possible de tester également la fédération avec la version d'évaluation 30 jours d’Office 365 Entreprise E3 : http://office.microsoft.com/fr-fr/business/microsoft-office-365-entreprise-e3-FX103030346.aspx
Connexion en temps qu’utilisateur sur Office 365 : https://login.microsoftonline.com/
Ceci est le cinquième article d’une série de billets expliquant le montage d’une plateforme permettant de faire de la fédération d’identité entre le SI et les services de Cloud public Microsoft.
La première partie est visible ici : http://blogs.technet.com/b/stanislas/archive/2014/08/01/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-1-introduction-et-pr-233-sentation-de-la-plateforme.aspxLa seconde concernant le serveur ADFS est ici : http://blogs.technet.com/b/stanislas/archive/2014/08/02/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-2-le-serveur-adfs.aspxLa troisième partie décrit l'installation et la configuration du serveur WAP : http://blogs.technet.com/b/stanislas/archive/2014/08/03/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-3-le-serveur-web-application-proxy-wap.aspxLa quatrième partie décrit l'établissement de la relation de confiance entre AD et WAAD : http://blogs.technet.com/b/stanislas/archive/2014/08/04/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-4-installation-outil-de-gestion-f-233-d-233-ration-d-identit-233-de-windows-azure-active-directory.aspx
Cette cinquième partie concerne l’installation et le paramétrage de l’outil de synchronisation d'annuaire DirSync.
0– Vérifier et/ou configurer les UPN du domaine Active Directory
Se connecter sur le DC et ouvrir la console Active Directory Domains and Trusts
Vérifier la présence d’un alternate UPN suffixe : ADinAzure.info
Si cet UPN n’existe pas, ajouter le nom de domaine externe (ADinAzure.info) dans la liste des suffixes UPN possible pour cet AD.
Pour les utilisateurs de l’AD concernés modifier l’UPN avec le nom de domaine externe (ici: ADinAzure.info)
Informations complémentaires : cf. fiche KB 243629 de la base Microsoft
1– Activation de la Synchronisation d’annuaire
Ces opérations sont à faire depuis la machine destinée à être le serveur de synchronisation (Dirsync01 dans cette plateforme)
Depuis le portail d’administration de Microsoft Azure (https://manage.windowsazure.com), cliquer sur Directory Integration
Cliquer sur Activated
2– Installation et configuration de l’outil de synchronisation d’annuaire (Windows Azure Active Directory Sync)
Windows Azure Active Directory Sync Tool 64 bit : http://go.microsoft.com/fwlink/?LinkID=278924
Prérequis : - Avoir un un serveur Windows Server 2008 64 et > en version 64 bit- Ce serveur est membre de l'Active Directory à synchroniser- Il doit avoir .Net Framework 3.5 SP1 ou 4.0- Il doit avoir PowerShell- Avoir un compte avec des privilèges d'administration sur l'AD- Avoir un compte d'administration global sur le Cloud Microsoft (WAAD)- Les UPN Alternatifs doivent avoir été configurés sur Active Directory (cf. ci-dessus)
Saisir ici des identifiants d’un administrateur de Windows Azure Active Directory (Global Admin)
Saisir ici un identifiant administrateur du domaine ADinAzure.net (domaine AD interne)
Ici il n’est pas nécessaire de synchroniser les mots de passe (car l’objectif est de faire de la fédération d’identité). Ceux ci vont donc demeurer dans l’Active Directory sur site (on-premise)
3- Vérification de la synchronisation
Dans le portail d’administration d’Azure, dans la partie WAAD, dans l’onglet USERS, vérifier la présence de comptes issus de l’Active Directory sur site (Local Active Directory)
Sur le disque C du serveur DirSync01, aller dans le répertoire c:\program files\Windows Azure Directory Sync\SYNBUS\Synchronization Service\UIShell et exécuter miisclient.exe (qui est la console d’administration de Forefront Identity Manager 2008 R2)
Les informations sur les synchronisations sont disponibles dans cet outil
Prochaine étape : Activation d’abonnement Office 365 et Windows Intune et vérification du fonctionnement de la fédération
Ceci est le quatrième article d’une série de billets expliquant le montage d’une plateforme permettant de faire de la fédération d’identité entre le SI et les services de Cloud public Microsoft.
La première partie est visible ici : http://blogs.technet.com/b/stanislas/archive/2014/08/01/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-1-introduction-et-pr-233-sentation-de-la-plateforme.aspxLa seconde concernant le serveur ADFS est ici : http://blogs.technet.com/b/stanislas/archive/2014/08/02/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-2-le-serveur-adfs.aspxLa troisième partie décrit l'installation et la configuration du serveur WAP : http://blogs.technet.com/b/stanislas/archive/2014/08/03/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-3-le-serveur-web-application-proxy-wap.aspx
Cette quatrième partie concerne l’installation et le paramétrage de l’outil de gestion de la fédération des identités de Windows Azure Active Directory (WAAD) sur le serveur STS ( ici USAADFS01.ADinAzure.net)
Installation et utilisation du module PowerShell WAAD sur le serveur STS
Prérequis à l’installation du module PowerShell WAAD :- Windows 7 et >- Windows Server 2008 R2 et >- L'Assistant de connexion Microsoft Online Services : http://www.microsoft.com/fr-fr/download/details.aspx?id=41950
1– Installation de l’outil Assistant de connexion Microsoft Online Services
Téléchargement de l’outil : http://www.microsoft.com/fr-fr/download/details.aspx?id=41950
Vérification de l’installation de l’assistant de connexion à Microsoft Online
2- Installation du module PowerShell pour Windows Azure Active Directory
Lien de téléchargement Windows Azure AD PowerShell (version 64 bits) : http://go.microsoft.com/fwlink/p/?linkid=236297
Documentation complète Windows Azure AD PowerShell : http://technet.microsoft.com/library/jj151815.aspx
3- Etablir la relation de confiance entre ADFS et WAAD
Prérequis : vérifier que le service ADFS est bien démarré
Ouvrir la console PowerShell avec le module Windows Azure Active Directory
Exécuter la commande $cred=Get-Credential
Saisir les identifiants d’un administrateur WAAD de l’annuaire WAAD à fédérer
Exécuter la commande Connect-MsolService –Credential $cred
Exécuter la commande Set-MsolAdfscontext –Computer nomFQDNinterneduserveurADFS
Exécuter la commande New-MsolFederatedDomain -DomainName nomdudomainexterneetpublic (ici : ADinAzure.info).
Un Warning (en jaune) indique qu’il est nécessaire de vérifier au préalable que vous êtes bien le propriétaire / gestionnaire de la zone DNS publique. Pour cela
Aller sur le registrar DNS et créer un CNAME dans la zone DNS ADinAzure.info comme ci dessous. La valeur à mettre est donnée dans le message en jaune
Attendre que la zone DNS soit correctement répliquée.
Relancer la commande New-MsolFederatedDomain -DomainName nomdudomainexterneetpublic (ici : ADinAzure.info).
Exécuter la commande Get-MsolFederationProperty –DomainName nomdudomainexterneetpublic (ici : ADinAzure.info).
Vérifier les valeurs des champs ActiveClientSignInUrl et PassiveClientSignInUrl : ils doivent pointer sur l’url publique du STS (celle exposée par le serveur WAP) : sts.ADinAzure.info/….
Aller dans le portail d’administration d’Azure, dans la zone dédiée à WAAD et vérifier dans l’onglet Domains que le domaine ADinAzure.info est bien avec le statut Verified
Cette étape est terminée. Prochaine étape et article n°5 : l’installation et la configuration de l’outil de synchronisation DirSync