Rapport du National Cybersecurity and Communications Integration Center’s (NCCIC) portant sur Office 365

Le rapport du National Cybersecurity and Communications Integration Center’s (NCCIC) portant sur Office 365

https://www.us-cert.gov/ncas/analysis-reports/AR19-133A

Version Francaise

Au fur et à mesure que le nombre d’entreprises migrant leurs services de messagerie vers Microsoft Office 365 (O365) et d’autres services dans les nuages augmente, le recours à des sociétés tierces qui transfèrent les entreprises vers le cloud augmente également. Les organisations et leurs partenaires tiers doivent être conscients des risques liés à la transition vers O365 et d’autres services cloud.

Ce rapport d’analyse fournit des informations sur ces risques ainsi que sur les vulnérabilités de configuration des services dans les nuages ; ce rapport comprend également des recommandations pour atténuer ces risques et vulnérabilités.

Description :

Depuis octobre 2018, la Cybersecurity and Infrastructure Security Agency (CISA) a mené plusieurs missions avec des clients qui ont utilisé des partenaires tiers pour migrer leurs services de messagerie vers O365.

Les organisations qui ont utilisé une tierce partie ont eu une combinaison de configurations qui ont réduit leur posture de sécurité globale (par exemple, audit des boîtes aux lettres désactivé, journal d’audit unifié désactivé, authentification multifactorielle désactivée sur les comptes administrateurs). De plus, la majorité de ces organisations ne disposaient pas d’une équipe de sécurité informatique spécialisée pour se concentrer sur leur sécurité dans le cloud. Ces failles de sécurité ont entraîné des compromis et des vulnérabilités au niveau des utilisateurs et des boîtes aux lettres.

Détails techniques

La liste suivante contient des exemples de vulnérabilités de configuration :

L’authentification multi-facteurs pour les comptes administrateurs n’est pas activée par défaut : Azure Active Directory (AD) Global Administrators dans un environnement O365 possède le plus haut niveau de privilèges d’administrateur au niveau du locataire. C’est l’équivalent de l’administrateur de domaine dans un environnement AD sur site. Les comptes Azure AD Global Administrator sont les premiers comptes créés pour que les administrateurs puissent commencer à configurer leur locataire et éventuellement migrer leurs utilisateurs. L’authentification multifactorielle (AMF) n’est pas activée par défaut pour ces comptes Une politique d’accès conditionnel par défaut est disponible pour les clients, mais l’administrateur global doit explicitement activer cette politique afin d’activer l’AMF pour ces comptes. Ces comptes sont exposés à l’accès à Internet parce qu’ils sont basés dans le nuage. S’ils ne sont pas immédiatement sécurisés, ces comptes en nuage pourraient permettre à un attaquant de maintenir la persistance lorsqu’un client migre des utilisateurs vers O365.

Audit de boîte aux lettres désactivé : L’audit des boîtes aux lettres O365 enregistre les actions effectuées par les propriétaires de boîtes aux lettres, les délégués et les administrateurs. Microsoft n’a pas activé l’audit par défaut dans O365 avant janvier 2019. Les clients qui ont acheté leur environnement O365 avant 2019 devaient explicitement activer l’audit des boîtes aux lettres. De plus, l’environnement O365 n’active pas actuellement le journal d’audit unifié par défaut. Le journal d’audit unifié contient les événements Exchange Online, SharePoint Online, OneDrive, Azure AD, Microsoft Teams, PowerBI et autres services O365 Un administrateur doit activer le journal d’audit unifié dans le Security and Compliance Center avant de pouvoir exécuter des requêtes.

Sync. mot de passe activée : Azure AD Connect intègre les environnements sur site avec Azure AD lorsque les clients migrent vers O365. Cette technologie permet de créer des identités Azure AD à partir d’identités AD sur site ou de faire correspondre des identités Azure AD précédemment créées avec des identités AD sur site. Les identités sur site deviennent les identités faisant autorité dans le nuage. Afin de faire correspondre les identités, l’identité AD doit correspondre à certains attributs. En cas de correspondance, l’identité Azure AD est signalée comme étant gérée sur site. Il est donc possible de créer une identité AD qui correspond à un administrateur dans Azure AD et de créer un compte sur site avec le même nom d’utilisateur. Une des options d’authentification pour Azure AD est « Password Sync. » Si cette option est activée, le mot de passe des locaux écrase le mot de passe dans Azure AD. Dans cette situation particulière, si l’identité AD sur site est compromise, un attaquant pourrait se déplacer latéralement vers le nuage lorsque la synchronisation se produit. Remarque : Microsoft a désactivé la possibilité de faire correspondre certains comptes administrateurs à partir d’octobre 2018. Toutefois, les entreprises peuvent avoir effectué l’appariement des comptes administrateurs avant que Microsoft ne désactive cette fonction, synchronisant ainsi des identités qui ont pu être compromises avant la migration. De plus, les comptes d’utilisateurs réguliers ne sont pas protégés par la désactivation de cette fonctionnalité.

Authentification non prise en charge par les protocoles existants : Azure AD est la méthode d’authentification que O365 utilise pour s’authentifier avec Exchange Online, qui fournit des services de messagerie électronique. Il existe un certain nombre de protocoles associés à l’authentification Exchange Online qui ne prennent pas en charge les méthodes d’authentification modernes dotées de fonctions MFA. Ces protocoles comprennent le protocole POP3 (Post Office Protocol), IMAP (Internet Message Access Protocol) et SMTP (Simple Mail Transport Protocol). Les anciens protocoles sont utilisés avec les anciens clients de messagerie qui ne prennent pas en charge l’authentification moderne. Les protocoles hérités peuvent être désactivés au niveau du Tenant ou de l’utilisateur. Toutefois, si une organisation a besoin de clients de messagerie plus anciens comme une nécessité commerciale, ces protocoles ne seront pas désactivés. Cela laisse les comptes de messagerie exposés à Internet avec seulement le nom d’utilisateur et le mot de passe comme méthode d’authentification principale. Une façon d’atténuer ce problème consiste à faire l’inventaire des utilisateurs qui ont encore besoin d’utiliser un client de courriel et des protocoles de courriel patrimoniaux. L’utilisation des politiques d’accès conditionnel d’Azure AD peut aider à réduire le nombre d’utilisateurs qui ont la capacité d’utiliser les méthodes d’authentification des protocoles existants. Cette mesure réduira considérablement la surface d’attaque pour les organisations.

Solution

La CISA encourage les organisations à mettre en œuvre une stratégie organisationnelle de cloud computing pour protéger leurs actifs d’infrastructure en se défendant contre les attaques liées à leur transition O365 et en sécurisant leur service O365[6] Plus précisément, la CISA recommande que les administrateurs mettent en œuvre les mesures d’atténuation et les meilleures pratiques suivantes :

• Utiliser l’authentification multifactorielle. C’est la meilleure technique d’atténuation à utiliser pour protéger les utilisateurs d’O365 contre le vol de justificatifs.
• Activer la journalisation unifiée des audits dans le Security and Compliance Center.
• Activez l’audit des boîtes aux lettres pour chaque utilisateur.
• Assurez-vous que la synchronisation des mots de passe Azure AD est planifiée et configurée correctement, avant de migrer les utilisateurs.
• Désactivez les protocoles de messagerie existants, s’ils ne sont pas requis, ou limitez leur utilisation à des utilisateurs spécifiques.

Publicités

Teams : Changement AllowUserChat

À la demande des clients, Microsoft apporte des changements à la façon dont le chat des réunions est contrôlé. Avant ce changement, Le contrôle était effectué par le paramètre AllowUserChat de la commande CsTeamsMessagingPolicy. Après ce changement, il sera contrôlé par un nouveau paramètre, MeetingChatEnabledType, de la Stratégie CsTeamsMeetingPolicy.

Le changement sera mis en œuvre de manière sélective en fonction du mode de mise à niveau des utilisateurs :

– Les utilisateurs disposant d’un mode de mise à jour e de SfBOnly, SfBWithTeamsCollab ou SfBWithTeamsCollabAndMeetings n’ont pas accès à l’onglet Chat et n’effectuent donc pas de chat privé ou de groupe dans Teams. Cependant, pratiquement tous ces clients veulent et devraient être autorisés à chatter en réunion, et beaucoup d’entre eux ont demandé cette capacité. Avant ce changement, ils n’étaient pas en mesure de le faire. Pour ces utilisateurs, ce changement entrera en vigueur le 9 avril ou après cette date.

– D’autre part, les utilisateurs avec le mode de mise à jour Islands ou TeamsOnly ont accès à l’onglet Chat à moins que le chat n’ait été explicitement désactivé via la stratégie CsTeamsMessaging.
Lorsque cela se produit, ils n’ont pas non plus accès à des réunions de chat. Par exemple, les tenant d’EDU interdisent fréquemment l’utilisation de toutes sortes de chat (chat privé, chat de groupe et chat de réunion) pour les étudiants. Pour ces utilisateurs, ce changement entrera en vigueur le 15 mai ou après cette date. Avant le changement, les administrateurs des tenants doivent examiner les utilisateurs pour lesquels ils souhaitent que le chat des réunions reste désactivé et s’assurer que ces utilisateurs bénéficient du nouveau paramètre.

Le déploiement sera achevé dans le monde entier pour tous les Tenants d’ici le 31/05/2019.

Fonctions de messagerie vocale Teams

On l’attendait elles arrivent 

Microsoft offre désormais des fonctions de messagerie vocale à tous les utilisateurs compatibles VoIP pour Microsoft TEAMS. Les utilisateurs compatibles VoIP pourront désormais recevoir et entendre des messages vocaux sur le bureau TEAMS et dans les clients Web. Cette fonction est activée par défaut et nécessite l’intervention de l’administrateur pour être désactivée.

Si la transcription est activée pour votre Tenant via la politique de messagerie vocale, vos utilisateurs peuvent également voir les transcriptions des messages vocaux dans leurs clients de bureau, clients Web et clients Outlook.

La messagerie vocale peut être activée/désactivée via le paramètre AllowVoicemail dans TeamsCallingPolicy. Veuillez vérifier que vos utilisateurs disposent des paramètres appropriés pour vous assurer qu’ils sont configurés en fonction de l’expérience de messagerie vocale souhaitée par votre entreprise. Si vous désactivez la messagerie vocale pour vos utilisateurs d’ici la fin avril, vos paramètres seront respectés lorsque la fonction sera disponible.

Les fonctions de messagerie vocale ne seront pas disponibles pour les utilisateurs qui ont déjà été configurés avec la messagerie vocale désactivée. La transcription ne sera pas non plus disponible pour les utilisateurs et les Tenant dont la transcription est désactivée. Vous pouvez activer la transcription et la messagerie vocale, cette fonction sera alors disponible pour vos utilisateurs.

 

Les 8 Nouveautés Annoncées sur Teams

1 -Les arrière-plans personnalisés permettent aux participants de sélectionner un arrière-plan personnalisé, tel qu’un logo d’entreprise ou un environnement de bureau lorsqu’ils travaillent à domicile, pour apparaître derrière eux pendant une réunion ou un appel vidéo. Cela améliore l’efficacité des réunions à distance en encourageant l’utilisation de la vidéo tout en minimisant les distractions. À venir plus tard cette année.

 

2 – Les caméras de contenu et Intelligent Capture in Microsoft Teams Rooms prendront bientôt en charge une caméra supplémentaire pour la capture de contenu, comme les informations sur les tableaux blancs analogiques. En utilisant n’importe quelle caméra USB, Microsoft Teams Rooms utilise le nouveau traitement Intelligent Capture de Microsoft pour capturer, mettre au point, redimensionner et améliorer les images et le texte des tableaux blancs, afin que les participants distants puissent clairement voir le brainstorming des tableaux blancs en temps réel, même lorsque quelqu’un se trouve devant le tableau blanc. À venir plus tard cette année.

1. Microsoft Whiteboard in Teams meetings fournit un canevas numérique infini permettant aux participants aux réunions de travailler ensemble directement en équipe. Avec la prise en charge prochaine du tableau blanc dans les salles Microsoft Teams Rooms, les participants en personne pourront également apporter leur contribution. Vous pouvez même ajouter du contenu à partir d’un tableau blanc physique sur la toile du tableau blanc sans avoir à le recréer à partir de zéro. Que vous choisissiez de participer depuis la salle de réunion ou à distance, Whiteboard in Teams permet à chacun de participer activement à la conversation. Maintenant en prévisualisation publique.
   

    

2. 4- Les sous-titres et légendes en direct rendent vos réunions d’équipe plus inclusives pour les participants sourds ou malentendants, ayant différents niveaux de compétence linguistique, ou se connectant d’un endroit bruyant. Améliorez l’efficacité des réunions en permettant aux participants de lire les légendes des conférenciers en temps réel, afin qu’ils puissent plus facilement rester synchronisés et contribuer à la discussion. Bientôt en avant-première en anglais.
   

1. Les canaux privés sécurisés vous permettent de personnaliser les membres de l’équipe qui peuvent voir les conversations et les fichiers associés à un canal. Vous pouvez limiter la participation et l’exposition des canaux en cas de besoin sans avoir à créer des équipes séparées pour limiter la visibilité. C’est l’une de nos fonctionnalités les plus demandées.
   

    

2. Les barrières d’information évitent les conflits d’intérêts au sein de votre organisation en limitant les possibilités de communication et de collaboration entre les membres des équipes Microsoft. Cela permet de limiter la divulgation de l’information en contrôlant la communication entre les détenteurs de l’information et les collègues représentant différents intérêts, par exemple, dans les scénarios Firstline Worker. Ceci est particulièrement utile pour les organisations qui doivent se conformer aux exigences éthiques et à d’autres normes et règlements connexes de l’industrie. Bientôt disponible.
   

    

3. La prévention des pertes de données (DLP) dans les chats et les conversations permet aux clients de détecter, protéger automatiquement et filtrer les informations sensibles dans les chats et les conversations de canal. En créant des politiques DLP, les administrateurs peuvent aider à empêcher le partage ou la fuite involontaire d’informations sensibles, à l’intérieur ou à l’extérieur de l’entreprise. Maintenant généralement disponible dans tous les plans Office 365 et Microsoft 365 qui incluent Office 365 Advanced Compliance.
   

    

4. Les événements en direct dans Microsoft 365 permettent à quiconque de créer des événements en direct et à la demande qui fournissent des communications convaincantes aux employés, aux clients et aux partenaires. Les événements en direct utilisent la vidéo et les discussions interactives à travers les équipes, le streaming ou Yammer et peuvent être aussi simples ou aussi sophistiqués que nécessaire. Jusqu’à 10 000 participants peuvent participer en temps réel, où qu’ils se trouvent et où qu’ils se trouvent, sur leurs appareils, ou se rattraper ultérieurement grâce à de puissantes fonctions d’intelligence artificielle (IA), telles que la transcription automatique, pour déverrouiller le contenu de l’enregistrement des événements. Disponible Maintenant.
   

    

Les autres Nouvelles autour de teams sont les suivantes

De nouveaux Meeting Devices sont créés par les partenaires afin d’élargir le choix des clients. Microsoft accueille le MVC500 et le MVC800 de Yealink dans le groupe grandissant des appareils pour salles de réunion. Le Logitech Tap annoncé offre un design élégant et discret et peut être fixé au bureau ou au mur. Le nouveau Poly Studio permet des expériences vidéo et audio plug and play qui compléteront la salle de réunion. Et réunissez vos équipes avec le dispositif de visioconférence Yealink VC200 qui est conçu pour prendre en charge les espaces de rassemblement.

Les téléphones verront aussi de nouveaux appareils, dont le Poly CCX 500 et le Yealink T55A qui permettent des expériences d’appel pour les espaces personnels et les aires communes. De plus, les nouveaux vidéophones Crestron Flex P250 et Yealink VP59 permettent aux utilisateurs de profiter d’une expérience vidéo et audio riche sur un seul téléphone de bureau. 

Les périphériques connaissent de nouvelles innovations, à commencer par les téléphones à haut-parleur de Jabra Speak 710-Teams, Sennheiser SP30-Teams et Yealink CP900 qui ont tous des boutons Teams dédiés. Cette intégration vous permet d’effectuer des actions rapides à partir de votre appareil lorsque vous êtes connecté à votre PC ou votre téléphone portable. 

 

Désactiver l’authentification de base dans Exchange Online

Source : Microsoft Technet

L’authentification de base dans Exchange Online utilise un nom d’utilisateur et un mot de passe pour les demandes d’accès des clients. Le blocage de l’authentification de base peut aider à protéger votre organisation Exchange Online contre les attaques par force brute ou par mot de passe. Lorsque vous désactivez l’authentification de base pour les utilisateurs dans Exchange Online, leurs clients de messagerie et applications doivent prendre en charge l’authentification moderne. Ces clients le sont :

• Outlook 2013 ou ultérieur (Outlook 2013 nécessite un changement de clé de registre)
  
• Outlook 2016 pour Mac ou ultérieur
  
• Perspectives pour iOS et Android
  
• Mail pour iOS 11.3.1 ou ultérieur
  

Si votre entreprise n’a pas d’anciens clients de messagerie, vous pouvez utiliser des stratégies d’authentification dans Exchange Online pour désactiver les demandes d’authentification de base, ce qui oblige toutes les demandes d’accès client à utiliser une authentification moderne. Cette rubrique explique comment l’authentification de base est utilisée et bloquée dans Exchange Online, et les procédures correspondantes pour les politiques d’authentification.

Comment fonctionne l’authentification de base dans Exchange Online

L’authentification de base est également connue sous le nom d’authentification par proxy parce que le client de messagerie transmet le nom d’utilisateur et le mot de passe à Exchange Online, et Exchange Online transmet ou transmet par procuration les informations d’identification à un fournisseur d’identité faisant autorité (IdP) au nom du client ou de l’application. L’IdP dépend du modèle d’authentification de votre organisation :

• Authentification cloud : L’IdP est Azure Active Directory.
  
• Authentification fédérée : L’IdP est une solution sur site comme Active Directory Federation Services (AD FS).
  

Authentification Cloud

Les étapes de l’authentification dans les nuages sont décrites dans le diagramme suivant :

• Le client de messagerie envoie le nom d’utilisateur et le mot de passe à Exchange Online. Remarque : Lorsque l’authentification de base est bloquée, elle est bloquée à cette étape.
  
• Exchange Online envoie le nom d’utilisateur et le mot de passe à Azure Active Directory.
  
• Azure Active Directory renvoie un ticket utilisateur à Exchange Online et l’utilisateur est authentifié.
  

Authentification fédérée

Les étapes de l’authentification fédérée sont décrites dans le schéma suivant :

1. Le client de messagerie envoie le nom d’utilisateur et le mot de passe à Exchange Online.Remarque : Lorsque l’authentification de base est bloquée, elle est bloquée à cette étape.
   
2. Exchange Online envoie le nom d’utilisateur et le mot de passe à l’IdP sur place.
   
3. Exchange Online reçoit un jeton SAML (Security Assertion Markup Language) de la part de l’IdP sur site.
   
4. Exchange Online envoie le jeton SAML à Azure Active Directory.
   
5. Azure Active Directory renvoie un ticket utilisateur à Exchange Online et l’utilisateur est authentifié.
   

 

Comment l’authentification de base est bloquée dans Exchange Online

Vous pouvez bloquer l’authentification de base dans Exchange Online en créant et en attribuant des stratégies d’authentification à des utilisateurs individuels. Les stratégies définissent les protocoles client dans lesquels l’authentification de base est bloquée, et l’affectation de la stratégie à un ou plusieurs utilisateurs bloque leurs demandes d’authentification de base pour les protocoles spécifiés.

Lorsqu’elle est bloquée, l’authentification de base dans Exchange Online est bloquée à la première étape de pré-authentification (étape 1 dans les diagrammes précédents) avant que la demande n’atteigne Azure Active Directory ou l’IdP sur site. L’avantage de cette approche est que les attaques par force brute ou par pulvérisation de mots de passe n’atteindront pas l’IdP (ce qui pourrait déclencher des verrouillages de compte en raison de tentatives de connexion incorrectes).

Comme les politiques d’authentification fonctionnent au niveau de l’utilisateur, Exchange Online ne peut bloquer que les demandes d’authentification de base pour les utilisateurs qui existent dans l’organisation cloud. Pour l’authentification fédérée, si un utilisateur n’existe pas dans Exchange Online, le nom d’utilisateur et le mot de passe sont transmis à l’IdP sur site. Par exemple, considérons le scénario suivant :

Exemple : Une organisation possède le domaine fédéré contoso.com et utilise AD FS sur site pour l’authentification.

L’utilisateur ian@contoso.com existe dans l’organisation sur site, mais pas dans Office 365 (il n’y a pas de compte utilisateur dans Azure Active Directory et pas d’objet destinataire dans la liste d’adresses globale Exchange Online).

Un client de messagerie envoie une demande de connexion à Exchange Online avec le nom d’utilisateur ian@contoso.com. Une politique d’authentification ne peut pas être appliquée à l’utilisateur, et la demande d’authentification pour ian@contoso.com est envoyée à l’AD FS sur site.

L’AD FS sur site peut accepter ou rejeter la demande d’authentification pour ian@contoso.com. Si la demande est acceptée, un jeton SAML est renvoyé à Exchange Online. Tant que la valeur ImmutableId du jeton SAML correspond à un utilisateur d’Azure Active Directory, Azure AD émettra un ticket utilisateur pour Exchange Online (la valeur ImmutableId est définie pendant la configuration d’Azure Active Directory Connect).

Dans ce scénario, si contoso.com utilise un serveur AD FS sur site pour l’authentification, le serveur AD FS sur site recevra toujours des demandes d’authentification pour des noms d’utilisateur inexistants de la part d’Exchange Online pendant une attaque par mot de passe.

En règle générale, lorsque vous pouvez bloquez l’authentification de base pour un utilisateur, nous vous recommandons de bloquer l’authentification de base pour tous les protocoles ci dessous. Toutefois, vous pouvez utiliser les paramètres AllowBasicAuth* (commutateurs) sur les cmdlets New-AuthPolicy et Set-AuthPolicyPolicy pour autoriser ou bloquer sélectivement l’authentification de base pour certains protocoles.

Protocol or service	Description	Parameter name
Exchange Active Sync (EAS)	Used by some email clients on mobile devices.	AllowBasicAuthActiveSync
Autodiscover	Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online	AllowBasicAuthAutodiscover
IMAP4	Used by IMAP email clients.	AllowBasicAuthImap
MAPI over HTTP (MAPI/HTTP)	Used by Outlook 2013 and later.	AllowBasicAuthMapi
Offline Address Book (OAB)	A copy of address list collections that are downloaded and used by Outlook.	AllowBasicAuthOfflineAddressBook
Outlook Service	Used by the Mail and Calendar app for Windows 10.	AllowBasicAuthOutlookService
POP3	Used by POP email clients.	AllowBasicAuthPop
Reporting Web Services	Used to retrieve report data in Exchange Online.	AllowBasicAuthReportingWebServices
Outlook Anywhere (RPC over HTTP)	Used by Outlook 2016 and earlier.	AllowBasicAuthRpc
Authenticated SMTP	Used by POP and IMAP client’s to send email messages.	AllowBasicAuthSmtp
Exchange Web Services (EWS)	A programming interface that’s used by Outlook, Outlook for Mac, and third-party apps.	AllowBasicAuthWebServices
PowerShell	Used to connect to Exchange Online with remote PowerShell. If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.	AllowBasicAuthPowerShell

 

Dans le cas ou vous voulez bloquer les accès basiques pour les mobiles notamment prenez en compte que les applications mail fourni par le téléphone ne fonctionneront plus. Sauf pour IOS. Du coup vous devrez installer obligatoirement le client Mobile Microsoft Officiel.

 

0365 integration Part 1

 

0365 integration Part 1

 

 

The integration of Exchange messaging environments, regardless of their version, into Office 365 is a common feature for companies with external growth that must quickly integrate diverse and varied environments, often within very tight deadlines. We will see that there are several levels of integration depending on the strategy chosen in the short or medium term and that the levels of technical complexity may vary, depending on the transition environment and the tools chosen.

The objective of this article is therefore to specify the different stages of integration, the inherent risks and the possible tools for this type of operation.

Integration and cohabitation

The acquisition of a new entity will potentially generate significant changes in its information system, to the benefit of the parent company. The subsidiary’s business applications will be abandoned in favour of « Corporate » applications. The first subject addressed by this business constraint will concern identity. As the first brick allowing users to authenticate to the information system and business applications, all identities are often quickly created, introducing the notion of a double account for the subsidiary’s users.

Users of the acquired subsidiary then traditionally connect to their environments and new ones are authenticated by the parent company. This double authentication can be partially transparent for Microsoft access if it is possible to establish trusting relationships between the respective Active Directory forests. Most of the time, the implementation of these authentication relationships allows new accounts to keep access to old Microsoft resources, but not all business applications can manage their trusted relationships. They will then ask users for an additional connection to the parent company’s account.

One of the important questions to ask is the question of the final target.

Should you eventually keep the subsidiary’s account environment or, on the contrary, should you make it disappear in favour of the parent company’s?

* In the first case (Conservation), we are not really talking about integration but cohabitation. The two Active Directory environments will coexist in the long term, trust each other and users from both worlds will remain in their respective domains.

* In the second (Integration), the subsidiary’s information system must be « soluble » in that of the parent company. The workstations will be integrated in, the forest(s) of the parent company and the messaging data will have to be migrated to the 0365 tenant of the latter.

Step 1; Give the impression

In the case of an acquisition, one of the problems is to quickly allow the subsidiary’s employees to send with the same SMTP domain (ex :@coporate.com) as that of the parent company. This is like sharing an SMTP namespace over several entities (The parent company and the subsidiary(s)) which you will see is not necessarily obvious, especially if the subsidiary is using Exchange Online.

If the subsidiary you need to integrate comes with its Tenant 0365, you will not be able to extend the name of your SMTP domain to the latter. This is due to a functional limitation that limits the use of a domain name to a single Tenant 0365.

For sending, you will therefore need to use an address rewriting service from your subsidiary. Service, which will convert all messages sent as @filiale.com to @corporate.com. For security reasons, we recommend that you route this outgoing flow to the messaging equipment of the parent company with declared responsibility on the Internet (SPF, MX) for sending and receiving messages. This will prevent your messages from being considered spam.

The following diagram describes how shipping services are organized in a scenario where the Corporate domain is shared by the parent company and two other subsidiaries (Subsidiary-1 & Subsidiary-2). In this scenario, the parent company and subsidiary 1 both have a 0365 Tenant

 

The address rewriting service is available on an Edge Exchange server. This service does not yet exist on the Microsoft Exchange Online environment.

For reception, the parent company’s equipment must remain in place and must forward messages for the subsidiary’s users to their representatives. This redirection can be done in two ways.

The first is to do routing through the directory, the second is a simple SMTP configuration through directory rewriting services.

* Routing through the directory: In this case, entries in the parent company’s directory are created (« Mailuser » or Mail Contact). These email directory entries have the corporate SMTP address (e. g. john.doe@corporate.com) but also a redirection address (Target Address) Example john.doe@filiale-1.com. This forwarding address will be used by Exchange online or Onpremise to forward the message to the subsidiary’s mailbox. This system can be used with several subsidiaries at the same time if they do not have the same SMTP domain name. See Diagram below. The interest in using mail user objects (AD Users with mail extension), allows users of the subsidiary to have a user account in the Corporate environment and therefore to be able to connect to the various business applications that use the Active Directory.

* Configuration Routing: Configuration routing consists of using the Edge server to rewrite addresses in the opposite direction of sending. From @corporate.com to @subsidiaries.com.

The diagram specifies an incoming routing topology based on the directory and the use of « Target Address » and these famous « Mailuser ».

 

Both solutions work perfectly and are documented by Microsoft. However, I have a slight preference for Routing through the directory because on the one hand it fits more skillfully into the integration scenario than the first one (we will see why later) and then it allows on the other hand, the creation of distribution lists managed by the parent company within its online Exchange (the final target should not forget it) addressing mailboxes from both environments.

In any case, this « renaming on the fly » will therefore make it possible to give the external illusion of integration but should only be considered as a temporary second-best solution. A step before the integration or rather the dissolution of the subsidiary entity into the parent company’s environment.

This is step 2, which will involve linking the legacy resources and access to the subsidiary’s accounts already present in the parent company’s environment (the famous « mail users » mentioned above). As the starting scenario is to delete the subsidiary’s Active Directory environment, you should not synchronize it in the AD Corporate Azure. If you do this to migrate the associated resources to Office 365, they will remain linked to the local forest. The latter will therefore have to remain in production, which is not the objective.

The next step, therefore, is to ensure that for each account in the subsidiary there is an account in the Corporate environment, its clone in a way that we will name for practical reasons: Surrogate

Step 2, which is therefore to prepare for integration, has two possible paths. The first consists in relying on the functions of Azure AD connect to perform this identity merge, the second consists in relying on third-party tools.

But we will see this in the next part 2.

Laurent TERUIN

lteruin@hotmail.com

 

 

 

 

 

 

 

 

 

 

Exchange online /Pme : L’opération effectuée sur la boîte aux lettres a échoué car elle est hors de la portée d’écriture de l’utilisateur actuel.

La mise en place d’une synchronisation d’un environnement Active Directory vers Azure AD pour permettre d’activer des boites aux lettres dans Exchange Online est assez simple. C’est le cas de nombreuses PME qui ne veulent plus gérer leurs boites aux lettres et passent sur l’environnement Exchange Online. Seul petit problème c’est que leurs environnements ne disposent pas forcément d’un environnement Exchange sur site qui leur permettrait de gérer plus facilement leurs annuaires de messagerie et notamment leur permettrait de mettre en place des alias de messagerie.

Pour ce faire il faudrait que le schéma de leurs forêt Active directory soit étendu idéalement en Exchange 2016 et qu’ils installent une console d’administration Exchange en local ce qui ne va pas forcement dans le sens de la simplification.

Si l’environnement Active Directory de la PME est simplement synchronisé avec un Tenant Office 365 alors l’activation de la licence Exchange Online va créer la boite aux lettres online avec comme adresse principale SMTP l’UPN local qui est attribué à l’utilisateur.

Si vous voulez par contre donner un alias complémentaire sur cette nouvelle boite aux lettres directement depuis la console Exchange Online, cela vous sera refusé car l’utilisateur est synchronisé depuis votre environnement Local. Le message que vous recevrez est alors le suivant

The operation on mailbox « Laurent TERUIN » failed because it’s out of the current user’s write scope. The action ‘Set-Mailbox’, ‘EmailAddresses’, can’t be performed on the object ‘Laurent TERUIN’ because the object is being synchronized from your on-premises organization. This action should be performed on the object in your on-premises organization.

L’opération effectuée sur la boîte aux lettres « Laurent TERUIN » a échoué car elle est hors de la portée d’écriture de l’utilisateur actuel. L’action ‘Set-Mailbox’, ‘EmailAddresses’, peut ne pas être effectuée sur l’objet Laurent TERUIN, car cet objet est en cours de synchronisation depuis votre site. Cette action doit être effectuée sur l’objet dans votre site.

IL existe donc un moyen disons plus direct pour le faire sans devoir installer une console et étendre votre le schéma de votre environnement.

Utilisez la console Utilisateurs et ordinateur Active Directory

• Activer la visualisation avancée
  
• 
  
• Repérer votre utilisateur et éditez ses propriétés
  
• Positionnez-vous sur éditeur d’attributs et rechercher le champs Proxyaddresses qui normalement devrait être vide.
  

• Et saisissez l’alias de messagerie que vous voulez ajouter avec la syntaxe suivante
  
  • smtp :alias1@votredomainedemessagerie,smtp ;alias2@votredomainedemessagerie
    
  • Le préfixe smtp doit être saisi en minuscule.
    

Au prochain cycle de réplication l’adresse SMTP sera ajoutée à votre utilisateur Online.

Veillez à ce que celle-ci soit toujours unique dans votre environnement. Dans le cas contraire Azure Ad Connect ne la synchronisera pas et indiquera une erreur.

 

 

 

0365 : 2 nouvelles Offres groupées

Deux nouvelles offres groupées de services Microsoft 365 seront disponibles le mois prochain, l’une axée sur la sécurité et l’autre sur la conformité.

Les deux produits, « Identity and Threat Protection » et « Information Protection and Compliance », peuvent être achetés séparément depuis le 1er février 2019, selon une annonce de Microsoft de ce mercredi. Les produits sont destinés aux utilisateurs d’Office 365 E3. Cependant, toutes les capacités de ces deux nouveaux forfaits de services sont actuellement disponibles dans la suite Microsoft 365 E5.

La suite Microsoft 365 E5 est l’offre haut de gamme de Microsoft qui offre les services Office 365 (applications Office Web, Exchange Online, SharePoint Online et Skype pour les entreprises), le système d’exploitation Windows 10 et le forfait Mobilité et sécurité (EMS). EMS comprend le service de gestion des identités et des accès Azure Active Directory Premium ainsi que Microsoft Intune, qui est utilisé pour la gestion des appareils mobiles et des applications.

Il existe actuellement trois plans Microsoft 365 pour les entreprises, les entreprises et l’éducation. Le plan d’entreprise lui-même comprend les offres E3, E5 et F1, qui sont décrites sur cette page.

Le nouveau pack de protection contre les menaces et les identités, qui sera disponible le mois prochain, comprendra la gamme de services de sécurité ATP (Advanced Menace Protection) de Microsoft. Il inclura Microsoft Threat Protection, Microsoft Cloud App Security (pour découvrir l’utilisation des applications SaaS par les utilisateurs finaux) et les services Azure Active Directory.

Le composant Microsoft Threat Protection du nouveau pack Identité et protection contre les menaces est un autre pack de services qui comprend Azure ATP, Windows Defender ATP et Office 365 ATP, ainsi que le service Threat Intelligence pour évaluer les menaces de malware et de phishing. Le prix de la protection contre l’identité et les menaces sera fixé à 12 $ par utilisateur et par mois pour les organisations qui utilisent le plan Office 365 E3.

La nouvelle offre groupée Protection de l’information et conformité, qui paraîtra le mois prochain, regroupera le service de conformité anticipée Office 365 et le service de protection de l’information Azure. Il sera facturé 10 $ par utilisateur et par mois pour les organisations qui utilisent le forfait Office 365 E3.

Bien entendu, les entreprises qui ont besoin de tels services de sécurité et de conformité peuvent également acheter la suite Microsoft 365 E5. La suite E5 est conçue pour les organisations comptant 300 utilisateurs ou plus et son prix est de 35 $ par utilisateur par mois, selon ce billet du blogue du partenaire Agile IT. Les entreprises qui utilisent la suite E3 paient déjà 20 $ par utilisateur par mois, de sorte que les nouvelles offres groupées de sécurité et de conformité pourraient probablement servir de stimulant aux ventes pour les inciter à passer à l’offre E5.

Microsoft n’a pas augmenté ses prix avec ses deux nouvelles offres groupées de sécurité et de conformité. Ils sont simplement proposés pour permettre aux entreprises de « simplifier l’achat, le déploiement et l’adoption », a expliqué l’annonce de Microsoft.

Dans les nouvelles connexes d’Office 365, Microsoft a également annoncé mercredi que les utilisateurs des offres Microsoft 365 Enterprise et Business, ainsi que les utilisateurs d’Office 365, ont désormais accès au service MyAnalytics de Microsoft. Le service MyAnalytics est utilisé pour suivre la productivité des utilisateurs en termes de temps consacré aux tâches. Auparavant, il n’était disponible que dans le cadre du plan Microsoft 365 Enterprise E5 ou en tant qu’add-on pour les abonnés des plans E1 et E3.

MyAnalytics assure actuellement le suivi de l’utilisation de la messagerie Outlook, des réunions et de Skype pour le temps professionnel. Cependant, ce mois-ci, Microsoft ajoute aussi le suivi pour l’utilisation par les équipes Microsoft. De plus, MyAnalytics peut désormais extraire « les signaux des documents sur lesquels vous travaillez et qui sont enregistrés dans OneDrive et SharePoint », indique l’annonce de Microsoft. Ces deux nouvelles capacités devraient être disponibles pour de « nouvelles suites dans les prochains mois », selon Microsoft.

TEAMS: MailUser & Guest Access

The purpose of this post is to present the problems of incompatibility between certain types of objects present in the Office 365 environment and Teams’ external access

In the example below, we have an Active Directory LT01.LOC forest with an Exchange 2010 environment in hybrid mode. The Active Directory forest is synchronized with the Office 365 Tenant.

In the forest in question we have created several types of objects which are as follows

• An email contact created in Exchange 1010 with the following SMTP address :LT01MAILCONTACT01@EXAKIS.COM
  
• A user with an email user extension (Mail user) with the following SMTP address :LT01MAILUSER@EXAKIS.COM
  
• A simple Active Directory user with an email address on his account:LT01USER01@EXAKIS.COM
  

Now let’s see how teams will react when we try to invite these people into a channel

These three objects are obviously synchronized via azure AD connect

Test of the contact email

The contact is well synchronized in the azure AD environment, Teams will consider him as an external person, great !

Mail user test

Although the user does not have mailboxes in our environment, the fact that he is registered as a user with mail user extension in the Exchange 2010 environment means that teams finds this entry and considers him as an internal person

Test of a simple AD user with the mail field filled in

In the case of an simple Active Directory user who is synchronized in the Office 365 environment and in the case where the mail field is filled in with his external address, then teams considers him as an internal person

 Conclusion

If you have user accounts with email extension (especially for your subcontractors) and you need to grant them external access via their email addresses then you will need to either license them on your tenant or not use the Mail user object type.

You will need to

1.    Delete their mail user account
2.    Created a simple Active Directory user without entering his email address if you want to synchronize it (I don’t see the point since the objective is not to assign licenses to him…) or enter his email address in the AD field but not synchronize it.
3.    Create a mail contact with its external address to make it appear in the global address list of Microsoft Exchange Online and to be able to include it in distribution lists

Sincerely
Laurent TERUIN

 

 

Teams : Prise en charge de l’adhésion Dynamique dans les Groupes 0365

Microsoft a annoncé que Microsoft Teams prend désormais en charge les équipes connectées aux groupes Office 365 avec une adhésion dynamique.

L’adhésion dynamique réduit l’administratifs concernant la gestion des membres et permet de s’assurer que les bonnes personnes sont toujours impliquées. L’adhésion dynamique fonctionne en utilisant un ensemble défini de règles qui recherchent certains attributs utilisateur dans Azure Active Directory. Une équipe peut être ajoutée à un groupe Office 365 existant avec une adhésion dynamique, ou l’adhésion d’une équipe existante peut être définie sur dynamique.

Cordialement

Laurent Teruin