Université Cheikh Anta DIOP

Faculté des Sciences et Techniques

Département de Mathématiques-Informatique

Master II en Réseaux et Télécommunications

Administration d’Infrastructure Cloud

Xavier DIOP

Infrastructure Analyst

Formateur IT

francoisxavierdiop@[Link]
Chapitre 8 : Azure Active Directory - AAD ................................................................................................................... 3
Introduction .................................................................................................................................................................... 3
1. Les options de licences de AAD .......................................................................................................................... 3
2. Quelles sont les possibilités avec Azure AD .................................................................................................... 3
3. Guide de déploiement d’Azure Active Directory ........................................................................................... 4
Etape 1 : Créer la base de la sécurité ...................................................................................................................... 4
Etape 2 : Importer des utilisateurs, activer la synchronisation et gérer des appareils ............................ 5
Etape 3 : Gérer les applications ............................................................................................................................... 5
Etape 4 : Auditer les identités privilégiées, effectuer une révision d’accès et gérer le cycle de vie
utilisateur..................................................................................................................................................................... 5
4. Les Licences Azure Active Directory.................................................................................................................. 6
5. Création d’un annuaire AAD et gestion des utilisateurs et des groupes dans AAD .............................. 6
6. Créer un rôle d'annuaire personnalisé et attribuer le rôle ....................................................................... 12
7. Utilisation du RBAC et Gestion des licences ................................................................................................. 13
8. Joindre une machine Windows 10 à AAD ....................................................................................................... 14
9. Mettre en place la réinitialisation de mot de passe en libre-service AAD ............................................. 15
11. Configurer les mots de passe interdits dans AAD .................................................................................... 23
12. Activation de la protection d'identité AAD ............................................................................................... 23
12.1. Notifications d’Azure Active Directory Identity Protection .............................................................. 23
12.2. Configurer la stratégie d’inscription de l’authentification multi facteur ..................................... 25
12.3. Configurer et activer des stratégies de risque ...................................................................................... 25
12.4. Test de validation de l’application du MFA ........................................................................................... 27
13. Activation de Azure AD Privileged Identity Management..................................................................... 27
14. Personnaliser le verrouillage intelligent d’Azure Active Directory .................................................... 34
15. Installer Azure AD Connect ........................................................................................................................... 34
16. Implémenter la synchronisation de hachage du mot de passe ............................................................ 40
17. Implémenter l’écriture différée du mot de passe .................................................................................... 41
18. Implémenter Azure AD Connect Health .................................................................................................... 44
19. Déployer Windows Hello Entreprise dans votre organisation ............................................................. 45
21. Entreprise-entreprise (B2B) documentation à faire par l’étudiant ..................................................... 48
22. Entreprise-client (B2C) documentation à faire par l’étudiant .............................................................. 48
Chapitre 8 : Azure Active Directory - AAD

Introduction

Azure Active Directory (AAD) est une solution de gestion des identités et des accès. AAD assure des connexions sécurisées
entre personnes, appareils, applications et données. AAD est une solution d’identité unique et globale qui nous offre à la fois
une flexibilité et un contrôle total sur nos données et applications. Il permet à vos employés de se connecter et d’accéder aux
ressources externes telles que Office 365, le portail Azure et des milliers d’autres applications SaaS mais aussi au ressources
internes telles que les applications situées sur votre réseau d’entreprise ainsi aux applications cloud développées par votre
propre organisation.

1. Les options de licences de AAD

Les services d’entreprise Microsoft Online comme Office 365 ou Microsoft Azure nécessitent Azure AD pour la connexion et
la protection des identités. Si vous vous abonnez à un service en ligne Microsoft pour entreprise, vous disposez
automatiquement d’Azure AD avec un accès à toutes les fonctionnalités gratuites. C’est la licence gratuite, Azure Active
Directory Free, qui offre la gestion des utilisateurs et des groupes, la synchronisation d’annuaires locaux, des rapports de
base, des changements de mot de passe en libre-service pour les utilisateurs cloud ainsi que l’authentification unique sur
Azure, Office 365 et bon nombre d’applications SaaS populaires. Azure Active Directory Premium P1, En plus des
fonctionnalités Free, la licence P1 offre à vos utilisateurs hybrides l’accès aux ressources locales et cloud. Elle prend également
en charge des fonctionnalités administratives avancées, notamment les groupes dynamiques, la gestion de groupes libre-
service, Microsoft Identity Manager et l’écriture différée dans le cloud pour faire bénéficier à vos utilisateurs locaux de la
réinitialisation de mot de passe libre-service. Azure Active Directory Premium P2, en plus des fonctionnalités Free et P1, la
licence P2 offre Azure Active Directory Identity Protection pour fournir un accès conditionnel en fonction des risques à vos
applications et aux données critiques de l’entreprise. Elle propose également Privileged Identity Management pour faciliter la
découverte, la restriction et la supervision des administrateurs et leur accès aux ressources et, au besoin, fournir un accès
juste-à-temps. Il y a des licences pour les fonctionnalités avec ‘‘paiement à l’utilisation’’. Vous pouvez également obtenir
des licences pour des fonctionnalités supplémentaires, par exemple Azure Active Directory B2C (entreprise-client).

2. Quelles sont les possibilités avec Azure AD

Après avoir choisi votre licence Azure AD, vous avez accès à une partie ou à la totalité des fonctionnalités suivantes pour votre
organisation :

❖ La Gestion des applications : Gérez vos applications cloud et locales avec le proxy d’application, l’authentification
unique, le portail mes applications (également appelé panneau d’accès) et les applications SaaS (software as a service).
❖ Authentification : Gérez la réinitialisation de mot de passe libre-service Azure Active Directory, l’authentification multi
facteur, la liste de mots de passe interdits et le verrouillage intelligent.
❖ Entreprise-entreprise (B2B) : Gérez vos utilisateurs invités et partenaires externes tout en conservant le contrôle de vos
données d’entreprise.
❖ Entreprise-client (B2C) : Personnalisez et contrôlez la façon dont les utilisateurs s’inscrivent, se connectent et gèrent
leurs profils quand ils utilisent vos applications.
❖ Accès conditionnel : Gérez l’accès à vos applications cloud.
❖ Azure Active Directory pour les développeurs : Créez des applications qui connectent toutes les identités Microsoft et
obtiennent des jetons pour appeler Microsoft Graph, d’autres API Microsoft ou des API personnalisées.
❖ Gestion des appareils : Gérez la façon dont vos appareils cloud ou locaux accèdent à vos données d’entreprise.
❖ Services de domaine : Joignez des machines virtuelles Azure à un domaine sans contrôleur de domaine.
❖ Utilisateurs d’entreprise : Gérez l’attribution des licences, accédez à des applications et configurez des délégués à l’aide
de groupes et de rôles d’administrateur.
❖ Identité hybride : Utilisez Azure Active Directory Connect et Connect Health pour fournir une identité d’utilisateur
unique pour l’authentification et l’autorisation auprès de toutes les ressources, indépendamment de l’emplacement (cloud
ou local).
❖ Gouvernance des identités : Gérez l’identité de votre organisation au moyen de contrôles d’accès pour vos employés,
partenaires commerciaux, fournisseurs, services et applications. Vous pouvez également effectuer des révisions d’accès.
❖ Identity Protection : Détectez les vulnérabilités potentielles qui affectent les identités de votre organisation, configurez
des stratégies pour répondre aux actions suspectes et prenez les mesures appropriées pour les résoudre.
❖ Identités gérées pour les ressources Azure : Fournit à vos services Azure une identité managée automatiquement dans
Azure AD qui peut authentifier n’importe quel service d’authentification pris en charge par Azure AD, notamment Key
Vault.
❖ Privileged Identity Management (PIM) : Gérez, contrôlez et supervisez l’accès au sein de votre organisation. Cette
fonctionnalité inclut l’accès aux ressources dans Azure AD et Azure, ainsi qu’à d’autres services en ligne Microsoft, comme
Office 365 ou Intune.
❖ Rapports et analyse : Obtenez des insights sur la sécurité et les modèles d’utilisation de votre environnement.

3. Guide de déploiement d’Azure Active Directory

Le déploiement de Azure Active Directory (Azure AD) nécessite une stratégie et une planification de mise en œuvre. Il est
important d’identifier les étapes et les tâches à exécuter sur une durée de 30, 60, 90 jours ou plus, pour améliorer leur sécurité.

Etape 1 : Créer la base de la sécurité

Dans cette étape, les administrateurs activent des fonctionnalités de sécurité de référence pour créer une base plus sécurisée
et facile à utiliser dans Azure AD avant l’importation ou la création de comptes d’utilisateur normaux. Cette étape de base
garantit une meilleure sécurité dès le départ et vous permet de présenter les nouveaux concepts une seule fois à vos utilisateurs
finaux. Nous pouvons citer les actions suivantes :

✓ Désigner les administrateurs généraux ;

✓ Créer les rôles d’administrateur non généraux si possible ;
✓ Activer Privileged Identity Management pour suivre l’utilisation du rôle d’administrateur ;
✓ Déployer la réinitialisation du mot de passe en libre-service ;
✓ Créer une liste de mots de passe interdits personnalisée propre à l’entreprise ;
✓ Activer l’intégration locale à la protection de mot de passe Azure AD ;
✓ Activer l’aide de Microsoft sur les mots de passe ;
✓ Désactiver la réinitialisation de mot de passe périodiques pour les comptes d’utilisateur dans le cloud ;
✓ Personnaliser le verrouillage intelligent d’Azure Active Directory ;
✓ Activer le verrouillage intelligent extranet pour AD FS ;
✓ Déployer l’authentification multi facteur Azure AD à l’aide de stratégies d’accès conditionnel ;
✓ Activer Azure Active Directory Identity Protection ;
✓ Utiliser la détection de risques pour déclencher l’authentification multi facteur et le changement du mot de passe ;
✓ Activer l’inscription convergée pour la réinitialisation de mot de passe en libre-service et l’authentification multi facteur
Azure.

Etape 2 : Importer des utilisateurs, activer la synchronisation et gérer des appareils

À présent, nous devons renforçons les fondations posées à l’étape 1, importer nos utilisateurs et activer la synchronisation,
planifier l’accès invité et préparer la prise en charge de fonctionnalités supplémentaires en effectuant les actions suivantes :

✓ Installer Azure AD Connect ;

✓ Implémenter la synchronisation de hachage du mot de passe ;
✓ Implémenter l’écriture différée du mot de passe ;
✓ Implémenter Azure AD Connect Health ;
✓ Affecter des licences aux utilisateurs par appartenance aux groupes dans Azure Active Directory ;
✓ Créer un plan pour l’accès des utilisateurs invités ;
✓ Décider de la stratégie de gestion des appareils ;
✓ Déployer Windows Hello Entreprise dans votre organisation ;
✓ Déployer de nouvelles méthodes d’authentification sans mot de passe pour vos utilisateurs.

Etape 3 : Gérer les applications

Selon notre approche de renforcement des étapes précédentes, nous devons identifier les applications candidates pour la
migration et l’intégration à Azure AD, et installons ces applications. Nous devons effectuer les opérations suivantes :

✓ Identifier vos applications ;

✓ Intégrer les applications SaaS prises en charge dans la galerie ;
✓ Utiliser le proxy d’application pour intégrer les applications locales.

Etape 4 : Auditer les identités privilégiées, effectuer une révision d’accès et gérer le cycle de vie utilisateur

Les administrateurs doivent appliquer le principe du moindre privilège pour l’administration, les révisions de premier accès
et l’automatisation des tâches courantes du cycle de vie utilisateur à savoir :

✓ Appliquer l’utilisation de Privileged Identity Management ;

✓ Terminer une révision d’accès des rôles d’annuaire Azure AD dans PIM ;
 ✓ Implémenter des stratégies d’appartenance de groupe dynamique ;
✓ Implémenter le provisionnement d’applications en fonction du groupe ;
✓ Automatiser le provisionnement et le dé-provisionnement.

4. Les Licences Azure Active Directory

Azure Active Directory est proposé en quatre éditions : Gratuite, Applications Office 365, Premium P1 et Premium P2.
L’édition gratuite est incluse dans un abonnement à un service commercial en ligne, par exemple Azure, Dynamics 365, Intune
et Power Platform. Les abonnements Office 365 incluent l’édition gratuite et quelques fonctionnalités selon la licence
Office 365 E1, E3, E5, F1 et F3 souscrite. Les éditions Premium sont disponibles via votre commercial Microsoft. Les abonnés
Azure et Office 365 peuvent également acheter en ligne les éditions Premium P1 et P2 d’Azure Active Directory Premium.

5. Création d’un annuaire AAD et gestion des utilisateurs et des groupes dans AAD

Etape 1 : Inscrire votre organisation pour utiliser Azure Active Directory

Inscrivez-vous à Azure AD ou obtenez un abonnement Microsoft Azure à l’aide avec un compte Microsoft, professionnel ou
scolaire.

Etape 2 : Inscrire a Azure Active Directory Premium

Pour souscrire à Azure Premium P1 ou P2 nous pouvons utiliser les possibilités suivantes : notre abonnement Azure ou Office
365 existant lien ; Une offre de licences Enterprise Mobility + Security est une suite composée d’Azure AD Premium, Azure
Information Protection et Microsoft Intune lien ; une offre de licences en volume Microsoft.
Etape 3 : Ajouter votre nom de domaine personnalisé

Chaque nouveau locataire Azure AD est fourni avec un nom de domaine initial, au format [Link].
Vous ne pouvez pas modifier ni supprimer le nom de domaine initial, mais vous pouvez ajouter des noms de votre
organisation. L’ajout de noms de domaine personnalisés vous permet de créer des noms d’utilisateur qui sont familiers à vos
utilisateurs, par exemple [Link]@[Link]. Avant de pouvoir ajouter un nom de domaine personnalisé sur Azure AD, il
faut d’abord créer votre nom de domaine avec un bureau d’enregistrement de domaines (au Sénégal lien).

Après avoir ajouté votre nom de domaine personnalisé à Azure AD, vous devez revenir à votre bureau d’enregistrement de
domaines et ajouter les informations DNS d’Azure AD de votre fichier TXT copié. La création de cet enregistrement TXT pour
votre domaine entraîne la vérification de la propriété de votre nom de domaine.

Etape 4 : Personnaliser la page de connexion AAD avec le nom de votre entreprise

Sélectionnez Azure Active Directory, puis sélectionnez Marque de société et remplir les champs.

Etape 5 : Ajouter un abonnement Azure à votre locataire AAD

Sur vue d’ensemble, cliquez sur changer de locataire :

Etape 6 : Ajouter ou supprimer des utilisateurs

Sélectionnez Azure Active Directory à partir de n’importe quelle page. Sélectionnez Utilisateurs, puis Nouvel utilisateur :
Recherchez et sélectionnez Azure Active Directory à partir de n’importe quelle page. Recherchez et sélectionnez l'utilisateur
que vous souhaitez supprimer de votre locataire Azure AD. Sélectionnez Supprimer l’utilisateur.

Etape 7 : Ajouter ou mettre à jour les informations du profil utilisateur

Sélectionnez Azure Active Directory, Utilisateurs, puis un utilisateur x. il y a plusieurs options à configurer.

Etape 8 : Réinitialiser le mot de passe d’un utilisateur

Sélectionnez Azure Active Directory, sélectionnez Utilisateurs, recherchez et sélectionnez l’utilisateur qui a besoin de la
réinitialisation, puis sélectionnez Réinitialiser le mot de passe.
Etape 9 : Attribuer des rôles administrateur et non-administrateur aux utilisateurs

Sélectionnez Azure Active Directory, Sélectionnez Utilisateurs, Recherchez et sélectionnez l’utilisateur qui obtient
l’attribution de rôle.

Etape 10 : Assigner ou supprimer des licences dans le portail

Sélectionnez Azure Active Directory, puis Licences +affectations :

Etape 11 : Restaurer ou supprimer un utilisateur supprimé

Sélectionnez Azure Active Directory, Utilisateurs, puis Utilisateurs supprimés :

Etape 12 : Créer un groupe de base et ajouter des membres

Sélectionnez Azure Active Directory, Sur la page Nouveau groupe

Etape 13 : Ajouter ou supprimer les membres d’un groupe

Sélectionnez Azure Active Directory, puis Groupes, Sur la page Groupes - Tous les groupes, recherchez et sélectionnez le
groupe auquel vous souhaitez ajouter le membre.
Etape 14 : ajouter une licence à un groupe

Sélectionnez Azure Active Directory, Sélectionnez un groupe puis sur licence et sur affectations :
Etape 15 : Supprimer un groupe

Sélectionnez Azure Active Directory, puis Groupes, sur la page Groupes - Tous les groupes, Sélectionnez le groupe puis
cliquer sur supprimer.

6. Créer un rôle d'annuaire personnalisé et attribuer le rôle

Sélectionnez Azure active directory, puis sur rôles et administrateurs et sur nouveau rôle personnalisé :

Affecter le rôle à un utilisateur.

7. Utilisation du RBAC et Gestion des licences

Le contrôle d'accès basé sur les rôles Azure (Azure RBAC) est la façon dont vous gérez l'accès aux ressources Azure (déjà vu
sur les premiers chapitres). Exemple accordez à un utilisateur l'accès pour créer et gérer des machines virtuelles dans un
groupe de ressources.

Créer un groupe de ressources :

Accorder l'accès, dans la liste des Groupes de ressources, cliquez sur le groupe de ressources xafprod. Cliquez sur Contrôle
d'accès (IAM), Cliquez sur l'onglet Attributions de rôles pour afficher la liste actuelle des attributions de rôles.
Cliquez sur Ajouter, Ajouter une attribution de rôle pour ouvrir le volet Ajouter une attribution de rôle.

Le volet Ajouter une attribution de rôle s'ouvre, dans la liste déroulante Rôle, sélectionnez Contributeur de machine virtuelle.
Dans la liste Sélectionner, sélectionnez vous-même ou un autre utilisateur. Cliquez sur Enregistrer pour attribuer le rôle.

8. Joindre une machine Windows 10 à AAD

Windows 10 permet de joindre des périphériques à un annuaire Azure Active Directory. L’utilisation d’un compte Azure Active
Directory a de nombreux avantages notamment dans des scénarios de mobilité : Enregistrement automatique à la solution de
gestion de périphériques mobiles (MDM) pour certaines éditions de Windows 10 ; Single Sign-On sur des applications, sites
et ressources d’entreprise protégées par Azure Active Directory. Cela peut être des ressources Cloud (Office 365, etc.) ou on
Premise via Azure AD Application Proxy. Avant de pouvoir enregistrer un périphérique dans Azure Active Directory, vous
devez vous créer un compte Microsoft Azure et ajouter Active Directory.

Sur votre appareil Windows 10 cliquer sur paramètres, puis sur comptes, sur accès professionnel ou scolaire et sur se
connecter.
9. Mettre en place la réinitialisation de mot de passe en libre-service AAD

Azure Active Directory offre la possibilité d'activer la réinitialisation de mot de passe en libre-service pour les utilisateurs
finaux. Les réinitialisations de mot de passe peuvent également se synchroniser avec AD local. Pour l’activer, sélectionnez
Azure Active Directory, puis choisissez Réinitialisation de mot de passe dans le menu de gauche.
Dans la page Propriétés, sous l’option Réinitialisation de mot de passe en libre-service activée, choisissez Sélectionner un
groupe :

Dans la page Méthodes d’authentification du menu situé à gauche, affectez la valeur 2 au Nombre de méthodes à réinitialiser.
Choisissez les Méthodes disponibles pour les utilisateurs que votre entreprise souhaite autoriser.
Dans la page Notifications du menu de gauche, configurez les options suivantes : Définissez l’option Notifier les utilisateurs
lors des réinitialisations de mot de passe sur Oui. Définissez l’option Notifier tous les administrateurs quand d’autres
administrateurs réinitialisent leur mot de passe sur Oui. Pour appliquer les préférences de notification, sélectionnez
Enregistrer.

Tester le fonctionnement.

Paho3763
 10. Activation Azure Multi-Factor Authentication

Etape 1 : Créer une stratégie d’accès conditionnel

Sélectionnez Azure Active Directory, puis choisissez Sécurité dans le menu de gauche.
Sélectionnez Accès conditionnel, puis choisissez + Nouvelle stratégie.

Entrez le nom de la stratégie, par exemple DoubleAuthentificationMFA. Sous Affectations, choisissez Utilisateurs et groupes,
puis activez la case d’option Sélectionner des utilisateurs et des groupes. Cochez la case Utilisateurs et groupes, puis choisissez
Sélectionner pour parcourir les utilisateurs et les groupes Azure AD disponibles. Recherchez et sélectionnez votre groupe
Azure AD, par exemple LalaneO365E3, puis choisissez Sélectionner.

Etape 2 : Configurer les conditions pour l’authentification multi facteur

Sélectionnez Applications ou actions cloud. Vous pouvez choisir d’appliquer la stratégie d’accès conditionnel à Toutes les
applications Cloud ou Sélectionner des applications. Pour assurer la flexibilité, vous pouvez également exclure certaines
applications de la stratégie. Pour ce tutoriel, dans la page Inclure, choisissez la case d’option Sélectionner des applications.
Choisissez Sélectionner, puis parcourez la liste des événements de connexion disponibles qui peuvent être utilisés. Pour ce
tutoriel, choisissez Gestion Microsoft Azure afin que la stratégie s’applique aux événements de connexion sur le portail Azure.
Sous Contrôle d’accès, choisissez Accorder, puis assurez-vous que la case d’option accorder l’accès est sélectionnée. Cochez la
case Exiger une authentification multi facteur, puis choisissez Sélectionner.
Basculez Activer la stratégie sur Activé. Pour appliquer la stratégie d’accès conditionnel, sélectionnez Créer.

Tester le MFA
11. Configurer les mots de passe interdits dans AAD

Sélectionnez Azure Active Directory, puis choisissez Sécurité dans le menu de gauche. Sous le titre de menu Gérer,
sélectionnez Méthodes d’authentification et puis Protection par mot de passe

Affectez à l’option Appliquer la liste personnalisée la valeur Oui. Ajoutez des chaînes à la liste personnalisée de mots de passe
interdits, à raison d’une chaîne par ligne. Les considérations et limitations suivantes s’appliquent à la liste personnalisée de
mots de passe interdits. Gardez l’option Activer la protection par mot de passe sur Windows Server Active Directory avec la
valeur Non. Pour activer les mots de passe interdits personnalisés et vos entrées, sélectionnez Enregistrer.

12. Activation de la protection d'identité AAD

Azure Active Directory Identity Protection vous permet de détecter les vulnérabilités potentielles affectant les identités de
votre organisation, de configurer des réponses automatiques et d’examiner les incidents.

12.1. Notifications d’Azure Active Directory Identity Protection

Azure AD Identity Protection envoie deux types des courriels de notification automatisés pour vous aider à gérer le risque des
utilisateurs et les détections de risques :

Courriel Utilisateurs à risque détectés

Configurez le courriel Utilisateurs à risque sur le Portail Azure sous Azure Active Directory - Sécurité - Identity Protection -
Alertes Utilisateurs à risque détectés.

Courriel de synthèse hebdomadaire

En tant qu’administrateur, vous pouvez activer ou désactiver l’envoi d’un courrier de synthèse hebdomadaire et choisir les
utilisateurs affectés à la réception de celui-ci. Configurez le courrier de synthèse hebdomadaire dans le portail Azure sous
Azure Active Directory - Sécurité - Identity Protection - Synthèse hebdomadaire.
12.2. Configurer la stratégie d’inscription de l’authentification multi facteur

Azure AD Identity Protection vous permet de gérer le déploiement de l’inscription de l’authentification multi facteur (MFA)
en configurant une stratégie d’accès conditionnel dans le but de demander une inscription MFA, quelle que soit l’application
avec authentification moderne à laquelle vous vous connectez.

Accédez à Azure Active Directory - Sécurité - Identity Protection - stratégie d’inscription MFA. Sous Affectations Utilisateurs
: choisissez Tous les utilisateurs ou Sélectionner des personnes et des groupes. Sous Contrôles : Assurez-vous que la case à
cocher Exiger l’inscription Azure MFA est cochée, puis choisissez Sélectionner. Appliquer la stratégie – Activé.

12.3. Configurer et activer des stratégies de risque

Nous avons deux stratégies de risque que nous pouvons activer dans notre annuaire : stratégie en matière de risque à la
connexion et stratégie de risque d’utilisateur.

Accédez à Azure Active Directory - Sécurité - Identity Protection - Vue d’ensemble. Sélectionnez Configurer la stratégie
d’utilisateur à risque.
Sous Affectations Utilisateurs : choisissez Tous les utilisateurs ou Sélectionner des personnes et des groupes.

Conditions - Risque utilisateur : la recommandation de Microsoft consiste à définir cette option sur Élevé. Sous Contrôles
Accès : la recommandation de Microsoft consiste à Autoriser l’accès et à Exiger la modification du mot de passe. Appliquer la
stratégie – Activé Enregistrer : cette action a pour effet de renvoyer à la page Vue d’ensemble.

Sélectionnez Configurer la stratégie de connexion à risque.

Sous Affectations Utilisateurs : choisissez Tous les utilisateurs ou Sélectionner des personnes et des groupes si vous limitez
votre lancement. Si vous le souhaitez, vous pouvez exclure des utilisateurs de la stratégie. Conditions - Risque connexion : la
recommandation de Microsoft consiste à définir cette option sur Moyen ou plus. Sous Contrôles Accès : la recommandation
de Microsoft consiste à Autoriser l’accès et à Exiger une modification du mot de passe. Appliquer la stratégie – Activé –
Enregistrer.

12.4. Test de validation de l’application du MFA

13. Activation de Azure AD Privileged Identity Management

Azure Active Directory Privileged Identity Management (PIM) est un service qui vous permet de gérer, de contrôler et de
superviser l’accès aux ressources importantes de votre organisation. Ces ressources incluent des ressources dans Azure AD et
Azure ainsi que d’autres services Microsoft Online Services, comme Office 365 ou Microsoft Intune.

Pour utiliser Privileged Identity Management, votre annuaire doit avoir l’une des licences payantes ou d’essai gratuit suivantes
: Azure AD Premium P2 ; Enterprise Mobility + Security E5 ; Microsoft 365 M5.

Etape 1 : Élever l’accès d’un administrateur général

Ouvrez Azure Active Directory, sous Gérer, sélectionnez Propriétés, sous Gestion de l’accès pour les ressources Azure,
définissez la bascule sur Oui :

Etape 2 : Accorder l’accès pour gérer PIM

Ouvrir Privileged Identity Management :

Sélectionnez des rôles Azure AD, sélectionnez Rôles, Sélectionnez le rôle Administrateur de rôle privilégié pour ouvrir la page
des membres.

Etape 3 : activer un rôle Azure AD dans PIM - Administrateur d’authentification

Ouvrez Azure AD Privileged Identity Management, sélectionnez mes rôles, puis rôles Azure AD, pour afficher la liste de vos
rôles Azure AD éligibles, Sélectionnez Administrateur d’authentification
Puis sur Paramètres de rôle et sur modifier :
On va utiliser l’utilisateur Clay Diop pour tester l’éligibilité au groupe administrateur d’authentification. Créer un groupe pour
l’administrateur temporaire :
Ouvrir le groupe administrateur temporaire et activer l’accès privilégié :

Accédez au groupe Administrateur temporaire et ajouter l’utilisateur comme suit :

La dernière étape de la configuration consiste à attribuer le rôle Administrateur d’authentification au groupe que nous avons
créé à l'aide d'Azure AD PIM. Sur PIM cliquez sur les rôles Azure AD, sur Attributions et ensuite sur ajouter des attributions
enfin ajouter le groupe Administrateur temporaire comme suit : :
Pour tester la configuration, je me connecte au portail Azure sous le nom Clay Diop.
14. Personnaliser le verrouillage intelligent d’Azure Active Directory

Le verrouillage intelligent empêche les personnes malveillantes de deviner vos mots de passe ou d’utiliser des méthodes de
force brute pour rentrer dans vos systèmes.

Sélectionnez Azure Active Directory, sélectionnez Sécurité - Méthodes d’authentification - Protection par mot de passe.
Définissez le Seuil de verrouillage, c’est-à-dire le nombre d’échecs de connexions autorisé avant qu’un compte ne soit
verrouillé. La valeur par défaut est de 10. Définissez la Durée du verrouillage en secondes sur la durée en secondes souhaitée
de chaque verrouillage. La valeur par défaut est 60 secondes.

15. Installer Azure AD Connect

L’outil Microsoft Azure AD Connect a été conçu pour vous permettre d’atteindre et de remplir vos objectifs en matière
d’identité hybride. Elle fournit les fonctionnalités suivantes :

• Synchronisation de hachage de mot de passe : méthode d’authentification qui synchronise un hachage du mot de passe
AD local d’un utilisateur avec Azure AD.
• Authentification directe : méthode d’authentification qui permet aux utilisateurs d’utiliser le même mot de passe
localement et dans le cloud, mais sans nécessiter l’infrastructure supplémentaire d’un environnement fédéré.
• Intégration de fédération : la fédération est une partie facultative d’Azure AD Connect qui peut servir à configurer un
environnement hybride à l’aide d’une infrastructure AD FS locale. Elle offre également des fonctionnalités de gestion AD
FS telles que le renouvellement de certificat et les déploiements de serveurs AD FS supplémentaires.
• Synchronisation : ce composant est chargé de créer des utilisateurs, des groupes et d’autres objets, et également de
s’assurer que les informations d’identité relatives aux utilisateurs et aux groupes dans votre environnement local
correspondent à celles qui se trouvent dans le cloud. Cette synchronisation inclut également des hachages de mot de passe.
• Analyse du fonctionnement : Azure AD Connect Health peut assurer une supervision robuste et offrir un emplacement
central dans le Portail Azure pour la visualisation de cette activité.

L’installation du client Azure AD Connect doit être effectuée sur un serveur membre du domaine, Microsoft recommande de
ne pas installer le client Azure AD Connect sur un contrôleur de domaine.

Etape 1 : Installation personnalisée d’Azure AD Connect

[Link]
Téléchargez et exécutez le programme d’installation Azure AD Connect et cocher la case j’accepte le terme …, cliquer sur
continuer

Sur Personnaliser pour démarrer une installation des paramètres personnalisés et ensuite sur installer :

Dans l'onglet Connexion de l'utilisateur, vous devrez définir la sélection souhaitée de la méthode de connexion unique. Chaque
sélection peut ajouter plus d'étapes et d'exigences. Nous vous recommandons d'utiliser les options Synchronisation de hachage
de mot de passe ou Ne pas configurer.
Dans l'onglet se connecter à Azure AD, vous devrez saisir vos informations d'identification Active Directory, elles peuvent
également être appelées informations d'identification d'administrateur O365.

Dans l'onglet Connexion des annuaires, vous devrez entrer les informations de votre AD local en cliquant sur Ajout d’un
annuaire.

Dans l'onglet Connexion à Azure AD, nous vous recommandons de définir l'attribut sur site (dans ce cas, votre déploiement
sur site sera votre déploiement) à utiliser dans Azure AD sur userPrincipalName. Si votre domaine n'est toujours pas vérifié,
vous pouvez cocher la case « Continuer » sans aucun domaine vérifié pour continuer.
Sur le filtrage par domaine/unité d'organisation, laissez tout par défaut pour synchroniser l'intégralité des données du
répertoire. Vous pouvez également filtrer ces données en sélectionnant uniquement le domaine et les unités d'organisation
souhaités.

À partir de l'onglet Identification des utilisateurs, notre recommandation est de laisser les paramètres par défaut pour les
configurations de base, d'une forêt, d'un domaine, d'un AD Azure. Pour des configurations plus compliquées, vous voudrez
peut-être d'autres options où vous devrez faire correspondre vos utilisateurs à l'aide d'un attribut particulier dans tous les
répertoires. Sur l'option d'identification de l'utilisateur dans Azure AD, nous vous recommandons de laisser l'option par
défaut, le système l'utilisera pour générer un ID et l'utiliser pour mapper les utilisateurs dans le système.
Dans l'onglet Filtrage les utilisateurs et les appareils, vous pouvez synchroniser tous les utilisateurs et appareils ou vous pouvez
spécifier un groupe.

Dans l'onglet Fonctionnalités facultatives, sélectionnez toute fonctionnalité supplémentaire que vous souhaitez activer.
Chaque fonctionnalité a une icône pour plus d'informations sur la fonctionnalité.

Dans l’onglet Applications Azure AD choisir les applications Azure AD sur lesquelles vous voulez utiliser AAD Connect
Sur la fenêtre Attributs Azure AD couchez tout et de même que extension d’annuaire :

Sur l’onglet configurer cliquer sur installer pour démarrer l’installation :

Configurer la zone intranet pour les ordinateurs clients : Accédez à Configuration utilisateur\Modèles
d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet\Page de sécurité et
sélectionnez Liste des attributions de sites aux zones, comme sur l’image ci-dessous. Activez la stratégie, puis entrez l’élément
suivant dans la boîte de dialogue : Value : `[Link] Data : 1.

Celui-ci doit se présenter comme suit :

Vérification

16. Implémenter la synchronisation de hachage du mot de passe

Nous avons déjà configuré cette étape, Cliquer sur modifier la connexion utilisateur :
17. Implémenter l’écriture différée du mot de passe

La réinitialisation du mot de passe en libre-service Azure Active Directory, les utilisateurs peuvent mettre à jour leur mot de
passe ou déverrouiller leur compte en utilisant un navigateur web. Dans un environnement hybride, où Azure AD est connecté
à un environnement Active Directory Domain Services (AD DS) local, ce scénario peut entraîner une différence entre les mots
de passe des deux annuaires.

La réécriture du mot de passe peut être utilisée pour synchroniser les changements de mot de passe dans Azure AD sur votre
environnement AD DS local. Azure AD Connect fournit un mécanisme sécurisé qui renvoie ces changements de mot de passe
à un annuaire local existant d’Azure AD.

Etape 1 : Configurer les autorisations nécessaires pour la réécriture du mot de passe.

Sous Autorisations, cochez la case correspondant à l’option suivante : Réinitialiser le mot de passe.

Sous Propriétés, cochez les cases correspondant aux options suivantes : Écrire lockoutTime Et Écrire pwdLastSet

Pour que la réécriture du mot de passe fonctionne le plus efficacement possible, la stratégie de groupe pour Âge minimal du
mot de passe doit être définie sur 0. Ce paramètre se trouve sous Configuration ordinateur - Stratégies - Paramètres
Windows - Paramètres de sécurité - Stratégies de compte dans [Link].
Etape 2 : Activer la réécriture du mot de passe dans Azure AD Connect

Pour activer la réécriture de la réinitialisation du mot de passe en libre-service, commencez par activer l’option de réécriture
dans Azure AD Connect. À partir de votre serveur Azure AD Connect, effectuez les étapes suivantes :

Sur Azure AD Connect, sélectionnez configurer, Sur la page Tâches supplémentaires, sélectionnez Personnalisation des
options de synchronisation, puis cliquez sur Suivant. Sur la page Fonctionnalités facultatives, cochez la case située à côté de
l’option Écriture différée de mot de passe, puis sélectionnez Suivant.

Etape 3 : Activer la réécriture du mot de passe pour SSPR

Pour activer la réécriture du mot de passe sur Azure, sélectionnez Azure Active Directory, puis sélectionnez réinitialisation de
mot de passe et choisissez Intégration locale. Définissez l’option Réécrire des mots de passe dans votre annuaire local ? sur
Oui. Définissez l’option Voulez-vous autoriser les utilisateurs à déverrouiller les comptes sans réinitialiser leur mot de passe
? sur Oui.
Tester avec un compte local sur office 365.

18. Implémenter Azure AD Connect Health

Azure Active Directory (Azure AD) Connect Health fournit une supervision robuste de votre infrastructure d’identité locale.
Il vous permet de conserver une connexion fiable à Office 365 et Microsoft Online Services. Ces informations sont toutes
présentées dans le portail Azure AD Connect Health. Utilisez le portail Azure AD Connect Health pour voir les alertes, la
supervision des performances, l’analytique des utilisations et d’autres informations.

Etape 1 : Téléchargement et installation de l’agent Azure AD Connect Health Lien

Etape 2 : Installation de l’agent Azure AD Connect Health pour AD DS

19. Déployer Windows Hello Entreprise dans votre organisation

L’authentification Windows Hello entreprise est basée sur un mot de passe, l’authentification à deux facteurs.
Dans Windows 10, Windows Hello entreprise remplace les mots de passe par une authentification forte à deux facteurs sur les
PC et appareils mobiles. Cette authentification se compose d’un nouveau type d’informations d’identification utilisateur qui
est lié à un appareil et utilise un identificateur biométrique ou un code confidentiel.

L’authentification auprès de Windows Hello entreprise fournit une interface de connexion pratique qui permet d’authentifier
l’utilisateur dans Azure Active Directory et les ressources Active Directory. Les appareils joints Azure Active Directory
s’authentifient auprès d’Azure lors de la connexion et peuvent éventuellement s’authentifier auprès d’Active Directory. Les
appareils joints Azure Active Directory hybrides s’authentifient auprès d’Active Directory lors de la connexion et
s’authentifient auprès d’Azure Active Directory en arrière-plan.

WindowsHello résout les problèmes suivants liés aux mots de passe :

✓ Les mots de passe forts peuvent être difficilement mémorisables ;

✓ Les violations de serveur peuvent exposer les informations d’identification ;
✓ Les mots de passe sont sujets à des attaques par relecture ;
✓ Les utilisateurs peuvent exposer par inadvertance leur mot de passe.

Windows Hello offre une authentification biométrique fiable et totalement intégrée basée sur la reconnaissance faciale ou la
correspondance d’empreintes digitales.

20. Déployer de nouvelles méthodes d’authentification sans mot de passe

L’application Microsoft Authenticator vous permet de vous connecter à n’importe quel compte Azure AD sans utiliser de mot
de passe. Azure Multi-Factor Authentication, avec notifications push autorisées en tant que méthode de vérification.
Installation de la dernière version de Microsoft Authenticator sur des appareils exécutant iOS 8.0 ou une version ultérieure,
ou Android 6.0 ou une version ultérieure.

Etape 1 : Activer la connexion sans mot de passe :

Sélectionnez Azure Active Directory, sélectionner Sécurité - méthodes authentification - stratégie des méthodes
authentification. Sous Authentification sans mot de passe par téléphone, choisissez les options suivantes Activer - Oui Cible
- Tous les utilisateurs ou les utilisateurs sélectionnés Enregistrer pour définir la nouvelle stratégie :
Etape 2 : Inscription des utilisateurs et gestion de l’application Microsoft Authenticator
21. Entreprise-entreprise (B2B) documentation à faire par l’étudiant
22. Entreprise-client (B2C) documentation à faire par l’étudiant