Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Archives d’un auteur

Applications Outlook Mobile : Quelques nouveautés

Posted by Teruin laurent sur octobre 29, 2017



Bonjour voici quelques nouveautés qui devraient voir le jour sur nos applications Outlook Mobile

Synchroniser les calendriers partagés avec Outlook

On pourra bientôt visualiser et éditer les calendriers partagés Office 365 ou Outlook.com, tout comme vous on peut le faire avec nos propres calendriers. On pourra également partager nos propres calendriers avec d’autres et accepter de partager des invitations facilement à partir de l’application.

Si vous ne voyez pas vos calendriers partagés en ce moment, pas de panique. MS est en train de mettre à jour les calendriers partagés existants afin qu’ils commencent à se synchroniser avec Outlook. Cependant, si vous ne pouvez pas attendre et que vous voulez tester des maintenant, il vous suffit de réaccepter l’invitation de partage depuis Outlook sur iOS ou Android. Une fois que vous avez terminé, votre calendrier partagé apparaîtra. Si vous ne trouvez pas l’invitation de partage de calendrier originale, demandez au propriétaire du calendrier de la partager à nouveau et d’accepter la nouvelle invitation depuis Outlook.

Gérer les calendriers des délégués en déplacement

Pour ceux d’entre vous qui gérez le calendrier de quelqu’un d’autre au travail, vous pourrez directement le faire depuis la paume de votre main. Gérez vos délégués, acceptez une demande de délégation, et visualisez et modifiez entièrement le calendrier délégué depuis Outlook sur iOS ou Android. Et lorsque vous recevez des invitations et des réponses, l’application vous indiquera plus clairement si elles sont destinées à votre agenda ou à celui de votre gestionnaire, afin que vous ne les confondiez pas.

Ajoutez vos Meetups directement à votre agenda

Suite à notre lancement de Facebook et Evernote dans Outlook sur iOS et Android cette année, Microsoft publie la prise en charge de Meetup, une nouvelle application de calendrier dans Outlook. Meetup réunit des gens dans des milliers de villes qui ont des centres d’intérêt commun. Maintenant, lorsque vous connectez votre compte Meetup à Outlook, vous pouvez voir vos prochaines rencontres directement sur votre calendrier.

 

Autres fonctionnalités qui devraient arriver bientôt sur Android

  • Ajoutez un message lorsque vous répondez à une invitation à une réunion (par exemple, expliquez pourquoi vous refusez une invitation à une réunion).

  • Définissez un événement comme privé, pour garder les détails pour vous lorsque vous partagez votre calendrier.
  • Inscrivez à votre calendrier les événements suivants: Occupé, Gratuit, Hors bureau ou Provisoire.
Publicités

Posted in Non classé | Leave a Comment »

0365 / Exchange Online/ Conservations inaltérables VS stratégie de rétention

Posted by Teruin laurent sur octobre 27, 2017


Office 365 et on-premises Exchange offrent quelques moyens natifs de protection contre la perte de données. Dernièrement, de nombreux changements ont été introduits dans le centre de sécurité et de compliance « Exchange Security & Compliance Center. »

Comme son nom l’indique, la fonction principale d’une Retenue pour litige ou des conservations inaltérables (OnHold Litiguation) est de protéger les données dans le cas d’une action en en justice ou certains courriels pourraient constituer des éléments de preuve. C’est en fait pour cela que toute la découverte électronique existe. Mais vous pouvez l’utiliser, comme beaucoup d’entreprises, comme un moyen de sauvegarder des données sensibles, au cas où.

Bien que le stockage pour les items protégés ON Hold n’est pas limité, il permettra d’enregistrer tous les éléments de la boite aux lettres, y compris les courriels de spam, ce peut rendre les recherches futures difficiles. De plus, si vous supprimez l’option Onhold, toutes les données purgées sont irréversiblement effacées.

Si une politique de rétention et une retenue pour litige (Onhold) peuvent être utilisées pour ajouter une couche de protection contre la perte de données ces deux fonctions sont différentes. le tableau ci-dessous précise par conséquent ces différences.

  

Retenue pour litige/ Conservations inaltérables

Stratégie de rétention

Application aux nouveaux utilisateurs

Doit être appliqué à chaque nouvel utilisateur

Peut être appliqué aux nouveaux utilisateurs automatiquement

S’applique à tous les utilisateurs

No ; les utilisateurs doivent être ajoutés individuellement

Peut être réglé individuellement ou à tous les utilisateurs

Peut récupérer les éléments purgés (supprimés) par les utilisateurs

Oui

Oui

Combien de temps cela prend-il pour que les modifications à appliquer ?

Il devrait commencer à travailler tout de suite.

Selon la documentation Office 365, il s’écouler jusqu’à 24 heures pour que la stratégie de rétention soit prise en compte

Comment rechercher des éléments supprimés

eDiscovery Rechercher ou Rechercher-Mailbox

eDiscovery Rechercher ou Rechercher-Mailbox

Licence

Exchange Online Plan 1 + archivage Exchange Online ; Exchange Online Plan 2 ou supérieur.
(Il semble également fonctionner avec 1 Plan sans EOA).

Exchange Online Plan 1 + archivage Exchange Online ; Exchange Online Plan 2 ou supérieur.
(Il semble également fonctionner avec 1 Plan sans EOA).

Limites

10 stratégies spécifiques toute l’organisation et 1000 par locataire

Autorisations requises minimales

eDiscovery groupe de rôles du gestionnaire en sécurité & conformité Center

Groupe de rôles Administrateur de conformité en sécurité & conformité Center

Empêche la suppression de la boîte aux lettres

Oui

Oui

Réduit la disponibilité de ressources pour les utilisateurs

Définition des limites de temps

Les fonctions Onhold peuvent être activées et désactivée manuellement

Permet des gestions avancées des données en définissant des limites sur la durée de rétention

Son utilisation

Empêche la suppression définitive par les utilisateurs, permet une récupération

Empêche la suppression définitive par les utilisateurs, déplacement vers l’archive ou vers les éléments supprimés

A vous de choisir par consequent vis à vis de vos besoins. Ceci étant dit , il se pourrait que les fonctions ONhold soient remplacées à terme par les Retentions Policies

Cf article MS : https://technet.microsoft.com/fr-fr/library/dd979797(v=exchg.150).aspx

Nous avons différé la date d’échéance du 1er juillet 2017 pour créer des conservations inaltérables dans Exchange Online (dans les plans autonomes Office 365 et Exchange Online). Mais plus tard cette année ou au début de l’année prochaine, vous ne pourrez pas créer des conservations inaltérables dans Exchange Online.

Au lieu d’utiliser des conservations inaltérables, vous pouvez avoir recours à des cas de découverte électronique ou des stratégies de rétention dans le centre de sécurité et conformité Office 365. Lorsque nous aurons désactivé les nouvelles conservations inaltérables, vous pourrez toujours modifier les conservations inaltérables existantes. La création de conservations inaltérables sera toujours prise en charge dans les déploiements hybrides Exchange Server 2013 et Exchange . Vous serez également toujours en mesure de mettre des boîtes aux lettres en conservation pour litige.

Cordialement

Laurent TERUIN

Posted in Non classé | Leave a Comment »

Visio Online Is coming

Posted by Teruin laurent sur octobre 27, 2017


Microsoft a présenté à l’ Ignite 2017 plusieurs nouvelles fonctionnalités qui élargissent la gamme de solutions Microsoft 365, notamment en mettant davantage l’accent sur les technologies cloud-first.

Visio Online est l’une des solutions les plus récentes de Microsoft. Les utilisateurs vont pouvoir enfin communiquer leurs diagrammes entre eux sans forcément les convertir en PDF.

Visio Online va permettre de créer, éditer et partager des diagrammes en ligne, de n’importe où. Ainsi vos beaux diagrammes seront disponibles pour n’importe qui dans votre organisation, même sans licence Visio Online.

Visio Online sera livré avec une multitude de modèles, y compris des diagrammes de démarrage pour les organigrammes de base, des diagrammes de processus, des échéanciers, des matrices d’entreprise, des diagrammes SDL et bien d’autres encore.

Il était temps 

Cordialement

Posted in Non classé | Leave a Comment »

Fin de vie pour Dirsync & Azure AD Sync

Posted by Teruin laurent sur octobre 27, 2017


Microsoft Met fin au fonctionnement de Dirsync et AD Sync remplacé par Azure Ad Connect à compter du 31 Décembre 2017. Azure Active directory cessera de répondre à ces solutions le 31 Décembre de cette année.

« December 31, 2017: Azure AD will no longer accept communications from Windows Azure Active Directory Sync (« DirSync ») and Microsoft Azure Active Directory Sync (« Azure AD Sync ») »

Posted in Non classé | Leave a Comment »

Microsoft Road Map : Skype For business to Teams

Posted by Teruin laurent sur octobre 25, 2017


Bonjour

C’est un secret pour personne le client Skype Online va s’effacer petit à petit pour le client Teams qui va évoluer. Voici en quelques slide la Road Map de Microsoft vis à vis de cette transformation

Cordialement
Laurent TERUIN

Posted in Non classé | Leave a Comment »

Surveiller une infrastructure 0365 Hybride

Posted by Teruin laurent sur octobre 24, 2017


La supervision d’une infrastructure Hybride est un peu complexe car le fonctionnement de l’hybridation mais également de la disponibilité du service implique le fonctionnement de nombreuses couches sous-jacentes et interdépendantes

On notera 8 principales couches qui sont :

  • Les différents réseaux empruntés entre les applications clientes et le point de connexion au service (Wan,Wifi,Lan)
  • Les différents éléments de sécurité comme les pares-feux
  • Les services de localisation de services que représente les services DNS
  • Les services d’authenfication (Identity Providers)
  • Les services de réplication d’annuaire (Azure Ad connect)
  • Les services de proxyfication qui s’interfacent entre les clients et les services online
  • Les serveurs applicatifs sur site qui participent aux redirections de services vers Office 365
  • Les services finaux (Exchange Online, Skype Online etc.)

La surveillance d’une infrastructure Hybride devra donc prendre en compte l’ensemble de ses éléments dans le but de construire ce que l’on peut appeler une « chaine de liaison applicative »

Même si les éléments cités ci-dessus de devraient pas varier, cette chaine de liaison applicative peut effectivement être différente selon les environnements utilisateur, plus particulièrement quand ceux-ci se trouve en dehors de l’entreprise. La chaine de liaison applicative utilisera dès lors des éléments totalement hors de contrôle de l’entreprise.

Malgré cela il peut être intéressant de mettre en place des solutions de supervision intégrant l’accès externe via des agents placés à l’extérieur de la zone de responsabilité de l’entreprise reproduisant de facto le comportement des utilisateurs en situation de mobilité

La construction de ces chaines de liaison applicatives implique donc deux principaux facteurs qui sont

  • La prise en compte des différents cas d’usages
  • La prise en compte des différentes couches utilisées pour assurer la connexion au service

S’arrêter à la vérification de ces chaines de liaison applicatives serait une erreur dans le sens où l’on ne peut pas se contenter de simplement vérifier l’accessibilité au service. En effet la connexion aux services est une chose, le fait de pouvoir utiliser ce dernier correctement en est une autre.

La supervision du service doit également prendre en compte la vérification des temps d’accès aux services et alerter si ces derniers sont en dessous des seuils tolérables.

Il est donc de la responsabilité des équipes internes de vérifier si les latences applicatives sont correctes dans la plupart de cas d’usage. Le déploiement d’agents applicatifs de supervision devrait pouvoir remonter ainsi toute dégradation anormale.

La venue des services cloud va donc nous contraindre à modifier notre façon de mettre en place la supervision en adaptant celle-ci aux particularités de ses nouveaux environnements.

Laurent TERUIN

Posted in Non classé | Leave a Comment »

Introduction au Multi-Geo 0365

Posted by Teruin laurent sur octobre 23, 2017


Qu’est-ce le Multi Geo pour Office 365?

La fonction Multi-Geo permettra à un seul tenant Office 365 de s’étendre sur plusieurs centres de données dans le monde, et donnera aux clients la possibilité de stocker leurs données Exchange et OneDrive, par utilisateur, dans les emplacements de leur choix.

Dans une configuration multi géo, votre tenant Office 365 se composera donc d’un emplacement central (également appelé emplacement par défaut) et d’un ou plusieurs emplacements géographiques satellites. Le concept clé du multi géo est qu’un même tenant couvrira plusieurs emplacements géographiques. La localisation des données dans ce type de tenant, l’information sur les lieux géographiques, les groupes et les informations utilisateurs sera donc maîtrisée directement dans Azure Active Directory (AAD).

Les ressources concernées par ses déplacements sont donc les suivantes

  • Ressources associées à l’utilisateur
    • OneDrive pour les entreprises
    • Boîtes aux lettres Exchange
  • Ressources partagées
    • Sites SharePoint Online
    • Office 365 Groupes de ressources au repos (boîte aux lettres partagée et sites d’équipes)

Les emplacements actuellement qui sont disponibles sont à ce jour les suivants


Avantages du service

Les avantages du service sont donc les suivants :

  • Le Multi Géo fonctionne comme une seule organisation mondiale connectée avec un seul tenant 0365couvrant plusieurs emplacements géographiques
  • Il permet de répondre aux exigences de résidence des données en créant et en hébergeant des données dans un emplacement géographique spécifié.
  • Il permet de donner aux utilisateurs éloignées le même niveau d’expérience que ceux dont bénéficient vos utilisateurs en central.
  • Il permet à vos utilisateurs de se déplacer d’un emplacement géographique à l’autre au fur et à mesure que leur rôle change, tout en conservant intact l’accès à leur contenu.
  • Il permet de personnaliser les politiques de partage en fonction de l’emplacement géographique et les politiques de prévention des pertes de données par site.
  • Il permet de désigner des gestionnaires eDiscovery par emplacement géographique et autoriser des cas de gestion adaptés à votre emplacement géographique.
  • Il permet de choisir des espaces de noms d’URL uniques (par exemple, companyFR. sharepoint. com) pour vos emplacements géographiques supplémentaires.
  • Il permet de consolider vos données régionales sur site dans votre Office 365 multi-géo-locataire.

L’activation du service

L’activation à Multi-Géo est un processus simple utilisant des outils familiers comme Azure Active Directory Connect et PowerShell. Les clients peuvent utiliser ces outils pour activer la fonction Multi-Géo dans leur tenant et assigner des localisations à leurs utilisateurs. Multi-Géo n’a pas non plus d’impact sur l’expérience utilisateur final ; les utilisateurs peuvent continuer à accéder à leurs fichiers e-mail et OneDrive pendant le transfert de leurs données entre localisation

Avant de pouvoir déplacer ce type de données, il vous faudra cependant utiliser la commande powershell Set-MsolCompanyAllowedDataLocation suivante pour permettre l’extension du service vers un autre emplacement

Set-MsolCompanyAllowedDataLocation -serviceType Sharepoint -Location JPN -Initialdomain unifiedit.com

Le paramétre initialdomain est notamment important pour l’environnement Sharepoint compte tenu du fait que les ressources sharepoint sont adressées par URL.

Dans un environnement Multi Géo 3 informations importantes seront donc à prendre en compte qui sont les suivantes

  • AllowedDataLocation
    • L’allowed Datalocation spécifie les emplacements géographiques possibles au niveau du tenant pour les applications Office 365
  • PreferredDataLocation
    • Propriété de l’utilisateur qui spécifie l’emplacement de la boite aux lettres et des données OneDrive. Cette valeur est configurable par remote Powershell pour les identités cloud
  • Azure AD Connect tool
    • Permet de configurer (Synchronisé) les valeurs du champs PreferredDataLocation pour les utilisateurs synchronisés. Vous noterez que L’Azure AD Connect supporte la synchronisation de l’attribut PreferredDataLocation à partir de la version 1.1.524.0 ou supérieure.

Multi Géo and Exchange

Dans l’environnement Exchange, il faut prendre en considération le point de connexion unique que constitue outllook.office.com. De ce que l’on peut en comprendre aujourd’hui, est que la connexion client ne changera pas et que ce dernier se connectera au point le plus près de là où il a été localisé par son environnement DNS.

D’un point de vue administration on notera que

  • L’administration des boites géographiquement réparties est transparente pour les administrateurs.
  • Les nouvelles boîtes aux lettres peuvent être mises à disposition directement dans des emplacements géographiques spécifiques sur 0365
  • Les boîtes aux lettres Office 365 existantes peuvent être déplacées vers des emplacements géographiques spécifiques
  • Les boîtes aux lettres Exchange existantes sur site peuvent être déplacées directement vers des emplacements géographiques spécifiques

One Drive et le multi Géo

Dans le cas de Onedrive l’administration dans le cadre des fonctions Multi Géo va être légèrement différentes de celle de d’Exchange qui in fine est assez transparente car elle se limite à un positionnement d’un attribut par utilisateur


La gestion de one drive se fera par des centres d’administration qui seront relatif aux différents emplacements que vous avez activés comme le montre la figure ci-dessous. Les politiques en question pourront être différentes selon les sites géographiques.


Malgré cela, la connexion et l’usage par les utilisateurs des fonctions multi géo dans l’environnement 0365 est transparente. Autrement dit, les clients Microsoft que cela soit sur les clients Browser mais aussi au sein des applications mobiles sont « Multigeo Aware ». Le fait d’utiliser une infrastructure géographique dispersée restera transparente pour l’utilisateur.

Delve et le multi Géo
Les fonctionnalités tels que Delve , Profile et Unified Auditing sont compatibles avec les fonctions Multi-Geo. En d’autres termes, et spécifiquement pour l’audit unifié ce dernier est « cross Geo Platform » et peut réunir à un seul endroit des informations d’audit de plusieurs emplacements géographiques

Sharepoint Multi Géo

Dans l’environnement Sharepoint les sites et les configurations seront gérables par emplacements géographiques. De même, les stratégies de partage seront aussi spécifiées par emplacement géographique. Lorsque l’on créera un site on pourra directement spécifier l’emplacement géographique de ce dernier

Les stratégie DLP seront elles réalisables mais resterons applicables sur les sites Sharepoint


Pour quelle raison le Multi Geo 0365 est il intéressant?

L’activation de ce scénario Multi Geo dans l’optique Microsoft devrait être guidé par des problèmes juridiques ou réglementaires et non pour palier à des problèmes de performances

Quand le Multi Geo sera disponible ?

L’option Multi Geo est actuellement en preview pour Exchange Online et OneDrive. Microsoft prévoit de rendre cette fonction Multi-Geo disponible pour Exchange Online et OneDrive au cours du premier semestre de l’année civile 2018. Microsoft prévoit un aperçu SharePoint en 2018.

Posted in Non classé | Leave a Comment »

Comment fonctionne le SSO avec les périphériques Windows 10

Posted by Teruin laurent sur octobre 23, 2017


Bonjour vous trouverez ci-joint une traduction d’un article de Jairo Cadena très intéressant précisant les mécanismes d’authentification Azure AD

Article original : https://jairocadena.com/2016/11/08/how-sso-works-in-windows-10-devices/comment-page-1/#comment-1307

Thanks Jairo !

Le SSO sous Windows 10 fonctionne pour les types d’applications suivantes :

  • Les applications connectées à Azure AD, dont Office 365, les applications SaaS, les applications publiées via le proxy d’applications AD Azure et les applications personnalisées LOB intégrées à Azure AD.
  • Les Applications et services d’authentification intégrés Windows.
  • ADFS lors de l’utilisation d’ADFS dans Windows Server 2016.

Le jeton de rafraîchissement primaire (PRT)

Le SSO s’appuie sur des jetons spéciaux obtenus pour chacun des types d’applications ci-dessus. Ceux-ci sont à leur tour utilisés pour obtenir des jetons d’accès à des applications spécifiques. Dans le cas de l’authentification traditionnelle Windows Integrated utilisant Kerberos, ce jeton est un TGT Kerberos (ticket-granting ticket). Pour les applications ADFS d’azure, nous appelons cela un jeton de rafraîchissement primaire (PRT). Il s’agit d’un Web Token JSON contenant des revendications concernant à la fois l’utilisateur et le périphérique.

Le PRT est initialement obtenu lors de la connexion Windows (identification/déverrouillage de l’utilisateur) de la même manière que le TGT Kerberos. Ceci est vrai pour les appareils joints à Azure AD joints et les appareils reliés à un domaine. Dans les appareils personnels enregistrés auprès d’Azure AD, le PRT est initialement obtenu sur Add Work ou School Account (dans un appareil personnel, le compte pour déverrouiller l’appareil n’est pas le compte de travail mais un compte grand public, par exemple hotmail. com, live. com, outlook. com, etc.)

Le PRT est nécessaire pour le SSO. Sans cela, l’utilisateur sera invité à fournir des informations d’identification lors de l’accès aux applications à chaque fois. Veuillez également noter que le PRT contient des informations sur l’appareil. Cela signifie que si vous avez une politique d’accès conditionnel basée sur un périphérique défini sur une application, sans le PRT, l’accès sera refusé.

Validité du PRT

Le PRT a une validité de 90 jours avec une fenêtre coulissante de 14 jours. Si le PRT est constamment utilisé pour obtenir des jetons d’accès aux applications, il sera valide pendant toute la durée de 90 jours. Après 90 jours, il expire et un nouveau PRT doit être obtenu. Si le PRT n’a pas été utilisé dans un délai de 14 jours, le PRT expire et un nouveau PRT doit être obtenu. Les conditions qui imposent l’expiration du PRT en dehors de ces conditions incluent des événements tels que le changement/réinitialisation du mot de passe de l’utilisateur.

Pour les appareils raccordés au domaine et Azure AD, le renouvellement du PRT est tenté toutes les 4 heures. Cela signifie que le premier sign-in/unlock, 4 heures après l’obtention de l’outillage, on tente d’obtenir un nouveau PRT

Maintenant, il y a un cas spécifique pour les périphériques liés au domaine. La tentative d’obtenir un nouveau PRT n’a lieu que si le périphérique a une connexion vers un DC (pour une connexion réseau complète Kerberos qui déclenche également la connexion AD Azure). C’est un comportement que nous voulons changer et espérons faire pour la prochaine mise à jour de Windows. Ce changement impliquera que même si l’utilisateur quitte le réseau d’entreprise, le PRT pourra se mettre à jour. L’implication de ce comportement aujourd’hui, est qu’un périphérique connecté à un domaine doit entrer dans le réseau d’entreprise (physiquement ou via VPN) au moins une fois tous les 14 jours.

 

Domaine joints/Azure AD dispositifs joints et SSO

L’étape par étape suivante montre comment le PRT est obtenu et comment il est utilisé pour le SSO.


 

(1) L’utilisateur entre ses informations d’identification dans l’interface utilisateur Windows Logon

Dans l’interface utilisateur Windows Logon, l’utilisateur saisit des informations d’identification pour se connecter/débloquer le périphérique. Les informations de connexions sont obtenues par un fournisseur d’identification. Si vous utilisez un nom d’utilisateur et un mot de passe, le fournisseur d’identification pour le nom d’utilisateur et le mot de passe est utilisé, si vous utilisez Windows Hello for Business (PIN ou bio-gesture), le fournisseur d’identification pour la reconnaissance du NIP, des empreintes digitales ou des visages est utilisé.


(2) Les identifiants sont transmis au plug-in Cloud AP Azure AD pour authentification

Le Credential Provider obtient les informations d’identification de WinLogon qui appellera l’API LsaLogonUser () avec les informations d’identification de l’utilisateur. Les informations d’identification sont transmises à un nouveau composant de Windows 10 appelé Cloud Authentication Provider (Cloud AP). Il s’agit d’un composant à base de plug-in fonctionnant dans le processus LSASS (Local Security Authority Subsystem) avec un plug-in étant le plug-in Azure AD Cloud AP plug-in. Pour plus de simplicité dans le diagramme, ces deux éléments sont représentés sous la forme d’une boîte Cloud AP.

Le plug-in va authentifier l’utilisateur via AD et ADFS (si Windows Server 2016) pour obtenir le PRT. Le plug-in connaîtra le tenant Azure AD et la présence de l’ADFS par les informations mises en cache lors de l’enregistrement de l’appareil.Lorsque les informations du jeton d’identification sont obtenues et mises en cache juste avant l’enregistrement (l’explication s’applique aux dispositifs joints de domaine enregistrés avec Azure AD et Azure AD joints dispositifs).

 

(3) Authentification de l’utilisateur et du dispositif pour obtenir PRT d’Azure AD (et AD FS si fédéré et version de Windows Server 2016)

En fonction des informations d’identification utilisées, le plug-in obtiendra le PRT par des appels distincts vers Azure AD et ADFS.

  • PRT basé sur nom d’utilisateur et mot de passe
    • Pour obtenir le PRT AD Azure en utilisant un nom d’utilisateur et un mot de passe, le plug-in enverra les informations d’identification directement à Azure AD (dans une configuration non fédérée) ou à ADFS (si fédéré). Dans le cas fédéré, le plug-in enverra les informations d’identification au point d’extrémité suivant de WS-trust dans ADFS pour obtenir un jeton SAML qui sera ensuite envoyé à Azure AD.
    • Azure AD authentifiera l’utilisateur avec les informations d’identification obtenues (non fédérées) ou en vérifiant le jeton SAML obtenu auprès d’AD FS (fédéré). Après l’authentification, Azure AD construira un PRT avec les déclarations de l’utilisateur et du périphérique et le retournera à Windows.
  • PRT basé dans le système d’exploitation Windows Hello for Business Identification
    • Pour obtenir l’outil Azure AD PRT en utilisant l’identifiant Windows Hello for Business, le plug-in enverra un message à Azure AD auquel il répondra par un nonce. Le plug-in répondra avec le nonce signé avec la clé d’identification Windows Hello for Business.
    • Azure AD authentifiera l’utilisateur en vérifiant la signature basée sur la clé publique qu’il a enregistrée lors de l’approvisionnement d’accréditation comme expliqué dans le post Azure AD et Microsoft Passport for Work in Windows 10 (veuillez noter que Windows Hello for Business est le nouveau nom de Microsoft Passport for Work).
      LE PRT contiendra des informations sur l’utilisateur et l’appareil, mais une différence avec le PRT obtenu en utilisant le nom d’utilisateur et le mot de passe, est que celui-ci contiendra une demande d’authentification forte.
    • Indépendamment de la façon dont le PRT a été obtenu, une clé de session est incluse dans la réponse qui est cryptée vers le Kstk (une des clés fournies lors de l’enregistrement du périphérique comme expliqué à l’étape 4 de la post AD Join d’azure: que se passe-t-il en coulisse?).
    • La clé de session est décryptée par le plug-in et importée dans la TPM à l’aide du Kstk. Lors de la ré-authentification, le PRT est envoyé à Azure AD de façon signée en utilisant une version dérivée de la clé de session précédemment importée et stockée dans la TPM qu’Azure AD peut vérifier. De cette façon, nous lions le PRT au dispositif physique, ce qui réduit le risque de vol du PRT.

(4) Cache du PRT pour le Web Account Manager afin d’y accéder lors de l’authentification de l’application

Une fois que le PRT est obtenu, il est mis en cache dans l’autorité locale de sécurité (LSA). Il est accessible par le Gestionnaire de comptes Web, qui est également un composant à base de plug-in qui fournit une API pour les applications permettant d’obtenir des jetons à partir d’un fournisseur d’identité donné (IdP). Il peut accéder au PRT par l’intermédiaire du Cloud AP (qui a accès au PRT) qui vérifie un identificateur d’application particulier pour le Gestionnaire de comptes Web. Il existe un plug-in pour le Gestionnaire de comptes Web qui implémente la logique pour obtenir des jetons à partir d’Azure AD et AD FS (si AD FS dans Windows Server 2016).

Vous pouvez voir si un PRT a été obtenu après l’identification/déblocage en vérifiant l’édition de la commande suivante.

dsregcmd.exe /status

 

Dans la section « Etat utilisateur », vérifiez la valeur d’AzureAdPrt qui doit être OUI.


Une valeur de NO indique qu’aucun PRT n’a été obtenu. L’utilisateur n’aura pas de SSO et ne pourra pas accéder aux applications de service qui sont protégées par une politique d’accès conditionnel basée sur les périphériques.

 

(5.6 et 7) Demande d’accès aux demandes d’application token à Web Account Manager pour un service d’application donné

Lorsqu’une application client se connecte à une application de service qui s’appuie sur Azure AD pour l’authentification (par exemple l’application Outlook se connectant à Office 365 Exchange Online), l’application demandera un jeton au Gestionnaire de comptes Web à l’aide de son API.

Le Gestionnaire de comptes Web appelle le plug-in Azure AD qui, à son tour, utilise le PRT pour obtenir un jeton d’accès pour l’application de service en question (5).

Il y a deux interfaces en particulier qui sont importantes à noter.

Celui qui permet à une application d’obtenir un jeton silencieusement, qui utilisera le PRT dans le but d’obtenir un jeton d’accès (silencieusement) s’il le peut. Si ce n’est pas possible, il renverra un code à l’application appelante lui indiquant qu’une interaction avec l’interface utilisateur est requise. Une fois que l’application appelante reçoit ce code, elle pourra appeler une API distincte qui affichera un contrôle Web pour permettre à l’utilisateur d’interagir.

Après avoir retourné le jeton d’accès à l’application (6), l’application cliente utilisera le jeton d’accès pour accéder à l’application de service (7).

Navigateur SSO

Lorsque l’utilisateur accède à une application de service via Microsoft Edge ou Internet Explorer, l’application redirige le navigateur vers l’URL d’authentification Azure AD.

À ce stade, la demande est interceptée via URLMON et le PRT est inclus dans la demande. Une fois les authentifications réussies, Azure AD renvoie un cookie qui contiendra des informations SSO pour les demandes futures. Veuillez noter que la prise en charge de Google Chrome est disponible depuis la mise à jour Creators de Windows 10 (version 1703) via l’extension Google Chrome des comptes Windows 10.

Posted in Non classé | Leave a Comment »

Pourquoi mettre à jour vos listes de distribution vers des groupes dans Outlook ?

Posted by Teruin laurent sur octobre 22, 2017


Traduit de l’anglais

Article original : https://support.office.com/en-us/article/Why-you-should-upgrade-your-distribution-lists-to-groups-in-Outlook-7fb3d880-593b-4909-aafa-950dd50ce188

Depuis des années, les organisations comptent sur les groupes de distribution pour communiquer et collaborer avec des groupes de personnes à l’intérieur et à l’extérieur de l’entreprise. Aujourd’hui, cependant, les groupes dans Outlook offrent une solution plus puissante pour la collaboration

Qu’est-ce que les groupes ?

Lorsque vous créez un groupe dans Outlook, vous pouvez choisir un ensemble de personnes avec lesquelles vous souhaitez collaborer et mettre en place facilement une collection de ressources à partager. Vous n’avez pas à vous soucier d’assigner manuellement des permissions à toutes ces ressources parce que l’ajout de membres au groupe leur donne automatiquement les permissions dont ils ont besoin pour accéder aux outils fournis par votre groupe.

Ces ressources supplémentaires comprennent :

Boîte de réception partagée – Endroit Où les conversations que vous avez traditionnellement dans vos listes de distribution ont lieu. Cette boîte de réception partagée est entièrement interrogeable, ce qui permet de créer une archive vivante des messages du groupe. Les nouveaux arrivants dans le groupe peuvent rechercher ou parcourir l’historique pour se mettre rapidement au courant de ce qui a déjà été publié dans le groupe. Voir: Avoir une conversation de groupe dans Outlook.

Bibliothèque de fichiers partagés – Votre groupe dispose d’une bibliothèque de fichiers SharePoint où vos utilisateurs peuvent stocker, partager et collaborer sur des documents, des classeurs, des présentations, des images ou tout autre type de fichier sur lequel ils doivent travailler. Voir: Partager des fichiers de groupe dans Outlook 2016.

Calendrier partagé – Votre groupe reçoit un calendrier partagé pour afficher les événements liés au groupe. Chaque membre qui s’est inscrit au groupe est automatiquement invité à participer aux événements affichés dans le calendrier afin que ces événements puissent également figurer sur son agenda personnel s’il le souhaite. Voir: Planifiez une réunion sur un calendrier de groupe dans Outlook 2016.

Carnet OneNote partagé – Le groupe dispose automatiquement d’un carnet OneNote partagé où les membres du groupe peuvent collecter des informations et collaborer. De nombreux groupes utilisent le carnet pour créer un wiki vivant avec des questions fréquemment posées et d’autres ressources. Voir: Démarrage avec OneNote 2016.

 

Accès invité – Vous pouviez ajouter des contacts externes aux groupes de distribution avant, mais tout ce qu’ils ont reçu, c’est du courrier électronique. Avec les groupes, vous pouvez offrir aux invités l’accès à des conversations par courrier électronique, à des fichiers et même au bloc-notes OneNote partagé. Voir: Accès invité dans Office 365 Groupes.

Contenu accessible – Les groupes dans Outlook sont publics par défaut, ce qui signifie qu’ils sont faciles à découvrir pour les autres membres de votre organisation. Si le contenu du groupe est plus sensible, vous pouvez basculer le groupe en mode privé, ce qui cache le contenu aux non-membres et demande au propriétaire du groupe d’approuver les demandes d’adhésion.

Création de Self-Service – L’informatique n’a pas besoin de s’embourber dans les requêtes des utilisateurs pour créer des groupes. Les utilisateurs peuvent créer leurs propres groupes selon leurs besoins. Si vous voulez contrôler quels utilisateurs de votre entreprise peuvent créer des groupes, voir: Gérer la création de groupe Office 365

 

Ce ne sont là que quelques-unes des caractéristiques qui font des groupes une solution plus puissante que les groupes de distribution.

Administration de vos groupes

Office 365 offre un certain nombre d’outils et de fonctionnalités utiles pour faciliter la gestion et l’administration de vos groupes. Pour plus d’informations sur chacun de ces avantages, cliquez sur les rubriques ci-dessous.

Gestion d’annuaires

Garder votre annuaire sous contrôle est une préoccupation de chaque administrateur. Voici quelques-uns des outils qu’offre Office 365 pour vous aider à rendre cela plus facile :

  • Règles de nommage – Les règles de nommage vous permettent de définir les noms acceptables et inacceptables pour vos groupes. Cela empêche les utilisateurs de donner des noms profanes ou interdits aux groupes. De plus, vous pouvez appliquer les préfixes ou suffixes standard de l’entreprise aux noms des groupes.
  • Adhésion dynamique – L’adhésion dynamique vous permet de définir l’appartenance à un groupe par règle, ce qui ajoute (ou supprime) les membres du groupe en fonction des métadonnées (telles que le département ou le rôle) dans votre répertoire actif. Voir Utiliser les attributs pour créer des règles avancées pour plus d’informations sur la création d’une adhésion dynamique.
  • Adhésion cachée – Si vous avez une raison de vouloir que l’adhésion à votre groupe soit confidentielle, par exemple si les membres sont des étudiants, vous pouvez cacher l’adhésion à des tiers.

Autorisations de création – Il peut y avoir certaines personnes dans votre organisation que vous ne voulez pas pouvoir créer de nouveaux groupes. Il existe plusieurs techniques pour gérer les permissions de création dans votre répertoire. Voir Gérer la création de groupe Office 365.

  • Journaux d’audit – Vous pouvez avoir plus de confiance en permettant à vos utilisateurs de créer des groupes et de gérer l’appartenance à un groupe parce que les journaux d’audit Office 365 Groupes vous permettent de localiser qui a créé ou supprimé un groupe particulier ou apporté des modifications à la composition du groupe. Voir: Recherche dans le journal d’audit de l’Office 365 Security & Compliance Center.

Gestion du transport

La gestion du tranport vous donne quelques méthodes pour gérer la façon dont les messages doivent être envoyés ou reçus par le groupe. De plus, il existe des outils pour surveiller le flux de ces messages.

  • Envoyer en tant que ou Envoyer pour le compte de – Ces paramètres permettent aux utilisateurs spécifiés d’envoyer des e-mails comme s’ils venaient du groupe ou s’ils le représentaient.
  • Restrictions d’expéditeur – Ces paramètres vous permettent de contrôler qui est autorisé à envoyer des messages au groupe. Le groupe peut être configuré pour autoriser les courriels provenant de l’extérieur, mais vous pouvez limiter cela à certaines parties externes.
  • Soutien des utilisateurs externes – En invitant des invités à votre groupe, vous pouvez choisir de les inclure dans les conversations par courriel du groupe. Voir: Accès invité aux groupes Office 365 – Aide Admin.
  • Règles de transport – Les règles de transport fonctionnent pour les groupes comme pour votre serveur Exchange. Les règles peuvent rechercher les messages qui répondent à des conditions spécifiques et prendre des mesures pour y donner suite.
  • MailTips – Les MailTips sont des messages d’information affichés aux utilisateurs pendant qu’ils composent un message. Ils peuvent aider à réduire les NDR en avertissant un utilisateur si son message est susceptible d’être transmis à des tiers ou de dépasser les quotas de messages.
  • Adresses proxy multiples – Un groupe peut avoir des alias comme une boîte aux lettres d’un utilisateur. Des adresses proxy supplémentaires peuvent être utiles pour accepter les messages envoyés à ces autres alias ou pour faciliter l’accès à un groupe dont le nom est long ou difficile à épeler. Voir: Prise en charge de plusieurs domaines pour les groupes Office 365 – Aide d’administration
  • Taille d’envoi/réception maximale – Ces quotas peuvent aider à réduire les problèmes avec le groupe recevant (ou envoyant) des messages extrêmement volumineux afin de mieux gérer les besoins de stockage et de bande passante.

Politiques de contenu

Office 365 vous donne également quelques outils pour gérer le type de contenu qui est partagé dans votre groupe.

  • Directives d’utilisation – Vous pourrez définir des directives d’utilisation pour Office 365 Groupes pour informer vos utilisateurs sur les meilleures pratiques qui aident à garder leurs groupes efficaces et les éduquer sur les politiques de contenu interne. Pour un exemple, voir: Directives d’utilisation pour les clients et partenaires Microsoft.
  • Classification des données – Vous pourrez créer un système de classification des données personnalisable pour Office 365 Groupes qui permet de séparer les groupes par type de police (p. ex., » non classifié « , » confidentiel d’entreprise  » ou  » très secret »). De cette façon, vos groupes peuvent exposer les politiques d’autres contenus de votre organisation. La stratégie extensible permet à votre organisation de configurer un terminal appelé à chaque fois qu’un groupe est créé ou modifié – et vous pouvez ensuite implémenter vos propres stratégies de création ou de modification de groupe.

Gérer le changement

Les utilisateurs sont parfois mal à l’aise avec le changement, il est donc important de communiquer avec les membres existants de vos listes de distribution pour leur faire savoir à quoi s’attendre. Voici quelques informations que vous devriez inclure dans ce message, ainsi que quelques réponses que vous pourriez trouver utiles :

Que sont les groupes dans Outlook?

Les groupes Office 365 dans Outlook sont une solution de collaboration unique pour les équipes/groupes qui souhaitent partager des discussions, des fichiers, des calendriers et des notes d’une manière unifiée et facile à trouver. La meilleure caractéristique est probablement que la boîte de réception pour le groupe conserve un historique des discussions, ce qui facilite la recherche des discussions précédentes.

Pourquoi faisons-nous ce changement ?

Les gens ont souvent demandé la possibilité de consulter les messages affichés sur notre liste de distribution afin de trouver de l’information qui a été discutée dans le passé. Mettre à jour la liste de distribution en groupe signifie que les gens n’ont pas à poser ou à répondre aux mêmes questions encore et encore.

Le nouveau groupe inclura également un calendrier pour nos événements de groupe, une bibliothèque de fichiers partagés et un carnet OneNote où nous pourrons collaborer et rassembler des informations pour référence future.

Dois-je faire quoi que ce soit pour rejoindre ce groupe si j’étais déjà membre de la liste de distribution ?

Rien, si vous étiez déjà membre de la liste de diffusion, vous serez automatiquement membre du nouveau groupe.

Comment accéder au nouveau groupe dans Outlook ? Qu’en est-il d’Outlook sur le Web?

Pour accéder au nouveau groupe dans Outlook, allez dans la catégorie Groupes en bas à gauche dans le volet de navigation. Si vous utilisez ce groupe, envisagez de l’épingler comme favori en cliquant avec le bouton droit de la souris dessus et en choisissant Afficher comme favori.

De plus, Office 365 Groupes dispose de clients mobiles gratuits sur toutes les plateformes mobiles (iOS, Android, etc.), ce qui vous permet d’accéder facilement au groupe en déplacement.

Puis je envoyer un email avec ce groupe?

Si bien sur. Le même alias de courriel que celui que vous avez utilisé pour la liste de distribution fonctionnera toujours très bien pour le groupe dans Outlook.

Aussi…

N’oubliez pas de leur dire à quel moment ce changement se produit et avec qui communiquer s’ils ont d’autres questions.

Quelle est la suite ?

Une fois que vous avez mis votre groupe de distribution à niveau vers un groupe Office 365, il y a quelques tâches de suivi que vous voudrez peut-être faire pour vous assurer que tout se passe bien.

  • Suivi avec vos utilisateurs – Vérifiez auprès d’eux immédiatement après la fin de la mise à niveau, puis de nouveau quelques jours plus tard. Montrer que vous êtes à l’écoute et réceptif à toutes les questions qu’ils pourraient avoir contribuera grandement à les rendre heureux et à les mettre à l’aise avec le changement.
  • Surveillez les rapports d’engagement – Le portail Office 365 Admin Portal dispose de bons rapports qui peuvent vous montrer combien d’utilisateurs utilisent le groupe, la fréquence et les fonctionnalités qu’ils utilisent. Ces rapports peuvent vous aider à concevoir votre formation de suivi et de formation des utilisateurs et à mettre en évidence les domaines dans lesquels vos utilisateurs tirent le plus de valeur du nouveau groupe. Voir: Rapports d’activité dans le centre administratif Office 365.

Posted in Non classé | Leave a Comment »

Fin de Partie pour Active Sync sur Exchange Online?

Posted by Teruin laurent sur octobre 14, 2017


Décidément, la venue de l’application Outlook pour Android et IOS marquera un tournant technologique dans l’environnement Microsoft Exchange. La nouvelle application officielle pour smartphone en plus d’embarquer l’authentification moderne, elle se débarrasse du protocole Active Sync utilisé depuis de nombreuses années par toutes les applications mobiles devant se synchroniser avec les boites aux lettres d’un serveur Exchange, que ce dernier soit en ligne ou sur site.

L’application Outlook pour IOS ou Android utilise désormais lorsqu’elle est connectée sur une boite aux lettres Exchange Online des Nouvelles API comme le montre la figure suivante


Outlook pour iOS et Android prend désormais en charge les boîtes aux lettres Exchange Online nativement, ce qui signifie qu’aucunes données de vos boîtes aux lettres n’est mise en cache en dehors de Office 365. Les données restent simplement dans la boîte aux lettres Exchange Online actuelle et sont protégées par des connexions sécurisées TLS de bout en bout entre Office 365 et les applications Outlook. Pour ce faire, Outlook utilise un composant de traduction de protocole stateless construit et exécuté dans Azure. Ce composant sert à acheminer les données et à traduire les commandes (Outlook Device API vers REST et vice versa) entre Outlook et Exchange Online, mais il ne cache aucune donnée utilisateur.

Cette nouvelle architecture améliore également la façon dont Outlook informe sur les ID de périphériques à Exchange Online, ce qui aidera la gestion des périphériques par les administrateurs. Outlook signale maintenant individuellement un Device ID unique pour chaque périphérique se connectant à Exchange Online. Auparavant, les connexions Outlook à partir d’iOS ou d’Android étaient signalées au niveau de l’utilisateur. Les détails de l’appareil mobile rapportés, ainsi que le Device ID sont également plus précis, car Outlook renvoie maintenant les rapports Device Name et Device OS à Exchange. C’est du moins ce que nous avons observé avec les commandes powershell Get-ActiveSyncDeviceStatistics

L’application Outlook offre plusieurs options pour sécuriser et protéger le courrier électronique sur les appareils mobiles. Office 365 et Outlook intègrent des contrôles intégrés pour répondre aux besoins de sécurité de base, notamment le verrouillage du code PIN, l’authentification multifactorielle et la possibilité d’effacer à distance les périphériques perdus ou volés. L’application Outlook est selon Microsoft également étroitement intégrée aux fonctionnalités avancées de Microsoft Enterprise Mobility + Security (EMS) pour garantir la sécurité des données.

Voici quelques fonctionnalités d’EMS:

  • Effacement sélectif : permet de supprimer les données de messagerie Office 365 si nécessaire, tout en laissant intactes les données personnelles. C’est une exigence de plus en plus importante, car de plus en plus d’entreprises adoptent une approche  » apportez votre propre appareil  » (BYOD) pour les téléphones et les tablettes.
  • Politiques de restriction des applications – permet de limiter les actions telles que couper, copier, coller et « enregistrer sous » entre les applications gérées par Intune et les applications personnelles sur un périphérique pour réduire le risque de perte de données d’entreprise. Les politiques de restriction des applications sont disponibles pour une utilisation sur les périphériques enregistrés MDM (Mobile Device Management) et sur les périphériques non gérés, via le MAM d’Intune sans possibilité d’inscription.
  • Accès conditionnel – Permet de s’assurez-vous les courriels Office 365 ne peuvent être consultés que sur des téléphones et des tablettes qui répondent aux politiques d’accès sécurisé définies par le service informatique. Ces exigences peuvent inclure la gestion des périphériques ou des applications ou l’authentification multifactorielle (MFA) pour certains scénarios utilisateur. Grâce aux nouvelles fonctionnalités de protection d’identité Azure d’EMS, vous pouvez vous assurer que ces politiques d’accès conditionnel accordent ou refusent l’accès en fonction des risques associés à chaque identité unique.

Et si l’on ne supportait qu’une seule application de messagerie mobile ? 

Laurent TERUIN

 

Posted in Non classé | 4 Comments »