Azure AD – Password policy pour les comptes synchronisés depuis AD

AAD-Logo

Récemment, l’un de mes clients m’a posé la problématique suivante : 

  • Contexte :
    • J’ai des utilisateurs qui :
      • Sont synchronisés depuis ADDS vers AAD.
      • La méthode d’authentification est PHS.
      • Password writeback est activé.
      • Ces utilisateurs utilisent uniquement des applications Cloud et ne se connectent jamais en utilisant une authentification ADDS.
      • Password policy d’Azure AD n’est pas activée.
  • Problématique :
    • Ces utilisateurs ne changent jamais leur mot de passe car ils n’y sont jamais invités et ceux même si le mot de passe est expiré coté ADDS.
Read More

Azure – Azure Virtual Desktop – AzureAD Join authentication error

Windows-Virtual-Desktop-logo-WVD

Cela fait quelque temps que je souhaitais tester Azure Virtual Desktop avec l’option “Azure AD Join”. Certes, les projets AVD sans Active Directory ne sont pas encore majoritaires, mais l’idée d’un monde sans AD commence à prendre de l’ampleur et avant de déployer une solution, une petite phase de tests s’impose toujours.

Durant mes tests, j’ai eu pas mal de difficulté lors de l’authentification avec un compte AzureAD. D’où la rédaction de cet article en avance de phase sur le sujet.

Lors de l’authentification RDP sur la machine AVD, j’ai rencontré ce message d’erreur:

“Your credentials did not work. The credentials that were used to connect to XXXXXX did not work. Please enter new credentials.”

AVD-AADJoin-error-0005
Read More

Azure AD Connect – Installation (v1.6)

AAD-Logo

Bien que la version 2 d’Azure AD Connect soit disponible depuis quelques mois, je traite dans ce post de l’installation de la version 1.6. La version 2 n’apporte pas de changement majeur quant à l’installation de ce produit si ce n’est TLS1.2.

Je souhaitais partir d’une version 1.x afin de traiter de la migration de 1.x vers 2.x.

Il s’agit donc d’un point de départ pour d’autres scénarios.

Read More

Hybridation – DRP migration ADFS à PHS

Logo_Microsoft

Si comme beaucoup d’entreprises, vous utilisez toujours votre infrastructure ADFS, il est tout de même possible /conseillé d’activer l’option “Password Hash Sync” (PHS). Le but est de toujours utiliser ADFS en tant que STS, mais de se laisser la possibilité à des fins de DRP d’autoriser une migration d’urgence du STS d’ADFS vers Azure AD.

Read More

Azure – Windows Virtual Desktop Accès conditionnel

Windows-Virtual-Desktop-logo-WVD

Windows Virtual Desktop est un service web protégé par Azure AD. Azure AD apporte en autre l’authentification avant l’accès à ce service. Il est donc possible de créer des règles d’accès conditionnel pour ce service. Et par la même occasion réclamer une authentification MFA pour un type de population ou depuis les connexion externe au LAN par exemple.

Read More

Azure AD – MFA avec un token physique OATH (Token2)

AAD-Logo

Le renforcement de la sécurité dans le monde de l’entreprise ainsi que dans le monde personnel passe de plus en plus par le déploiement de solution de MFA. Bien que les solutions dites “Passwordless” soient privilégiées (MS Authenticator, FIDO2 …), AzureAD prend en charge d’autres solutions de MFA donc les tokens physiques (TOTP OATH). Ce type d’authentification repose sur le couple mot de passe plus un second facteur qui ici est un code à 6 digits généré par un token.

Read More

MSGraph API – Monitor Certificats et Secrets d’AzureAD avec Powershell

Avec l’augmentation des migrations des solutions de SSO telle qu’ADFS vers les Applications AzureAD, je suis de plus en plus confronté à la nécessité de monitorer l’expiration des certificats ou des secrets dans AzureAD.

Excepté l’envoie d’un mail quelque temps avant l’expiration de ceux-ci, je n’ai pas encore trouvé de solution de monitoring au sein de la suite M365.

Il est toujours possible d’obtenir ce type d’information par le biais en utilisant Powershell et le module AzureAD. Mais ces méthodes nécessites une authentification utilisateur.

Read More