Azure Information Protection: ce n’est pas encore très clair pour tout le monde !

En début de semaine, j’ai longuement échangé avec un client à propos des solution de chiffrement de documents disponibles sur le marché. Il m’est apparu que les choses étaient très confuses dans son esprit (désolé Olivier 😉 ).

Il y a beaucoup de confusion entre les différentes possibilités offertes par les multiples fournisseurs qui se sont positionnés sur ce marché. Bien évidemment, l’utilisation de plus en plus massive des solutions Cloud, que ce soit au niveau de l’email, des intranets ou du stockage de documents rend cette approche quasi obligatoire, car la sécurité périmétrique ne sert plus à rien en terme de protection de la donnée ou de protection de la propriété intellectuelle.

Dans l’ancien monde, le monde « on-premises », Microsoft fournissait déjà une solution nommée « Active Directory RMS », permettant de protéger (chiffrer) les documents Office et les emails Outlook produits par l’entreprise. Cette solution était assez efficace techniquement mais rendait les échanges inter-entreprises (avec un partenaire commercial par exemple) assez complexes à réaliser.

L’arrivée de Azure Information Protection (ex Azure RMS) a ouvert de nouveaux horizons en termes de protection des données et de l’information, mais il s’avère que nombre de clients ne comprennent pas bien certains aspects. L’objectif de ce post est de rapidement fournir quelques pistes afin de mieux comprendre les aspects AIP côté client (=device).

Petit rappel, la fonction AIP peut s’acquérir via les plans EMS 3 & 5 de Microsoft:

Le plan EMS E3 propose globalement (je fais simple…) les fonctions qui étaient anciennement portées par Azure RMS, à savoir la technologie de chiffrement elle-même – le plan EMS E5 rajoute globalement (je fais simple à nouveau…) les fonctions de classification – Ici, le challenge de Microsoft sera de lier au maximum ces deux technologies, permettant à l’utilisateur de choisir une classification, qui protégera automatiquement (en fonction de cette classification) les documents ou emails.

Rappelons également que la technologies AIP/RMS permet de protéger du contenu produit dans des technologies Microsoft (docx, pptx, email, etc.) mais aussi de protéger des documents qui ne sont pas produits avec des outils Microsoft (txt, PDF ou Autocad par exemple). Ce lien très utile décrit les différents formats pris en compte par AIP, que ce soit au niveau du module de protection ou au niveau du module de classification.

Lorsque d’un destinataire va recevoir un contenu protégé par AIP, il devra utiliser un « client » AIP/RMS lui permettant de faire le lien entre une authentification (=son identité) et l’application des règles d’accès au contenu décidées par le créateur du contenu (accès en lecture, en écriture, possibilité de copier/coller ou pas, etc.).

La technologie AIP/RMS nécessite donc un « client » côté device afin de déchiffrer un contenu. A ce niveau il y a globalement deux cas possibles pour déchiffrer et accéder au contenu selon les règles d’accès décidées par l’auteur du contenu:

Ce lien décrit les différentes possibilités en croisant les différents formats de fichiers avec la plateforme du device (=son OS) – ici par exemple, les différents clients AIP/RMS utilisables sur sur plateforme Windows en fonction des formats de fichiers:

De plus, vous retrouverez sur ce lien, la possibilité de télécharger Microsoft Azure Information Protection Viewer ( AZInfoProtectionViewer.exe ) pour Windows qui permettra a un client de consommer (=ouvrir) un contenu protégé par AIP/RMS même si il ne possède pas lui même une application intégrant un client AIP/RMS natif:

En conclusion, il faut bien assimiler plusieurs éléments:

  • AIP permet de protéger du contenu « Microsoft » mais aussi des documents hors format Microsoft (PDF, txt, etc.)
  • AIP fonctionne sur Windows, Mac, Android & iOS (avec quelque différences subtiles entre ces différents OS) – à noter aucun fournisseur tiers ne s’est lancé dans une aventure AIP sur Blackberry, mais il exite des possibilité pour supporter des clients AD RMS sur Blackberry
  • AIP intègre des fonctions de chiffrement & classification mais aussi d’autres fonctions extrêmement intéressantes comme le tracking des documents protégés par exemple
  • AIP permet d’échanger assez simplement du contenu protégé avec des personnes en dehors de l’organisation (au contraire de AD RMS)
  • La personne qui consomme le contenu, c’est à dire la personne qui accède au document/email protégé n’a pas besoin de licence AIP ni besoin d’avoir une application native AIP/RMS, elle peut télécharger le client AIP Viewer pour accéder au contenu protégé

Enfin, cette technologie évolue très très rapidement côté Microsoft, en effet, il s’agit d’une technologie clé pour permettre l’adoption des solutions Cloud tout en protégeant l’accès à l’information de l’organisation.

Si vous avez des questions ou des besoins sur AIP, n’hésitez pas à me contacter. J’ai créé dernièrement un nouveau Workshop d’une demi-journée ou une journée dédié à AIP et qui permet de comprendre comment fonctionne cette technologie et les différentes possibilités offertes pour une organisation.

Annonce de la fusion des portails d’administration pour les fonctions AIP (Azure RMS & Labeling)

Une annonce majeure de la part de Microsoft, attendue depuis longtemps !

Microsoft va proposer une interface de gestion commune des fonctions de protections (ex Azure RMS) et des fonctions de Labeling (ex Secure Island) ainsi qu’un client unifié pour les postes et périphériques mobiles.

Bien sur, cette nouvelle interface de gestion sera disponible depuis la version V2 du portail d’administration Azure: https://portal.azure.com

La stratégie est maintenant de considérer la protection comme une option de la fonction de classification. Je milite pour cette approche depuis longtemps, car c’est la seule possible d’un point de vue structurel & organisationnel – il faut comprendre que la protection RMS n’a pas de sens sans la fonction de classification, car l’utilisateur créateur de contenu est le seul chaînon capable de « définir » la protection via le choix d’une classification (classification au sens large du terme).

Les fonctions de classification et de protection des données non structurées sont absolument essentielles dans le cadre de l’adoption des technologies de Cloud Public. Il s’agit donc de se préparer au déploiement de ce type de fonction, c’est absolument essentiel.

Plus d’information sur le blog EMS: https://blogs.technet.microsoft.com/enterprisemobility/2017/04/26/azure-information-protection-unified-administration-now-in-preview/

Et sur ce lien: https://aka.ms/DanPlastina

 

Comment Microsoft peut il vous accompagner dans votre démarche de certification ou conformité ?

Travaillant actuellement pour une grande organisation internationale désireuse de différentes certifications afin d’atteindre certains principes de conformité, je me suis trouvé pris à parti lors du dernier comité de pilotage. Lors d’une réunion garnie de chefs à plumes, le CISO du client, du haut de son piédestal, de ses certitudes et de son Anglais parfait d’Oxford m’a demandé comment les technologies Microsoft pouvaient aider son organisation dans cette démarche… La question ne m’avait jamais été posée sous cette angle… Bon il faut dire que le personnage n’avait pas l’air super fan des technologies Microsoft, cela sentait le piège… son œil malicieux était vif et brillant…

J’ai travaillé sur de nombreux projets PCI-DSS, des projets ISO, etc… souvent les solutions implémentées en réponse à ces demandes étaient réalisées via un ensemble de technologies différentes: Active Directory, Centrify, principes de moindre privilège, FreeBSD, système d’audit et de tableaux de bord, FIM/MIM, méthodologie BPM, scripts, utilisation de cartes à puce, etc. Jamais un RSSI ne m’avait « attaqué » sous l’angle « moqueur » du tout Microsoft…

Suite à sa demande et à quelques recherches, je suis tombé sur un site web de Microsoft vraiment intéressant proposant une source d’information quasi exhaustive sur le « comment Microsoft me permet d’avancer dans mon projet de Compliance »: https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings

Tout n’est pas parfait, mais ce site a le mérite d’exister. Il permet en effet de sélectionner les différents type de certification par type ou par région du monde:

Après une brève description de la certification, exemple ici avec ISO27001:

Le site permet d’obtenir tout d’abord des informations concernant les certifications obtenues par les produits ou services Microsoft dans le domaine considéré:

Puis de consulter de nombreuses sources additionnelles:

Bien évidement, en fonction de la certification, les données proposées et la structure de présentations diffèrent quelque peu.

Pour ceux qui recherchent sur la certification PCI-DSS, notamment dans le cadre de l’utilisation des services Azure, Microsoft met à disposition un fichier Excel vous permettant de définir, en fonction des objectifs PCI-DSS, quels sont les éléments sous la responsabilité de Microsoft et quels sont les éléments sous votre responsabilité. Très utile pour structurer son approche conjointe Cloud + PCI-DSS:

Je vous rappelle également l’existence d’un outil souvent méconnu de Microsoft, Security Compliance Manager (SCM), qui est une boite à outils extraordinaire pour ce type de projet – de plus l’outil est totalement gratuit et peut fournir des modèles prêts à l’emploi à utiliser via les GPOs, DSC ou SCCM afin d’appliquer des modèles de « compliance » sur les workstations ou les serveurs. Une nouvelle version de SCM prend d’ailleurs en compte Windows Server 2016 et Windows 10: https://technet.microsoft.com/fr-fr/solutionaccelerators/cc835245.aspx

Bref, une mine d’or pour ceux qui travaillent sur des projet de certification et de conformité.

Et bien oui, Microsoft pouvait bel et bien aider mon RSSI imbus de lui même…

En pièce jointe de cet article, en bonus, je vous ai rajouté un document réalisé par McAfee sur la liste des événements à auditer au sein d’Active Directory dans le cadre d’un projet PCI-DSS. Néanmoins ce document peut s’utiliser dans d’autres projets de conformité ou même dans une démarche toute simple de sécurisation ou de réduction de la surface d’attaque Active Directory: wp-pci-guidance-microsoft-windows-logging

Pour rappel: https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings

Bonne recherche et bonne lecture !

Meetup MUG à Tours – Microsoft Azure & co

J’anime le 08/02/2017 à 19h sur Tours un meetup sur Microsoft Azure, au programme:

•  Le Cloud – késako

•  IaaS, PaaS & SaaS

•  Microsoft Azure

•  Relation entre Azure et Office 365

•  La gestion des identités dans Microsoft Azure

Venez nombreux sur place, afin d’échanger, discuter Cloud, Azure et nouvelles technologies !

Pour s’inscrire: https://www.meetup.com/fr-FR/Meetup-Mug-Tours/events/235774905/?wt.mc_id=AID541758_QSG_SCL_12885

Merci encore au MUG Tours pour m’accueillir en tant que speaker.

Une vidéo pour rappeler les fondamentaux des différentes sources d’identités utilisables avec Office 365

Cette vidéo ne contient pas une révolution en termes d’informations, mais peut-être utile afin de montrer à un quelqu’un qui débute sur Office 365 les différentes options pour s’authentifier sur ce service en ligne. L’approche très didactique peut aussi être utilisée pour réaliser qq slides de présentation présentant les grandes lignes de la gestion des identités sur Office 365.

ITcast: Episode 38 – MS Cloud Summit, Global Azure Bootcamp et identités

Pour ceux qui ne connaissent pas encore ITcast (http://itcast.io/), il s’agit d’un podcast audio animé par la fine équipe Maxime Rastello & Pascal Sauliere – voir ici pour pour les auteurs: http://itcast.io/a-propos/

ITcast passe en revue deux fois par mois l’actualité IT & communautaire IT. J’ai eu la joie de participer au dernier épisode, merci encore à Maxime & Pascal pour leur invitation !

Pour lire le podcast: http://itcast.io/podcast/episode-38-ms-cloud-summit-global-azure-bootcamp-identites/

Azure AD Pass-Through Authentication et Seamless SSO par Maxime Rastello

Maxime Rastello est consultant & MVP, il s’est fait une spécialité de la partie Azure et notamment des processus et des fonctions liées à l’IAM ou à la sécurité dans Azure. Depuis peu, il a commencé une série de vidéos, dites « Deep-Dive ». C’est vraiment très bien fait et didactique, le format entre 15 et 30 minutes est parfait pour approfondir le sujet mais sans que cela devienne assommant. La dernière vidéo en date porte sur deux nouvelles fonctions en preview, qui de mon point de vue, vont révolutionner l’usage d’Azure Active Directory dans le monde des entreprises et notamment dans les PME ou ETI: Azure AD Pass-Through Authentication et Seamless SSO.

Pour suivre sa chaîne YouTube: https://www.youtube.com/channel/UCL9JIy1auTKjwESwa3XCJ7g/videos

Pour le suivre sur Twitter: @MaximeRastello

Pour retrouver sa dernière vidéo sur Azure AD Pass-Through Authentication et Seamless SSO:

 

Quel futur pour Active Directory et Azure Active Directory ?

eic_kimcameron

La 10ème conférence European Identity & Cloud (eic) est terminée. Elle a été très riche en sessions techniques ou stratégiques. Un des points culminants de cet événement a été la présentation de Kim Cameron sur le futur des technologies Active Directory (en local donc) et Azure Active Directory (dans le cloud donc).

Pour ceux qui ne connaissent pas Kim Cameron, il s’agit de « monsieur identité » chez Microsoft, il est Chief Architect of Identity et donne la mesure et bâtie la stratégie de Microsoft en ce qui concerne la gestion des identités. Son blog est une référence sur ce sujet dans le monde anglophone: http://www.identityblog.com/

Dans cette session, Kim Cameron a tenté de présenté des pistes pour les décideurs IT, leur donnant sa vision du futur et de la cohabitation des technologies Active Directory et Azure Active Directory, en faisant notamment un focus sur le service Azure AD Directory Services permettant d’exposer Azure Active Directory au travers de services généralement utilisés localement sur un Active Directory local (kerberos, LDAP, etc.).

Pour ma part, je pense que dans 2 ou 3 ans, le couple Azure Active Directory + Azure AD Domain Services permettra de fournir un ensemble de services équivalents à ce que nous connaissons actuellement avec un Active Directory local, il s’agit vraisemblablement du futur des annuaires dans le cloud, avec une multitude d’applications ou de systèmes qui pourront se connecter et utiliser ce service global. Sans vouloir faire le « Microsoft Fan Boy » de base, il n’y a aucun équivalent à cette offre chez les autres fournisseurs cloud, Microsoft est en train de créer une offre de services IAM dans le cloud sans aucun concurrent valable ou valide. Cela est même assez étonnant de voir la pauvreté de l’offre Amazon et Google dans ce domaine…

Vous pouvez consulter la présentation de Kim Cameron ici:

 

Module PowerShell V2 pour Azure Active Directory disponible en GA

aad_v2_powershell

Comme vous le savez certainement, il est tout à fait possible de manipuler les objets Azure Active Directory via PowerShell. Jusqu’à maintenant, la version V2 (au sens PowerShell) n’était disponible qu’en preview. Depuis quelques jours, le module powershell AAA V2 est disponible en ‘GA’.

Pour info, certaines commande disponible dans la version Preview, n’ont pas encore été intégrées dans la version publique délivrée (ce n’est qu’une question de temps, mais il est toujours possible d’installer le module Peview pour bénéficier de ces commandes en attendant leur intégration définitive).

Pour l’instant, voici la liste des commandes disponibles:

Get-AzureADAdministrativeUnit
New-AzureADAdministrativeUnit
Remove-AzureADAdministrativeUnitSet-AzureADAdministrativeUnit
Add-AzureADAdministrativeUnitMember
Get-AzureADAdministrativeUnitMember
Remove-AzureADAdministrativeUnitMember
Add-AzureADApplicationPolicy
Add-AzureADScopedRoleMembership
Get-AzureADScopedRoleMembership
Remove-AzureADScopedRoleMembership
Confirm-AzureADDomain
New-AzureADDomain
Remove-AzureADDomain
Set-AzureADDomain
Get-AzureADVerificationDnsRecord
Get-AzureADApplicationPolicy
Remove-AzureADApplicationPolicy
Get-AzureADPolicy
New-AzureADPolicy
Remove-AzureADPolicy
Set-AzureADPolicy
Get-AzureADPolicyAppliedObject
Add-AzureADServicePrincipalPolicy
Get-AzureADServicePrincipalPolicy
Remove-AzureADServicePrincipalPolicy
Get-AzureADServiceConfigurationRecord
New-AzureADDirectorySetting
Remove-AzureADDirectorySetting
Set-AzureADDirectorySetting
Get-AzureADObjectSetting
New-AzureADObjectSetting
Remove-AzureADObjectSetting
Set-AzureADObjectSetting

Informations sur le module PowerShell AAD V2 [ ICI ]

 

 

Série d’articles interressants sur Azure AD par un MVP Français

mvp Seyfallah Tagrerout, MVP Français travaillant à la base sur les technologies de virtualisation, commence une série d’articles sur Azure Active Directory.

C’est accessible aux débutants, bien documenté et surtout c’est en Français !

Vous pouvez consulter les deux premiers articles ici:

https://seyfallah-it.blogspot.fr/2016/06/azure-ad-part-1.html

https://seyfallah-it.blogspot.fr/2016/06/azure-ad-part-2-letude-qui-prepare.html?m=1

La page d’accueil de son blog: https://seyfallah-it.blogspot.fr/ – focus sur les technologies de virtualisation, mais pas que.

Bien commencer avec Azure Active Directory: Azure Active Directory Proof Of Concept Playbook

azure_ad_poc

Beaucoup de mes partenaires et clients me demandent: « comment tester, évaluer et comprendre en quelques jours se qu’est et comment fonctionne Azure Active Directory ? » – en qq mots, comment faciliter la mise en oeuvre d’un POC sur la solution. Microsoft a conçu et met régulièrement un jour un document de référence qui permet « assez facilement » de réaliser ce test: « Azure Active Directory Proof of Concept Playbook.pdf »

Ce document a un grand intérêt car il contient l’ensemble des informations importantes pour la réalisation d’un POC Azure AD et surtout il contient la liste des autres documents ou articles de référence permettant facilement de comprendre les concepts périphériques pour aller un peu plus loin dans la compréhension si c’est la volonté de la cellule IT réalisant cette évaluation.

Le document possède la structure suivante:

azure_ad_poc_doc_contenu

 

Par exemple, comme indiqué, le document contient toutes les références « externes » nécessaires aux différentes étapes, par exemple ici, la liste des prérequis pour la réalisation du POC avec les liens externes nécessaires:

azure_ad_poc_doc_contenu_a

Bref, un très bon point de départ pour ceux qui veulent explorer et comprendre Azure Active Directory.

Rappel du lien pour le document: [ ICI ]

 

 

 

Les différents scénarios possibles selon la topologie d’entreprise avec Azure AD Connect

adconnect je suis tombé qq peu par hasard sur un article (US) qui me semble intéressant pour un architecte débutant dans les problématiques de synchronisation liées à Azure AD Connect. Cet article liste les différentes topologies d’entreprise existantes possibles, et les scénarios d’implémentation Azure AD Connect pour chaque situation. Quand un scénario n’est pas supporté officiellement par Microsoft, cela est notifié dans l’article, ce qui est important et parfois qq peu obscure à décrypter (supporté ou pas supporté…) pour les débutant.

Bref, l’article n’est pas révolutionnaire en soi, mais constitue un bon point de départ pour un consultant déchiffrant ce nouveau monde. L’article est disponible ici: https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect-topologies/

Bonne lecture 😉

Azure AD Application Gallery

Azure AD Application Gallery
Azure AD Application Gallery

Comme vous le savez déjà si vous travaillez avec les concepts de fédération d’identité et d’IDentity as a Service (IDaaS), notamment via Azure AD Premium, il est parfois difficile de connaître la liste des applications supportées ainsi que le mode de fédération ou de SSO que ces applications SaaS acceptent. Microsoft publie un site web « Azure AD Application Gallery » permettant de consulter la liste des applications supportées et de déterminer quel type de SSO elles sont capables de « comprendre ».

Pour faire simple, il existe 4 types d’applications SaaS selon la terminologie utilisée par Microsoft – notons toutefois, que les protocoles acceptés par l’application ne dépendent pas directement de Microsoft mais de l’application elle même, il y a toutes les chances pour que les « capacités » de l’application en termes de SSO ou de Fédération soient exactement les même quelques soit la solution d’IDaaS employée:

# Application de type « federated SSO only »: ces applications supportent la fédération et le SSO via la fédération de façon basique, généralement elles requièrent de mettre en œuvre un système de provisioning des comptes coté applicatif,  rappelez vous que la fédération d’identité ne vous élimine pas le fait de devoir créer les comptes côté applicatif de façon à lister les personnes acceptées et pouvoir définir le profiling applicatif (en gros qui a droit à quoi dans l’application)

# Application de type « federated SSO and provisioning »: ces applications supportent la fédération et le SSO via la fédération, et permettent aussi de gérer le provisioning des comptes via la solution d’IDaaS elle-même. Ici, on définie des règles, et la création des comptes, voir l’appartenance aux bons groupes côté applicatif, se fait via la solution IDaaS, plus besoin de penser un système de provisioning en parallèle.

# Application de type « federated SSO and consent »: ces applications supportent la fédération et le SSO via la fédération, et supportent la fonction « consent » – pour faire simple, cela permet à un utilisateur lorsqu’il utilise la passerelle de fédération d’accepter que ces identités soient utilisées et passées à l’applications SaaS pour valider son identité. Ce mécanisme est assez peu utilisé, permet sous certaines législation de demander la permission à l’utilisateur de transmettre son identité à l’application demandée. Qq explications sur le « consent » dans cet article: https://identitynetworks.wordpress.com/2009/03/09/ready-able-and-willing-federated-consent/

# Application de type « password SSO only »: ces applications ne supportent pas la fédération, et ne sont capable de faire du SSO que sur la transmission d’un couple username+password. Il y a un effet de bord principal à ce type d’authentification, c’est lorsque l’on veut utiliser le service d’IDaaS depuis un périphérique de type smartphone ou tablette, mais ceci est un autre débat, je ferais un article prochainement sur ce sujet. Ici, il faudra alors mémoriser le couple username+password ou éventuellement se baser sur l’authentification AD, mais il faudra alors aligner ce couple avec le compte dans l’application SaaS.

Sur l’interface « Azure AD Application Gallery », il suffit de choisir le type d’applications que l’on veut lister, et le site vous propose la liste des applications supportées par Azure AD Premium dans ce cadre. Par exemple:

consent_federation_applications

 

 

19 & 20 Octobre 2016: OCG Identity Security Summit

ocgidentitysummit

Les 19 & 20 Octobre prochains, OCG (Oxford Computer Group) organise son évènement annuel sur la gestion des identités et la transformation digitale. Pour ceux qui ne connaissent pas OCG, il s’agit ici de l’acteur Européen principal dans le monde de l’IAM version Microsoft. Le premier jour sera consacré à la partie technique autour de la gestion des identités et de la sécurité, le deuxième jour verra un focus sur la transformation digitale liée à l’IAM.

Cette année, un invité de marque: Brad Anderson qui est VP chez Microsoft. Informations complémentaires et inscriptions [ici]

 

Microsoft Azure Stack: enfin !!!!!!!!!

Je veux vous faire partager mon excitation (comme dirait un américain « i am so excited ») à la sortie de Microsoft Azure Stack. En effet, cette nouvelle offre de Microsoft va permettre de créer son propre cloud interne, en se basant sur une « stack » de type « cloud service model ». Que l’on comprenne bien, pour moi l’intérêt du cloud n’est pas principalement de mettre ses « données » ou « services » à l’extérieur et d’externaliser sa propre responsabilité. Pour moi, l’intérêt majeur du cloud est de fournir un « cloud service model » est de permettre une plate-forme agile pour les utilisateurs, les développeurs, les responsables applicatifs ou les responsables business.

Il est en effet primordial de fournir « à la demande », « as a service » les ressources, au sens large du terme, que nécessitent les métiers au sein de l’entreprise: des serveurs, des applications, du stockage, etc. Cela doit être rapide, peu coûteux, automatisé – avec à la clé: des tableaux de bords clairs, du reporting, un système de facturation et de suivi. C’est effectivement le modèle proposé par de nombreux fournisseurs de service tels que Microsoft, Amazon ou Rackspace. Néanmoins, ce service s’exécute dans un cloud public (ok, il y a des exceptions possibles, mais restons simples…) – et cela limite grandement l’utilisation de ces services: gouvernance non adaptée, règles de sécurités ou de conformités non couvertes, bande passante Internet insuffisante, dépendance même de la connectivité Internet, mauvaise réversibilité, etc.

Depuis quelques années, se développe une tendance au cloud hybride, voir au cloud privé basée notamment sur OpenStack. La difficulté réside dans le mode « puzzle » des briques technologiques impliquées dans OpenStack, avec peu de consistance et un besoin très élevé de ressources internes pour faire fonctionner la bête.

Microsoft sort maintenant Azure Stack, qui est une installation « locale », en cloud privé du modèle « cloud service » proposé par Microsoft dans son cloud public Azure. Et franchement, je pense que cette solution a énormément d’avenir, en apportera de la consistance, du support professionnel et des évolutions programmées au modèle « internal cloud service ».

L’avenir des équipe IT est de travailler sur l’architecture de ce type de modèle, et de permettre l’agilité complète du SI, maintenant cela va être possible de façon simple pour toutes les tailles d’entreprise ou même à l’échelle d’un service particulier au sein d’une entreprise. A terme, les entreprises qui ne vont pas adopter ce type de modèle verront un handicap croissant se greffer sur leur performance et rentabilité, année après année. Bien sur, cela suppose des briques essentielles qui ne sont pas des briques purement IT, pour moi 3 briques essentielles sont nécessaires à ce type de modèle:

  • un sponsoring direct du CTO & du CFO
  • un système de facturation interne
  • la définition d’un catalogue de service

J’encourage tous mes lecteurs à planifier d’ici la fin de l’année une évaluation de Microsoft Azure Stack, car celui ci sera peut être au centre de leurs activités futures dans les années à venir. Le service IT interne a de la valeur, de l’expérience, des idées et bien maintenant prouvons le.

Quelques explications complémentaires disponibles sur cette vidéo:

 » And, i am so excited 😉 « 

Directory as a Service, c’est parti !

AzureADDoma1Ça y est ! Microsoft rend public Azure AD Domain Services (à ne pas confondre avec Azure AD ou avec le fait d’installer un DC sur la plateforme IAAS d’Azure… Bon, je sais, ca devient un peu compliqué) qui est la première brique d’une approche qui fait fantasmer énormément de monde: le Directory As A Service ou DaaS. Alors oui, vous allez me dire le DaaS c’est aussi le « Data as a Service », le « Desktop as a service », etc… bon d’accord, alors écrivons le comme cela: DIRaaS, cela sera plus clair…

Donc pour faire simple, Microsoft rend public un nouveau service Azure permettant de créer un service online « simulant » un Active Directory dans Azure (côté SaaS, pas côté IaaS): Azure AD Domain Services. Les objectifs de ce service sont multiples:

(1) Permettre aux entreprise qui possèdent des applications AD dépendantes dans l’IaaS d’Azure (donc des applications hébergées sur des machines virtuelles Azure pour faire simple) de consommer un service Active Directory standard (enfin presque…) sans être obligé d’installer et de maintenir des DCs sur des machines virtuelles Azure uniquement pour des besoins applicatifs

(2) Permettre à des petites entreprises de pouvoir TOUT consommer sous la forme de service d’infrastructure depuis la plateforme Azure – Mais attention, à ce stade il n’est possible que de joindre des machines qui sont des VMs dans Azure, donc ici, pas possible de joindre un domaine Azure AD Domain Services depuis par exemple une machine Windows 10 qui est « on premises » (alors que cette fonction existe avec AD Azure, oui je sais c’est un peu compliqué…)

(3) A terme, fournir un véritable DIRaaS pour les grandes entreprises. Sur ce point, oui, je sais,  j’extrapole, mais je sens bien les choses comme cela, et franchement c’est assez intéressant. Bien sur il y a encore pas mal de dev à faire, mais cela va venir, j’en suis persuadé…

Faire des tests !

En effet, dans le cadre de la gestion de VMs qui sont dans Azure et qui possèdent des applications dépendantes à AD, il faut voir globalement le service Azure AD Domain Services comme un service qui expose les protocoles Kerberos, NTLM, LDAP et GPOs – les VMs Azure peuvent donc joindre ce domaine. Mais attention, on est pas ici exactement comme un domaine AD, donc il est important de faire des tests pour valider que vos applications sont fonctionelles dans ce contexte technique et être certain qu’elles fonctionnent avec ce service – à ce jour, je ne suis pas sur qu’il existe un catalogue officiel d’applications certifiées pour le service, cela viendra certainement.

En bref.

Super intéressant, à tester. Plus d’informations [ ici ]

Une bonne série d’articles sur la technologie de conteneurs

contenaireStanislas Quastana, architecte chez Microsoft France nous propose une série d’articles à venir sur Docker, Azure & Windows. Comme d’habitude avec Stanislas, c’est bien écrit, et surtout il a testé avant ! A lire pour tout ceux dont l’interopérabilité multiplateformes liée à la technologie Docker intéresse.

Le premier article est disponible [ICI]

Comparatif DirSync vs Azure AD Sync vs Azure AD Connect

windows_azure_smallDeuxième article remarquable sur le blog de Maxime: un article de synthèse réalisant un comparatif des trois solutions de « synchronisation » ou de « mise à jour des informations » entre les données locales et le service Azure AD (service nécessaire notamment à l’utilisation d’Office365)

Le problème de ce type d’article est le côté « périssable » de l’image instantanée des fonctions décrites, donc peu de personnes font l’effort de les écrire, encore merci à Maxime pour son travail de synthèse.

L’article est accessible [ ici ]

Un bon résumé visuel de l’offre Microsoft Azure

Microsoft a publié une mise à jour de son infographie représentant les différents services Microsoft Azure. Pour être honnête, le schéma global n’est pas très précis et certaines briques de services ne sont pas présentes, mais il s’agit tout de même d’un très bon moyen de se représenter l’offre Microsoft Azure quand il faut l’expliquer à des profanes. De toute façon, par nature, il est très compliqué d’obtenir un schéma complet à 100% car les évolutions des services en ligne se font à un rythme effréné…Voici quelques copies d’écran partielles de cette infographie :

La version PDF complète est téléchargeable [ ICI ]

Cours en Français gratuit sur Azure Active Directory

La plateforme Microsoft Virtual Academy accueille une série de module (9 au total pour l’instant) permettant de monter en compétence sur Azure Active Directory. Bien sûr, par définition, les cours & formations sur les applications ou services en ligne sont très vite périssables, néanmoins, cette série de vidéos et de présentation est un excellent point de départ pour qui veut monter en compétence sur le sujet. Cerise sur le gâteau, cette série de cours est en Français, ce qui facilite l’accès pour les personnes peu à l’aise avec du contenu en anglais. Très bon travail de synthèse de la part de Stanislas Quastana [ @squastana ] & Pascal Saulière [ @psauliere ].

La formation est accessible sur le site de Microsoft Virtual Academy.

WA AD: de nouvelles fonctions autour de la gestion des groupes

waad  Microsoft vient d’annoncer de nouvelles fonctions autour de la gestion des groupes dans WA AD (Windows Azure Active Directory).

Globalement, les nouvelles fonctions pour WA AD sortent à un rythme très soutenu. Ce qui n’est pas encore très clair pour moi, c’est de savoir si ces fonctions feront parties de la version « standard » ou « premium » de WA AD, puisque pour l’instant ces fonctions ne sont qu’en mode « preview ».

Plus d’information ici sur le blog de l’équipe Active Directory:

http://blogs.technet.com/b/ad/archive/2013/12/05/group-management-for-admins.aspx

 

Windows Azure Active Directory: les nouvelles fonctions

waadMicrosoft vient juste de mettre en ligne tout un ensemble de nouvelles fonctionnalités pour WA AD (Windows Azure Active Directory). Tout d’abord, petit rappel, WA AD n’est PAS Active Directory dans Azure… Si une organisation veut un DC Active Directory dans Azure ou même faire une forêt complète dans Azure, la démarche est d’utiliser le service Infrastructure As A Service d’Azure et de faire une installation « classique » de Windows, suivi du rôle AD DS.

WA AD est en fait une nouvelle brique dans a stratégie de Microsoft, et c’est franchement très intéressant Il faut voir WA AD, principalement comme une offre de Fédération As A Service. En effet, l’instance WA AD d’une société va permettre en faite de connecté cette instance soit à des applications en ligne : Office365 bien sur, mais aussi SalesForce par exemple et/ou d’utiliser d’autres sources d’authentification comme étant le recueil d’utilisateur: l’instance WA AD d’un partenaire, un compte Google ou même un compte Facebook.

Comme l’instance WA AD de l’organisation est vraisemblablement « connectée »  à l’Active Directory on premise (dirsync + ADFS ou dirsync + Centrify for saas), et bien la boucle est bouclée.

WA AD débarque en deux mode, le standard et le premium – ce qui est bien avec le mode standard, c’est qu’il est gratuit, et franchement les fonctions de base sont assez impressionnantes.

Voici un détail des deux mode, en sachant que la version Premium est actuellement en beta, et donc gratuite elle-aussi jusqu’à la release finale:

WAAD_program

 

Microsoft Techdays 2013: Une session sur la gestion des SmartPhones & Tablettes depuis Active Directory

  C’est parti ! Microsoft lance la nouvelle édition des Techdays qui aura lieu au Palais des Congrès de Paris les 12, 13 et 14 Février 2013.

Il est clair qu’il y a un nombre impressionnant de nouveautés à traiter durant cette édition avec des sessions techniques et stratégiques sur les derniers produits lancés par Microsoft avec notamment:  Windows 8, Exchange 2013, Lync Online, Office365, Azure, etc…

De mon coté j’animerais une session autour de la gestion des smartphones et tablettes iOS, Android et Windows 8 depuis Active Directory et sur les moyens de protéger l’information se trouvant sur ces périphériques mobiles via Microsoft AD RMS. Pour rendre les choses vivantes, je vais préparer des vidéos de présentation expliquant tout cela, ces vidéos seront aussi présentes sur ce blog après les Techdays 2013.

Vous pouvez vous rendre sur le site des Techdays afin de vous enregistrez pour cette session et faire du buzz autour de celle-ci en utilisant les boutons Facebook, Linkedin et Tweeter. En espérant vous voir sur place !

 

Microsoft permettra le SSO sur son offre cloud “Azure”

windows_azure_logo Microsoft implémente le support des identités tierces telles que Google, Facebook, LiveID et OpenID à sa plateforme cloud Azure via une mise à jour du composant Windows Azure AppFabric.

Windows Azure AppFabric est le nom d’un service .NET qui ne permet pour l’instant qu’un service de control d’accès simple. La mise à jour du mois d’Aout va grandement améliorer les processus et les fonctionnalités autour de l’authentification et du control d’accès :

  • Intégration avec Windows Identity Foundation (WIF) et les outils connexes à WIF
  • Support des fournisseurs d’indentité suivants : Windows Live ID, OpenID, Google, Yahoo et FaceBook
  • Support d’ADFS 2.0
  • Support des protocoles OAuth WRAP, WS-Trust et WS-Federation
  • Support des formats SAML 1.1, SAML 2.0 et Simple Web Token (SWT)
  • Fonction « Home Realm Discovery » permettant à l’utilisateur final de choisir son fournisseur d’identité
  • Un service « OData-based Management » permettant un accès via du code à la configuration ACS
  • Un portail web permettant la configuration en ligne d’ACS

Plus d’information (en anglais) sur cette mise à jour [ ici ]