Certification Microsoft Security, Compliance, and Identity Fundamentals (SC-900)

Microsoft Certified: Security, Compliance, and Identity Fundamentals

Mon expérience sur l’examen Microsoft Security, Compliance, and Identity Fundamentals (SC-900)

Pour mon second article concernant les certifications dans Cloud de Microsoft, je vais vous faire le débrief à chaud 😊. Pour rappel, la page d’inscription se trouve ici, et le contenu de la certification est téléchargeable .

Dans son contenu, je trouve que cette certification est très bien faite, car elle couvre un large spectre de la sécurité dans et autour du Cloud Microsoft. De mon point vue, les professionnels lancés sur le Cloud utilisent toujours plusieurs “modules” et ont besoin de tous les sécuriser :

  • Tous les ouvrants (Portes, fenêtres, trappe à chat, …)
  • Tous les équipements (Cuisinière, chaudière, machine à laver, …)
  • Tous les comportements (Enfants, chiens, chats)

Pardonnez-moi ces figures de styles, mais il est tard 😉

Solutions d'alarme sans fil Somfy Home ou système filaire, alarme63
La comparaison est facile mais le Cloud est une « grosse maison » nécessitant elle aussi de la vigilance et des mesures

Pour revenir au sujet principal, je vais essayer de découper chaque grand thème pour vous éclairer au mieux :

Modèle Zéro-Trust :

L’objectif principal est bien évidement de garantir en permanence que votre environnement est sain.

Cet objectif est atteint par la mise en place de moyens de protection définis et qui ne doivent pas être dérogés, à savoir :

  • Les identités sont sécurisées avec, par exemple, la mise en place de l’authentification multifactorielle.
  • Les terminaux sont eux aussi contrôlés. Le principe de compliance des terminaux dans Intune est un bon moyen de s’assurer que certaines données et donc certaines applications exigent ce prérequis pour laisser passer l’utilisateur.
  • La télémétrie est omniprésente. Les données et la télémétrie omniprésentes sont utilisées pour comprendre l’état actuel de la sécurité. Je pense ici à Microsoft Defender for Endpoint par exemple.
  • Zéro Trust veut dire zéro confiance. Il faut donc brider les accès ou les droits inutiles. Il est facile d’opérer de la sorte avec l’attribution de rôles temporaires (PIM) mais aussi grâce à des revues d’accès périodiques.
J’ai eu quelques questions sur le modèle Zéro-Trust, et je vous conseille de bien le comprendre. Voici une vidéo qui parcours le sujet en profondeur.

Modèle de responsabilité partagé :

Comme chez tous Cloud providers, un modèle de responsabilité partagé est instauré pour mettre les choses au clair en hébergeur et hébergé. Ici la question est assez générale, mais garder toujours en tête que vous êtes responsable de vos données et que Microsoft est responsable de l’infrastructure !

responsibility-zones - Petri

Chiffrement :

Une ou des questions aussi tombées pour moi était sur ce sujet. Rien de tel que la définition officielle : Le cryptage est la méthode par laquelle des informations sont converties en un code secret qui cache la véritable signification de ces informations.

Data Encryption: Why You Should Protect Your Business | Aureon
Le chiffrement ne concerne pas que les fichiers comme vous pouvez le voir ici.

Microsoft Trust Portal :

Sauf erreur, ce point est aussi abordé dans la MS-900. Ce portail Microsoft fournit une variété de contenu, d’outils et d’autres ressources sur les pratiques Microsoft en matière de sécurité, de confidentialité et de conformité.

Autant dire que les normes internationales ou nationales impactant le monde de la sécurité ou de la conformité se trouveront ici. On ne vous demandera pas de toutes les connaitre, mais de savoir que ces informations sont bien recensées ici.

Concept relatif à l’identité :

C’est un vaste sujet … mais je pense que la compréhension de celle-ci est fondamentale, car l’identité est au cœur du Cloud. Dans ce domaine la certification va parler principalement d’Azure Active Directory, mais pas seulement.

La différence entre autorisation (Authz) et authentification (Authn) est toujours bonne à connaitre.

Azure Active Directory :

Il faudra aller plus loin que la connaissances générales du portail Azure AD, car certaines questions portent sur des fonctionnalités assez précises.

Merci à Adam Marczak ;).

Par exemple, on pourrait vous demander de détailler la fonction d’Azure AD Password Protection :

Using the new Azure Active Directory password protection feature
Ce schéma est juste là pour vous faire peur, on n’ira pas jusque-là dans la SC-900 😉
Explication des différents signaux dans le processus d’authentification avec accès conditionnel.
Deux modèles d’identité sont représentés ici : Cloud et Hybrid.
On retrouve le principe d’accès conditionnel ici.

Azure AD est à mon sens le thème le plus exprimé dans cette certification. Prenez garde à ne pas négliger ce sujet. Il suffit de regarder la liste des services à connaitre dans le contenu de la certification :

  • Méthodes d’Authentification
  • Types d’identité
  • Self-service password reset
  • Password protection 😉
  • Authentification multifacteurs
  • Windows Hello for Business
  • Identités hybrides
  • Types d’utilisateurs (interne, Guest, …)
  • Accès conditionnel
  • Rôles
  • Privileged Identity Management (PIM)
  • Identity Protection

J’ai eu plusieurs questions sur ce dernier point. Vous trouverez ces principales fonctionnalités ici.

Sécurité au sein d’Azure :

Beaucoup de services aux fonctionnalités variées sont disponibles sur Azure. Certains sont plus utilisés que d’autres, mais connaître leurs principales caractéristiques est demandé dans cette certification. Par exemple :

A quoi sert Azure Bastion ? A créer une connexion sécurisée pour, par exemple, se connecter aux machines virtuelles sans exposer celles-ci avec une adresse IP publique.
A quoi servent les Network Security groups ? A filtrer le trafic réseau avec des règles de sécurité qui autorisent ou rejettent le trafic réseau entrant et sortant.
A quoi Azure Blueprint ? A première vue, on ne pensera pas à ce service pour la sécurité, pourtant Azure Blueprint va permettre l’intégration de rôles et de polices dans la récurrence des déploiements = sécurité !

Les composants de sécurité ne font pas tous dans votre examen, certains concepts sont aussi interrogés dans cette certification. Je pense par exemple au Secure Score. Intégré au Security Center, il va évaluer continuellement vos ressources, vos abonnements et votre organisation en recherchant d’éventuels problèmes de sécurité. Tout cela est compté sous forme de points ou de pourcentages :

Azure Defender et Azure Sentinel sont deux formidables outils, mais il peut être difficile de les comprendre au premier abord :

  • Azure Defender : version avancée d’Azure Security Center :
    • CSPM (gestion de la posture de sécurité cloud)Security Center est disponible gratuitement pour tous les utilisateurs Azure.
    • Protection de charge de travail cloud (CWP)Azure Defender, garantit une protection avancée et intelligente de vos ressources et charges de travail Azure et hybrides.
  • Microsoft Azure Sentinel = SIEM (Security Information and Event Management) et SOAR (Security Orchestrated Automated Response). Il va pouvoir se connecter à un grand nombre de sources de données pour placer votre œil en face de l’alerte de manière efficace et vous donner des moyens directs d’agir.

J’ai trouvé une vidéo aussi qui détaille bien les deux produits pour vous faire une meilleure idée :

Merci à John Savill 🙂

Intune (Microsoft Endpoint Manager) :

La gestion des Endpoints reste un aspect important de la sécurité, et Intune est là pour vous simplifier la vie. Lorsque les appareils sont inscrits et gérés dans Intune, les administrateurs peuvent par exemple :

  • Consulter les appareils inscrits et obtenir un inventaire des appareils qui accèdent aux ressources de l’organisation.
  • Configurer les appareils pour qu’ils respectent vos normes de sécurité et d’intégrité. Par exemple, vous souhaitez probablement bloquer les appareils jailbreakés.
  • Envoyer des certificats aux appareils pour que les utilisateurs puissent accéder facilement à votre réseau Wi-Fi ou utiliser un VPN pour se connecter à votre réseau.
  • Consulter les rapports sur les utilisateurs et les appareils conformes et non conformes.
  • Supprimer les données de l’organisation si un appareil est perdu, volé ou n’est plus utilisé.
On peut voir dans cette image que Intune peut aussi gérer des données d’entreprise dans des appareils personnels.

Sécurité au sein de Modern Workplace (Microsoft 365) :

On se rapproche ici de beaucoup de sujets abordés sur la certification MS-500. Rassurez-vous ! Aucun cas technique spécifique ne sera abordé dans cette SC-900, mais encore une fois il vous faut comprendre les principaux de concepts pour protéger votre environnement.

Vous retrouverez donc beaucoup d’éléments de sécurité liés aux comportements des utilisateurs dans Microsoft 365, mais aussi sur les données et leur protetion. Attendez-vous à avoir des questions d’ordre général :

  • Quelles sont les mesures en rapport avec Data Loss Prevention?
  • A quoi servent les sensitive labels ?
  • Que peut-on faire avec le service eDiscovery ?
DLP ?

Conclusion

Pour finir, beaucoup de concepts sont abordés dans cette certification. Après l’examen, je peux vous dire que cette certification pourrait être vue comme une première étape d’introduction à la MS-500.

Prenez le temps de suivre le programme donné par Microsoft ici.

Is it Zen, or just the art of getting things done? - BBC Worklife

Prenez surtout le temps de vous familiariser avec ces multiples portails :

Comme vous le voyez, il existe une multitude de portail à explorer pour maîtriser le sujet ! Mais tout n’est pas à connaitre, testez-les et voyez leurs fonctionnalités ne vous fera pas de mal 😉

Je trouve aussi que les Training Days organisés par Microsoft sont un bon moyen de se préparer à cet examen.

Pensez à partager dans les commentaires vos autres sources d’apprentissage, ou votre feedback sur l’examen 😊

J’ai gardé le meilleur pour la faim 😀

Bon examen !

Mise en place d’un Azure Disaster Recovery sur un environnement Windows Virtual Desktop

Dans le cloud, il faut anticiper les pannes. Au lieu d’essayer d’empêcher toutes les défaillances, l’objectif est de réduire les répercussions d’une défaillance potentielle au niveau de chaque composant. Dans ce cas, les stratégies de sauvegarde et de récupération deviennent importantes.

Azure propose une solution de récupération d’urgence de bout en bout, simple, sécurisée, évolutive et rentable, qui peut être intégrée à des solutions locales de protection des données. Il est donc possible d’assurer une continuité de service par la réplication des ressources sur une seconde région.

Voilà pour la définition officielle côté Microsoft.

Je trouve cette image d’architecture assez parlante : le but d’un Disaster Recovery est bien de répliquer un site de production existante vers un second site, et d’assurer une synchronisation des données pour avoir une reprise d’activité des plus performantes.

Voici un exemple d’architecture Azure, redondée en totalité sur une seconde région Azure.

Contexte : Windows Virtual Desktop

Pour les architectures basées sur Windows Virtual Desktop, le fonctionnement est identique : je vais répliquer les services suivants dans une seconde région Azure :

  • Active Directory : ici Azure Active Directory Domain Services
  • Machine virtuelle : composant principal de WVD
  • Disque managé : utilisé pour OS
  • Compte de stockage : utilisé pour les profils utilisateurs via la solution FSLogix

Il est également possible de répliquer les ressources propres à Windows Virtual Desktop dans une seconde région, telles que :

  • Host Pool
  • Workspace
  • Applications groups

Je ne vais pas faire cette réplication globale dans ce billet, car je souhaite vous montrer ici le processus d’auto-enrôlement des machines virtuelles, issues du Test Failover, directement dans l’environnement Windows Virtual Desktop existant.

Je vais détailler de manière assez rapide la mise en place du premier environnement de production WVD, hébergé sur Suisse Nord. Cela reste un déploiement classique, car il ne nécessite pas de spécificités particulières pour la mise en place du Disaster Recovery, installé dans un second temps.

  1. Création d’un domaine Active Directory

La première étape consiste à la création du domaine. Cette solution est obligatoire pour la mise en place de tout environnement Windows Virtual Desktop.

Comme indiqué plus haut, j’ai choisi d’utiliser le service Azure Active Directory Domain Services. Pour rappel, il s’agit d’un domaine managé par Microsoft et c’est une ressource unique par Tenant :

What are the Differences Between Azure Active Directory and Azure Active  Directory Domain Services?

Alternative : Il est malgré tout possible de choisir un serveur Active Directory sur une machine virtuelle.

Voici une vidéo très explicative de Travis Roberts, qui montre les différences entre Active Directory, Azure Active Directory et Azure Active Directory Domain Services

Pour pouvoir répliquer mon service AADDS dans une seconde région Azure, j’ai choisi le SKU “Enterprise” car le SKU “Standard” ne permet pas d’utiliser la fonction Réplica Set. Pas de panique, ce SKU reste modifiable, même après la création du service AADDS et comme expliqué ici. :

Merci à AnubhavinIT pour cette démonstration d’installation d’AADDS.

2. Création d’une image pour les machines virtuelles

Encore une fois, je ne vais pas m’étendre en détail sur ce processus de création d’une image pour votre environnement Windows Virtual Desktop. A vrai dire, il ne diffère en rien de la préparation d’une image en dehors du cloud. L’idée générale ici est de créer un ensemble d’applicatifs et de configurations pour automatiser le processus de création de machines virtuelles dans votre environnement WVD.

La dernière vidéo complétement déjantée de Dean Cefola le montre très bien 😉.

3. Création d’un environnement Windows Virtual Desktop

Une fois l’image “prête à l’emploi”, nous allons pouvoir créer notre environnement Windows Virtual Desktop. Cette création va mettre en place les ressources Azure suivantes :

  • Host pool
  • x machine(s) virtuelle(s)
  • Workspace
  • Applications groups

Pour être toujours complet dans le processus de création WVD, je vous conseille cette vidéo de Mike Rodrick sur cette étape.

4. Mise en place du compte de stockage FSLogix

Le service Windows Virtual Desktop recommande les conteneurs de profils FSLogix en tant que solution de profil utilisateur. FSLogix est conçu pour l’itinérance des profils dans des environnements informatiques à distance, comme Windows Virtual Desktop. Il stocke un profil utilisateur complet dans un seul conteneur.

Source : Microsoft
FSLogix on Twitter: "New Microsoft learn module: Separate user profiles  from virtual machines with FSLogix profiles within Windows Virtual Desktop.  Learn more here: https://t.co/LlzMPK43Oa… https://t.co/mRbliUqBIo"
L’idée générale de séparer le profil utilisateur de la VM permet faciliter la mise à jour des images, de laisser l’utilisateur se connecter sur une autre VM en y retrouvant toutes ses applications et ses datas.
Pour comprendre en détail son fonctionnement et son utilité dans notre architecture WVD, quoi de mieux que de demander encore une fois à Dean.

Point important : L’installation de FSLogix nécessite quelques étapes, notamment au niveau de l’application des droits utilisateurs sur le file share (NTFS + RBAC).

Une bonne vidéo vaut toujours que de longues explications, merci Travis Roberts.

5. Mise en place du Disaster Recovery via Azure Site Recovery

Notre environnement de production de Windows Virtual Desktop est maintenant prêt, nous allons pouvoir commencer la mise en place de la solution de Disaster Recovery.

Pour vous assurer que les utilisateurs peuvent toujours se connecter pendant une panne de région, vous devez répliquer leurs machines virtuelles à un autre emplacement. En cas de panne, le site principal bascule vers les machines virtuelles répliquées dans l’emplacement secondaire. Les utilisateurs peuvent continuer à accéder aux applications à partir de l’emplacement secondaire sans interruption. En plus de la réplication de machine virtuelle, vous devez conserver les identités utilisateur accessibles à l’emplacement secondaire. Si vous utilisez des conteneurs de profils, vous devrez également les répliquer. Enfin, assurez-vous que vos applications d’entreprise qui reposent sur les données de l’emplacement principal peuvent basculer avec le reste des données.

Source : Microsoft

Dans mon cas, je vais utiliser le service Azure Site Recovery pour assurer la réplication des machines virtuelles. En effet ce service assure une réplication constante des données dans Azure.

Attention : pour faire un DR complet, il faudra aussi prendre en considération la réplication du compte de stockage utilisé pour les profils gérés par FSLogix.

Activer la réplication d’une machine virtuelle peut se faire directement depuis l’interface de la VM.

Je vais pouvoir choisir ma région de réplication et personnaliser certains paramètres de configuration. Il n’est pas obligatoire de localiser la réplication sur la région paire de la première. Des coûts de bande passante entre région seront évidemment facturés par Microsoft.

J’ai déjà créé au préalable un premier groupe de ressources et un premier réseau virtuel dans ma seconde région, j’ai donc pu les sélectionner sans souci.

On peut donc démarrer la réplication juste après :

Ce processus d’initialisation prend un peu de temps, mais peut-être suivi par les notifications Azure.
Une fois la première réplication entièrement terminée, nous retrouvons sur la machine virtuelle son état de DR et toutes les informations associées.
Voici les ressources Azure créées dans la seconde région Azure. Finalement, nous n’avons qu’un compte de stockage et qu’un réseau virtuel.

Avant de démarrer la bascule des VMs dans WVD vers la seconde région Azure, je souhaite vous montrer l’état d’environnement de Windows Virtual Desktop :

Le Remote Desktop est bien accessible aux utilisateurs via l’application WVD Remote Desktop ou l’accès WEB.

Pour vérifier le bon fonctionnement du Disaster Recovery, qui je le rappelle doit TOUJOURS être déclenché manuellement, nous allons utiliser la fonction “Test Failover” de ce dernier :

  • Je commence par éteindre les machines virtuelles WVD déjà présentes sur Suisse Nord.
  • Je déclenche le Test Failover sur la ou les VMs WVD.
Un DR, exercice ou non, doit TOUJOURS être déclenché manuellement

Pourquoi cela ?

Cela tient à une propriété d’enrôlement automatique des machines virtuelles à WVD.

Du fait que les nouvelles machines virtuelles vont avoir le même nom de machine que les précédentes, je souhaite vous montrer ici l’interruption de service, puis la reprise d’activité avec les nouvelles machines dans la seconde région Azure :

L’arrêt des machines virtuelles entraîne un service indisponible dans Windows Virtual Desktop.

Une fois le failover déclenché sur les deux machines virtuelles de mon environnement WVD, on retrouve toutes les nouvelles ressources Azure, automatiquement créées dans la seconde région Ouest Europe :

Copie d’écran des ressource présentes dans le groupe de ressources ASR.
Copie d’écran de ma liste de VMs : on retrouve bien donc deux VMs allumées (Ouest Europe) et deux VMs éteintes (Suisse Nord).

Résultat constaté : quelques minutes plus tard, je retrouve donc un environnement Windows Virtual Desktop opérationnel, sans aucune action supplémentaire de ma part :

Attention une VM qui passe peut en cacher une autre ! On peut noter que la région indique toujours la Région Azure Suisse nord car l’enrôlement de la nouvelle machine virtuelle s’appuie toujours sur les propriétés de la machine originelle.

Côté utilisateur : les utilisateurs peuvent donc se reconnecter à Windows Virtual Desktop :

Aperçu utilisateur via l’application Remote Desktop dédiée à Windows Virtual Desktop.

Note : Une fois le test de Failover réussi, pensez à nettoyer les ressources créées pour l’occasion et rallumer les machines virtuelles de production :

Une fonctionnalité de nettoyage des ressources issues du test du DR est directement disponible ici.

Résultat attendu :

Une fois le nettoyage démarré et les VMs de production rallumées : les machines virtuelles de production reprendront leur place dans l’host pool de Windows Virtual Desktop :

Le statut des VMs dans le host pool WVD retourne en « Unvailable » lorsque je le nettoie les ressources issue du test du Failover.
Le statut des VMs de retourne en « Available » lorsque je redémarre les machines de productions dans Suisse Ouest.

Conclusion

J’espère avoir été assez claire dans ce billet pour vous permettre de faire votre propre test dans votre environnement Windows Virtual Desktop.

Attention rappel, je n’ai pas parlé de la réplication de compte de stockage pour FSLogix, lui aussi à prendre en compte dans une solution de disaster recovery complète.

N’hésitez pas à faire part de vos réactions ou questions dans les commentaires 😊

Certifications et Expériences

Certifications validées :

  • ETS Global – TOEIC® Listening and Reading Test 925/990 (2020)
  • PRINCE2® 6è édition Foundation (2020)
  • SCRUM – Professional Scrum Master I (2020)
  • SCRUM – Professional Scrum Product Owner (2020)
  • Microsoft – Azure Fundamentals AZ-900 (2020)
  • Microsoft – Fundamentals MS-900 (2020)
  • Microsoft – Azure Administrator Associate AZ-104 (2020)
  • Microsoft – Power Platform Fundamentals PL-900 (2020)
  • Microsoft – Azure Data Fundamentals DP-900 (2020)
  • Microsoft – Azure AI Fundamentals AI-900 (2020)
  • Microsoft – Security Administrator Associate MS-500 (2020)
  • Microsoft – Dynamics 365 Fundamentals MB-901 (2021)
  • Microsoft – Microsoft Certified Trainer MCT (2021-2022)
  • Microsoft – Azure Solutions Architect Expert AZ-303 & AZ-304 (2021)
  • Microsoft – Azure Security Engineer Associate AZ-500 (2021)
  • Microsoft – Enterprise Administrator Expert MS-100 & MS-101 (2021)

Expériences :

  • Conseil Régional Languedoc-Roussillon (2007)
  • HiBGest (2008-2019)
  • SHOD’is SA (2019-2020)
  • Tech Data (2020->)

Jean-Loup O.

Je m’appelle Jean-Loup Orgitello, je travaille chez Tech Data depuis 2020 en tant qu’Azure Pre-Sales Specialist dans le canton de Vaud. Avant cela, j’ai travaillé pendant plus de 12 ans, en tant autre comme consultant fonctionnel, chez un éditeur privé pour un système de gestion comptable proche d’une solution ERP.

J’ai démarré l’informatique à l’âge de 8 ans. Depuis toujours, ma volonté d’apprendre et ma curiosité m’ont permis de bâtir mes connaissances techniques principalement par de l’auto-formation. Mes 14 années d’expériences professionnelles m’ont apporté les compétences et la maîtrise sur l’ensemble du processus de création logiciel. Les différentes phases (prospection, commerciale, conception, recette, intégration, formation) n’ont plus de secret pour moi.

Azure a été pour moi une véritable découverte en 2019. Cela m’a permis de comprendre que l’informatique évolue continuellement, avec ou sans nous. Depuis cette date, j’ai souhaité orienter ma carrière dans le domaine du Cloud afin de suivre les nouvelles demandes des utilisateurs, et de leur apporter des solutions innovantes et adaptées au monde de demain.

Enfin je tiens également à préciser que je ne suis pas rémunéré par Microsoft. Je souhaite avant tout et par ce blog, élargir le cercle des “connaisseurs” du Cloud, et plus particulièrement sur Azure, afin que d’autres puissent comme moi faire évoluer leur carrière sur les dernières innovations de l’informatique.

Ayant passé plusieurs certifications sur le Cloud Microsoft et acquis le titre de Microsoft Certified Trainer (MCT), je ne cherche pas non plus à me faire de l’auto-publicité, mais simplement partager avec vous les produits et fonctionnalités développées dans le Cloud afin de trouver ensemble des bénéfices pour les projets ou les clients avec lesquels nous travaillons tous quotidiennement.

Installé avec ma famille dans le bassin genevois, j’ai souhaité écrire ce blog en français car, comme beaucoup de professionnels de l’informatique, mes journées se font en anglais. En recherche continuelle d’informations sur la toile, l’idée m’a paru séduisante de l’écrire dans la langue de Molière pour permettre à toujours plus de monde d’apprendre et d’échanger.

Molière (1622 – 1673)

Je vous souhaite une bonne lecture et n’hésiter par me contacter ou retrouver mon profil sur LinkedIn.

Mettre en place un Disaster Recovery sur Suisse Ouest

Carte représentant les régions Microsoft Azure à travers le monde
(Crédits : Microsoft)

Un des plus grands atouts de Microsoft Azure est bien le nombre de régions disponibles à travers le monde. A l’heure j’écris ce billet, nous pouvons déjà compter sur plus de 65 régions disponibles. Par région, j’entends que chacune d’entre elle dispose d’un ou plusieurs centres de données, appelés également zone de disponibilité.

Quoi de neuf en 2021 ?

L’année 2021 va continuer sur cette forte progression puisqu’il a été annoncé lors de l’Ignite 2021, que chaque région Azure aura droit à des zones de disponibilités en son sein. Aucun calendrier précis n’a été communiqué pour l’heure.

En revanche, chaque région Azure disponible se retrouve liée à une région paire au sein de la même zone géographique. Ces deux régions sont donc spécéfiquement reliées pour obtenir une faible latence mais aussi des services supplémentaires, comme de la continuité d’activité en cas de grand sinistre.

Les régions paires ne sont jamais mises à jour en même temps. La région paire va servir de stockage de secours pour les ressources configurées en GRS (Geo-redundant storage)

Pour tout comprendre sur les principes de régions et de disponibilités, je ne peux que vous conseiller l’excellente vidéo de Travis Roberts :

Et la Suisse dans tout ça ?

Microsoft Azure est implanté sur le territoire Suisse depuis 2019. Cela rend possible la mise en place d’un nouveau tenant 365 dans le pays helvétique, mais aussi le placement de ressources Azure. Il s’agit ici d’une évolution importante pour les entreprises et les organisations ayant des besoins en matière de résidence, de sécurité et de conformité des données.

Azure est présent sur Suisse dans deux régions distinctes: la Suisse occidentale située à Genève et la Suisse du Nord située à Zurich.

Deux régions Azure sont donc disponibles sur Suisse, mais cela ne veut pas dire que les deux sont accessibles pour tous. En effet, la région Suisse Nord reste à ce jour la région principale pour cette zone géographique. Il est malgré tout possible de faire une demande auprès de Microsoft pour installer des environnements de production sur Suisse Ouest, mais cette demande devra être motivée par son caractère stratégique et/ou critique.

Et si l’on souhaite mettre un disaster recovery sur la région paire ?

Pour rappel, un disaster recovery est une solution de réplication vers un lieu géographique éloigné pour assurer une continuité de service. L’intérêt de ce type de service est de limiter certains coûts liés à l’infrastructure secondaire. En effet, Azure propose un service appelé Azure Site Recovery, qui va se charger de répliquer les données en continu. Les ressources ne sont créées qu’en cas de failover (bascule). On ne paye donc que pour le stockage répliqué sur la seconde région. Ce schéma ci-dessous montre bien l’effort d’architecture pour assurer une continuité pour les 3 couches de service en cas de grand sinistre :

Azure Site Recovery | Microsoft Azure
Exemple de réplication d’architecture entre deux régions Azure. Traffic manager sera en mesure de détecter tout seul que la première région ne répond plus aux requêtes et pourra donc rediriger tous les flux vers la seconde région.

Pour installer notre Azure Site Recovery en Suisse Ouest, nous aurons donc besoin au préalable de faire une demande auprès des services de Support Microsoft. Un processus de demande d’accès aux régions Azure est disponible ici. A noter qu’en cas d’achat des ressources Azure par un Cloud Service Provider (CSP), cette demande devra être faite directement auprès de leurs services afin d’être correctement traitée. Une fois la demande validée par Microsoft, vous pourrez donc avoir « Suisse Ouest » dans la liste des régions disponible lors de la création de votre Azure Site Recovery.

Microsoft Azure Regions in Switzerland now available - Thomas Maurer

Vous voilà prêt à mettre tout ça en place !

Quelques conseils :

  • La création du groupe de ressource devra aussi faire sur la région paire (Suisse Ouest). Vous pourrez rencontrer un blocage lors de la configuration de la réplication avec Azure Site Recovery si ce dernier se trouve également dans un groupe de ressource créé sur Suisse Nord. Après réflexion, cela semble logique car le sinistre risquerait d’empêcher d’accéder à votre ressource, située dans une autre région non impactée, mais dont son groupe de ressource l’est potentiellement.
  • Comme toujours, avant toute mise en place de ressource Azure, vérifier la disponibilité de tous les services nécessaires dans ladite région, afin de vous retrouver bloqué en milieu de déploiement.

Certification Windows Virtual Desktop (AZ-140)

AZ-140 Configuring and Operating Windows Virtual Desktop on Microsoft Azure  – My Tips – Mr T-Bone´s Blog

Mon expérience sur l’examen Windows Virtual Desktop (AZ-140)

Fin mars 2021, une nouvelle certification Microsoft Azure a vu le jour et elle se consacre uniquement à seul produit : Windows Virtual Desktop. Pour rappel, Windows Virtual Desktop (aussi appelé WVD) est une plateforme lancée en septembre 2019 de type « Desktop-as-a-Service » (DaaS) sur Microsoft Azure qui offre la meilleure expérience virtuelle de Windows et de Microsoft Office. Voilà pour la définition officielle.

Comme pour la certification SAP sur Azure, le but de cette certification est de valider des connaissances sur les caractéristiques de WVD, mais aussi d’être en en mesurer déployer cette solution selon plusieurs scénarios et contraintes possibles :

  • Migration d’un environnement RDS existant en y simplifiant le management
  • Création d’un nouvel environnement de virtualisation sécurisé et moderne
  • Apporter de la continuité pour des applications “Legacy” qui fonctionne encore sur Windows 7
Microsoft-WVD-logo - Poppelgaard.com

Ayant passé cette certification début avril 2021, encore en version Beta, je vais vous partager mon retour d’expérience sur cet examen en attendant les résultats finaux, afin de vous aider au mieux sur le contenu à maitriser.

Pour rappel, le contenu exact est aussi disponible sur la page de la certification AZ-140 (ici). Vous pouvez aussi le télécharger au format PDF à partir de ce lien.

Free GED Study Guides - Magoosh GED Blog | Magoosh GED Blog

On va donc retrouver différents sujets dans cette certification, dont les principaux pourraient être :

  • Architecture on-premise existante : vous avez de fortes chances de vous retrouver avec un ou plusieurs use-cases. Ces derniers partiront certainement d’une architecture on-prem existante, avec des contraintes à respecter pour migrer sur WVD. Le cas assez classique pourrait être un multisites avec un siège et succursales ayant des besoins variés et des contraintes de distances.
Google Ethernet Cables Labeled With Cut Here To Activate Firewall
  • Connaissances des réseaux sur Azure : là encore c’est un grand sujet de presque toutes les certifications Azure. La maîtrise de la solution WVD passe par la mâitrise de ses exigences réseaux. Il n’est quand pas utile de connaître cette liste de ports et d’URLs par coeur ! Mais on va vous demander de bien connaître les réseaux utilisés, notamment pour la partie dédiée utilisateur (ex spécificité iOS). Vous pourrez également avoir des questions sur les accès par lien VPN ou le peering entre v-net.
  • Active Directory : Composante fondamentale d’un environnement Windows Virtual Desktop, vous pouvez être sûr que des questions vont concerner ce sujet. Les possibilités de monter environnement WVD sont variées concernant ce point et nécessite d’en avoir testé au préalable plusieurs. Attendez-vous aussi avoir des connections sur le très célèbre Azure AD Connect.
WVD Classic | Windows Virtual Desktop - #8 - WVD Azure ADDS - YouTube
L’utilisation d’un domaine managé, tel que d’AADDS est un moyen simple et rapide d’installer la solution pour des entreprises Cloud-only. Il comporte malgré tout quelques contraintes avant de le choisir.
How to add a session host to a Windows Virtual Desktop Host Pool ?
Autre cas avec un Active Directory hébergé dans une seconde région Azure.
A noter ici la présence d’un point of failure : Si la région Azure UK South devient inaccessible, les utilisateurs se connectant sur la région East US ne pourront qu’attendre qu’un rétablissement de service
  • Architecture Windows Virtual Desktop : il sera question de vérifier ici vos connaissances concernant les grandes notions techniques qui compose la ressource WVD : Host pool (Pooled / Personnal) – Workspace – Applications group. Savoir ce que chacun, savoir ce qu’il fait et connaître leurs principales options est évidement de rigueur.
https://raw.githubusercontent.com/DeanCefola/Azure-WVD/master/WVD%20Hack%20Network%20Architecture.png
Merci à Dean Cefola qui anime sur YouTube la chaîne Azure Academy pour cet exemple d’architecture WVD multisites
  • Estimation du coût de l’architecture : cette notion est présente dans cette certification, comme dans la certification « Microsoft Azure Architect Design » AZ-304. L’idée ici n’est pas de connaitre tous les prix en $ ou en €, mais d’avoir une idée des gammes de produits de des coûts potentiels. Vous penserez à cela quand la question comportera la remarque « La moins chère possible ». Petite anecdote : AD DF et « La moins chère possible » font rarement bon ménage !
Migration des Profils CITRIX UPM vers FSLOGIX en « oneshot » – Xavier  BIANCHI #SysAdmin
  • FSLogix : grand gagnant de l’architecture WVD, cette solution a montré ses qualités (souplesse de configuration, performances, facilité de management, …) et reste une valeur sûre dans le jeu de questions que vous pourrez avoir. Pour rappel, FSLogix a été acquis par Microsoft automne 2018. Il faut donc vous attendre à des questions sur son périmètre d’installation (type de storage, SKU, …) et ses principales fonctionnalités (Cloud cache , App masking, configuration Regedit, … ). Ne pas être surpris non plus d’avoir aussi des questions sur la gestion des droits (RBAC ou NTFS)
Tout savoir sur la pomme Golden | Potager City
  • Gestion des golden images : une bonne pratique a la mise en place d’un remote desktop passe par l’utilisation d’images préconfigurées et mises régulièrement à jour afin de gérer la solution WVD dans les conditions les plus sécurisées. On souhaite donc savoir ici si vous maîtriser le process de création des images (sysprep, capture, …) et leur gestion en exploitation (shared image galery et autres)
  • Connaissances des rôles WVD : De manière bien large, la construction de ressources sur Azure passe toujours par l’attribution des bons droits (ni trop, ni trop peu). Plusieurs roles WVD ont donc été créés dans le scope Azure RBAC, mais aussi d’autres liés à exploitations des autres ressources tels que les machines virtuelles ou encore les comptes de stockages. Ici donc, il faut aller plus loin que « Owner », « Contributor » et « Reader »
  • Sécurité : Comme les autres application SaaS, l’accès conditionnel d’Azure AD est aussi de la partie sur Windows Virtual Desktop. Il est en effet possible de créer des règles exigeant l’utilisation de postes « compliant » ou encore d’exiger l’autentification multifacteur. Profitez-en pour faire une piqûre de rappel sur cette partie, cela ne fait jamais de mal !
Step-by-Step Guide To Securing Windows Virtual Desktop With MFA
Attention, il subsiste encore les applications WVD « Legacy ou classic » dans le listing. La dernière en date est « 9cdead84-a844-4324-93f2-b2e6bb768d07 »
  • Expérience utilisateur : en relisant la liste des compétences mesurées pour l’AZ-140, je vois que l’on attendsde vous de savoir configurer Universal Print, MSIX App Attach, Teams AV Redirect et autres. Honnêtement, je n’ai pas souvenir d’avoir eu des questions sur ces points mais d’autres sont plus successible de tomber comme le timeout ou encore sur les propriétés RDP.
  • Sauvegarde : point capital dans toute architecture informatique, il faut savoir ce qui est capital de sauvegarder et ce qui ne l’est pas ! Prenez le temps de faire des tests sur ce chapitre. Recovery Services vault est un outil assez complet avec les backups et les fonctionnalités de DR intégrées.
  • PowerShell et Azure CLI : je pense que ce point est réduit puisque presque tous les commandes WVD sont aussi disponible dans le portail Azure. Néanmoins je pense encore que certaines actions, comme joindre un compte de stockage à un domain AD, sont toujours faisable uniquement via ligne de commande
  • Monitoring de la solution WVD : Plusieurs outils sont disponibles pour monitorer toute la solution. Comme à chaque fois, Azure est toujours généreux dans sauvegarde de logs et de métrics dans un Log analytics workspace ! Il s’agit aussi d’un sujet à lui tout seul, tellement l’espace et les possibilités sont grandes.

Au final et comme toujours, le passage par la case pratique est obligatoire pour réussir cette certification Windows Virtual Desktop. Pensez-à prendre en compte des variations de scénarios pour voir les différents cas de figure.

Voici quelques liens qui m’ont été utile pour préparer mes connaissances :

Pensez à partager dans les commentaires vos autres sources d’apprentissage, ou votre feedback sur l’examen 🙂