Claims X-Ray avec Azure AD

Avant de commencer, si vous ne connaissez pas ADFS help, je vous invite à y faire un tour.
Pour ceux qui le connaisse déjà, un élément que j’aime bien est Claims X Ray. Ce composant permet de voir le contenu de ton token. Très pratique lorsque l’on souhaite mettre en place du SSO sur une application.

Création de l’application Claims X Ray

Connectez-vous au portail Azure afin de créer une nouvelle application.

Aller dans Enterprise applications
Créer une nouvelle application
Sélectionner Non-gallery application
Donner un nom à votre application et cliquer sur Add

Vous allez arriver sur la page Overview de votre application.

Aller dans Single sign-on et cliquer sur SAML
Cliquer sur Edit afin d’ajouter l’identifier et l’URL de reply
Identifier : urn:microsoft:adfs:claimsxray
Replay URL : https://adfshelp.microsoft.com/ClaimsXray/TokenResponse
Choisissez No car vous n’avez pas encore assigné votre application à un utilisateur
Ajouter un utilisateur ou un groupe

Tester notre nouvelle application

Pour tester votre application, vous pouvez vous connecter à MyApps avec l’utilisateur pour lequel vous avez assigné votre application.

Si votre configuration est bonne vous devriez avoir ceci comme résultat.

Au lieu d’aller sur MyApps, vous avez aussi la possibilité d’y accéder via le portail Azure.

Modifier le token SAML

Vous pouvez ajouter d’autres claims dans votre token.

Vous pouvez ajouter d’autres claims dans votre token.
Nous verrons dans un autre article quels sont les besoins business auxquels on peut répondre.

Attention à vos courriels avec Vidéotron

Ce soir je souhaitais retrouver un courriel qui date de 2018 dans ma boite de courriel. Il s’agissait d’un contrat numérisé et le fournisseur n’a pas envoyé de contrat papier.
Aujourd’hui combien d’entreprise utilise les moyens modernes de communication ? Beaucoup et c’est très appréciable.
Mais encore faut-il pouvoir accéder à ces courriels dans le temps.

J’ai recherché dans ma messagerie et impossible de retrouver ce courriel. J’ai alors regardé sur mes autres boites de courriels (dans le doute) et introuvable.
Par contre je constate sur une de celles-ci que mon plus vieux message date du 20/02/2019. Hum !!! Etrange !!!
Je regarde alors ma messagerie principale et mon dernier courriel date du 17/02/2019.
What ?!?!?!? Mais que cela signifie-t-il ?

Je me connecte alors sur le portail Vidéotron pour avoir accès à tous mes courriels et même constat.
En regardant en tout petit, j’ai pu lire que Vidéotron ne garde les courriels que pendant 365 jours. Oui oui 365 jours.

Mes appareils utilisent IMAP pour se connecter aux serveurs de Vidéotron et non pas POP. J’ai trouvé cette infographie qui explique très simplement la différence entre les 2.

Avec IMAP la synchronisation est dans les 2 sens

Solutions

Créer un fichier PST

Dans votre application de messagerie (dans notre cas Outlook), créer un fichier PST en allant dans vos paramètres de comptes et suiver cette procédure.

Le PST sera visible dans votre application de messagerie

Une fois que ce fichier est créé, soit vous déplacez vos courriels manuellement ou vous pouvez utiliser les règles pour les transférer automatiquement. Pour cela, aller dans « Règles », « Créer une règle » puis dans « Options avancées ».

Sélectionner « envoyé à votreadresse« 
Sélectionner « déplacer une copie …. » et choisissez votre PST précédemment créé.
Si vous souhaitez mettre une exception
Donner un nom à votre règle

Vous allez désormais pouvoir garder tous vos courriels 😉

Transférer vos courriels

Certains fournisseurs sont capables de vous fournir une grande capacité au niveau de votre messagerie donc dans ce cas vous pouvez transférer vos courriels vers celle-ci grâce à une règle.
Retourner dans les règles.

Sélectionner « envoyé à votreadresse« 
Choisissez « transférer vers votrenouvelleadresse« 

A vous de jouer !!!

Activer le 2FA sur Facebook avec une application d’authentification

Aujourd’hui on peut constater que beaucoup de compte Facebook se font compromettre. Une des solutions serait de changer son mot de passe régulièrement mais qui y pense ? Qui a vraiment envie de le faire et qui le fait vraiment.

Vous avez probablement déjà entendu parler d’authentification multifacteur ou 2 facteurs. Où encore vous l’utiliser déjà peut-être sans même vous en rendre compte (ex : SMS pour se connecter à votre site de banque)

  • multifacteur : mécanisme permettant de se connecter (s’authentifier) au travers d’au moins 3 composants
  • deux facteurs : mécanisme permettant de se connecter au travers de 2 facteurs

Les composants possibles sont multiples (SMS, empreinte digitale, courriel, reconnaissance faciale, PIN, …).


Facebook et bien d’autre vous donne désormais la possibilité d’implémenter du 2FA donc pourquoi s’en priver. L’avantage est qu’une fois en place, une personne mal intensionnée ne pourra se connecter à votre compte Facebook et ce même si elle a connaissance de votre mot de passe.

Comment activer le 2FA ?

Aller dans les paramètres de votre compte
Aller dans Sécurité et connexion
Au niveau de l’authentification à deux facteurs, cliquer sur Modifier
Choisir Application d’authentification et cliquer sur Utiliser une app d’authentification

Dans notre cas, nous allons utiliser Microsoft Authenticator mais il en existe bien d’autres (Google Authenticator, LastPass Authenticator, …). Ces applications sont gratuites.

Scanner ce QR code avec votre application d’authentification
Facebook va demander les 6 chiffres qui s’affichent dans votre application d’authentification
Si vous avez entré les bons chiffres, le 2FA sera activé
Ensuite Facebook vous demandera les 6 chiffres qui seront générés et valude pendant 30 secondes lors de votre prochaine connexion.
Vous avez la prossibilité d’enregistrer votre navigateur afin que Facebook ne vous demande pas systématiquement le 2FA.

Voilà !!! Votre compte Facebook est désormais protégé par une authentification deux facteurs (2FA).

A noter que si vous devez utiliser votre empreinte digitale ou le faceID de votre smartphone pour ouvrir votre application d’authentification, vous ferez dans ce cas du multifacteur (mot de passe Facebook + FaceID + les 6 chiffres à renseigner).

Activer l’authentification à 2 facteurs sur votre site WordPress

Workdpress propose l’authentification à 2 facteurs ce qui va vous permettre de vous protéger des attaques de brute force par exemple.

Aller dans votre profil et dans Sécurité
Dans Mot de passe, choisissez Authentification en deux étapes (2FA)
Cliquer sur Commencer
Utiliser votre application d’authentification (MS Authenticator, Google Authenticator, …) afin d’ajouter WordPress
Renseigner le code que votre application vous donne
Sauvegarder vos codes et cocher la case « J’ai imprimé ou enregistré ces codes » puis cliquer sur « Vous avez terminé »

L’authentification à 2 facteurs est désormais actif sur votre site WordPress.

Si vous avez perdu vos codes, vous pouvez en regénérer d’autres

Group Policy Objet : comment fonctionnent-elles ?

Dans cet article nous allons faire un petit rappel sur les GPO (Group Policy Objects) et casser les à priori.

Une GPO est un objet qui permet de définir une configuration que l’on souhaite ensuite pousser sur plusieurs ordinateurs. Cette GPO doit ensuite être liée à une OU (Organizational Unit) afin que celle-ci s’applique sur les objets présents dans cette OU.

Petit rappel, une GPO ne peut pas s’appliquer sur un Container (ici en rouge)

Ordre d’application

En premier lieu, les GPO dite « locale ». Un premier hardening peut être effectué avant même que la machine soit intégrée au domaine Active Directory.
En deuxième lieu, les GPOs dite de « site ». Elles permettent de pousser une configuration aux objets d’un site Active Directory.
En troisième lieu, les GPOs de domaine. Celle-ci sont liées à la racine du domaine Active Directory.
En dernier lieu, les GPOs liées à une OU. Bien évidemment, la dernière sera la GPO qui est lié à l’OU qui contient l’objet.

Plusieurs GPOs ???

Mais que ce passe-t-il quand plusieurs GPOs sont liées sur une même OU ???
les GPOs s’appliquent dans le sens de la flèche et non l’inverse.

Si vous souhaitez changer l’ordre des priorités, sélectionnez votre GPO et cliquez sur les flèches de gauche.

Lister toutes les GPOs appliquées

Aller dans l’onglet « Group Policy Inheritance » afin de toutes les visualiser.

GPOs dite « Enforced »

Celles-ci s’appliqueront en dernier.

La GPO

1 : contient la liste des OUs sur lesquelles la GPO est lié. Permet également de visualiser si la GPO est enforced et si le lien est actif
2 : permet de filtrer l’application de la GPO sur un groupe, utilisateur ou ordinateur
3 : permet de filtrer l’application de la GPO au travers d’une requête WMI

Si vous retirez « Authenticated Users », les personnes autre que Domain Admins ne pourront plus visualiser le contenu de la GPO.

Les à priori

Une GPO peut s’appliquer sur un autre domaine

Une GPO est lié à un domaine et est stocké dans le SYSVOL. Une GPO d’un domaine A ne peut donc pas s’appliquer sur un domaine B.

Le filtrage permet de cacher une GPO

Afin de s’avoir si la GPO s’applique ou non, l’objet va devoir lire celle-ci et selon le filtrage, les paramètres vont s’appliquer (ou non).
Si vous avez 10 GPOs avec un filtre, tous les objets vont devoir les lire. Il est donc préférable de créer des OUs, de lier les GPOs et de déplacer les objets. Toutefois, le filtrage peut être intéressant pour du test/dev.

Une fois que l’objet sait quelles sont les GPOs qui vont s’appliquer, il va les télécharger en cache sur le poste dans C:\Windows\System32\GroupPolicy

Les paramètres user s’appliquent sur les computers

J’ai pu constater à de nombreuses reprises cet à priori. Des GPOs sont liées à une OU qui contient des ordinateurs mais elles comportent des paramètres utilisateur.
Malheureusement vous devez savoir que ces paramètres utilisateur ne s’appliquent pas.

Si on regarde sur un des ordinateurs qui est dans cette OU, on peut constater que la partie utilisateur ne s’applique pas.

gpresult /R /Scope:user

Si vous souhaitez que les paramètres utilisateurs s’appliquent, vous devez utiliser l’option LoopBack dans la partie Computer (Policies\Adm Template\System\Group Policy)
A vous de choisir ensuite ce que vous souhaitez faire lorsque avec ces paramètres.
L’utilisation du Loopback est pour moi très utile uniquement dans le cadre d’une infrastructure RDS/VDI/Citrix.

J’ai activé le loopback avec l’option Replace. Désormais seule ma GPO avec le loopback s’applique et plus les autres.
Comme vous pouvez le voir il peut être dangereux d’utiliser le loopback 😉

Event – Advanced Security Workshops

Encore un event très intéressant à Montréal !!! Regardez le programme.

09:00 – 09:30 Registration
09:30 – 10:15 Security landscape and common threats
10:15 – 11:00 Identity and Access Management
11:15 – 11:30 Break
11:30 – 12:30 Threat Protection
12:30 – 13:00 Lunch
13:00 – 14:45 Information Protection
14:45 – 15:00 Break
15:00 – 16:00 Security Management

https://www.microsoftevents.com/profile/form/index.cfm?PKformID=0x2879242abcd&wt.mc_id=AID624882_QSG_PD_SCL_200858

Teams : la roadmap

Pour ceux qui n’utilisent pas Teams ou qui n’y ont pas encore pensés, je vous conseille d’y jeter un œil. Cet outil va grandement améliorer la collaboration au sein de vos équipes mais aussi entre équipe. Si cet outil est bien utilisé, vous devriez recevoir moins de courriels dans votre messagerie. Qui n’a pas envie de recevoir moins de mail ?

Teams sera le produit qui vous permettra de communiquer, collaborer beaucoup facilement grâce aux interconnexions avec les autres applications d’Office 365 (Skype, Yammer, Planner, OneDrive, …)

En terme de cible, il est clair que l’on peut se poser la question sur la future existence de Skype :). Donc si vous utilisez Skype for Business, il est impératif de prendre les devant.

https://techcommunity.microsoft.com/t5/Microsoft-Teams-Blog/Roadmap-for-Skype-for-Business-capabilities-coming-to-Microsoft/ba-p/119636

Une petit vidéo assez sympathique sur Teams/Skype : https://t.co/M5HBJ5f5ZV

 

N’oubliez pas, pour profiter au maximum d’un outil, vous devez au préalable penser à votre gouvernance et à la communication. Sans cela, Teams ne sera jamais utilisé par vos usagers.

 

Pourquoi n’utilisez vous pas Azure ?

De plus en plus d’entreprises utilisent Azure pour différents usages et raisons. Nous allons voir ensemble pourquoi vous pouvez l’utiliser et dans quel cadre.

Avant de commencer, voici une liste des différentes solutions d’Azure (https://azure.microsoft.com/en-ca/solutions/). L’offre est assez conséquente mais vous trouverez surement une solution qui attirera votre attention.

Un comparatif entre Azure et AWS (https://azure.microsoft.com/fr-fr/overview/azure-vs-aws/).

Pour les entreprises qui ne l’utilise pas encore, je vous conseille d’y regarder un peu plus prêt. Si c’est pour des questions de sécurité, aller lire cet article (https://blogs.technet.microsoft.com/enterprisemobility/2017/09/05/how-we-secure-your-data-in-azure-ad/).

Pourquoi utiliser Azure :

  • facturation à l’usage
  • la haute disponibilité
  • les backups
  • pour la collaboration
  • pour la fédération d’identité
  • pour l’ajout de niveau de sécurité (MFA, Conditional Access, Windows 10/DRS)
  • pour le développement de vos applications

Dans quel cadre

  • pourquoi ne pas utiliser Azure pour du développement/lab ? Vous allez y gagner en terme de coût. Lorsque votre dev ou lab est terminé, vous supprimez ou éteignez vos serveurs donc cela ne vous coûte plus rien contrairement à votre infrastructure On-Premise
  • un environnement hybrid. Effectivement, vous n’êtes pas obligé de tout utiliser, de tout synchroniser. Grâce à Azure AD Connect, vous pouvez choisir les objets que vous souhaitez synchroniser dans le Cloud (par exemple, uniquement les comptes des développeurs).

 

Maintenant vous n’avez plus de raisons valables pour ne pas étudier et utiliser Azure 🙂

 

Synchroniser des groupes AD on-premise dans le Cloud

Savez-vous à quoi sert un groupe ? Bien sur que oui, il vous permet de regrouper vos utilisateurs ou vos ordinateurs dans un seul objet. Par exemple, si vous voulez donner accès à une ressource (répertoires, applications, …) à vos utilisateurs de l’équipe RH, au lieu de donner spécifiquement la permission à chaque utilisateur, vous donnerez la permission au groupe et de ce fait à tous les utilisateurs qui sont dans ce groupe.

Vous avez également cette possibilité avec les groupes Azure. Lorsque vous souhaitez donner accès à vos sites SharePoint OnLine, vous devrez passer par les groupes Azure.

Lorsque vous êtes en mode hybrid (On-Prem + Cloud), vous devez donc ajouter vos utilisateurs dans les groupes On-Prem et les groupes Azure. Je vous laisse imaginer toutes les inconvénients que cela peut engendrer : complexité de l’administration, erreurs humaines, oubli de traitement, bref un risque élevé que vos utilisateurs ne soient pas satisfaits.

Voici donc LA solution : synchroniser vos groupes AD On-Prem dans le Cloud. Pour cela, nous allons utiliser Azure AD Connect.

Lancez Azure AD Connect et slectionner « Customize synchronization options » afin d’ajouter l’organization unit (OU) qui contient vos groupes AD On-Prem.AAD-Connect-0

Renseignez votre compte global admin Azure.

AAD-Connect-0.1.jpg

Puis cliquez sur « Next » sur la fenêtre suivante concernant votre Active Directory et ensuite choisissez l’OU qui contient les groupes que vous souhaitez synchroniser dans le Cloud.

AAD-Connect-1

Cliquez ensuite sur « Next » puis sur « Configure ».

 

AAD-Connect-2

Une fois la configuration terminée, vous devriez constater ceci. Votre/vos groupe(s) vont désormais être disponibles dans le Cloud et vous pourrez donc attribuer des privilèges à vos utilisateurs sans vous connecter au portail Azure.

AAD-Connect-3

Je vous laisse imaginer les possibilités que cela vous offre. Par exemple, gérer vos licences Office 365 de manière automatique à partir de votre AD On-Prem (à voir dans un autre article).

A vos groupes 🙂