Démarrez Copilot pour Microsoft 365 sur votre tenant

Microsoft vient de faire une grande annonce il y a seulement quelques heures : Copilot pour Microsoft 365 est maintenant accessible au grand public et à toutes les organisations. Quelles sont les contraintes ? Comment cela se passe au niveau du tenant ? Nous essaierons de répondre à plusieurs questions et testerons la mise en place d’une licence Copilot pour Microsoft 365.

Copilot pour Microsoft 365 n’est-il pas déjà accessible depuis le dernier Ignite en 2023 ?

C’est en partie vrai. L’une des grandes annonces du dernier Ignite portait sur la GA de Copilot pour Microsoft 365, uniquement pour les grandes entreprises. La commande minimale de Copilot pour Microsoft 365 était alors 300 sièges et nécessitait également des licences 365 Enterprise E3 ou E5.

A 30$ par utilisateur, la facture de Copilot pour Microsoft 365 pouvait paraitre assez salée.

Annoncé mi-décembre pour début janvier, Copilot pour Microsoft 365 était alors aussi accessible aux écoles disposants de licences Microsoft 365 A3 ou A5. Avec toujours la même règle : 30 dollars par utilisateur et par mois, et avec un minimum de 300 places par tenant.

Qu’est-ce que Microsoft a changé sur le modèle de licence ces dernières heures ?

Comme indiqué en début d’article, Copilot pour Microsoft 365 est maintenant accessible au grand public et à toutes les organisations.

Autrement dit, il est possible de :

N’acheter qu’une seule licence Copilot pour Microsoft 365 et non plus 300
Ne pas disposer obligatoirement de licences Microsoft 365 E3 ou E5
D’acheter des licences Copilot pour Microsoft 365 via le CSP

Mais il reste encore quelques exigences pour que les utilisateurs puissent profiter de Copilot pour Microsoft 365 :

Si < 299 utilisateurs (Business) : Disposer de licences Microsoft 365 Business Standard ou Premium pour les utilisateurs ayant Copilot pour Microsoft 365
Si >= 300 utilisateurs (Enterprise) : Disposer de licences Microsoft 365 Enterprise E3 ou E5 pour les utilisateurs ayant Copilot pour Microsoft 365
Le prix reste de 30$ par utilisateur et par mois
L’engagement minimum est d’une année pour les licences Copilot pour Microsoft 365

Qu’est-ce que Copilot pour Microsoft 365 ?

Afin de vous faire une meilleure idée, voici une très courte vidéo expliquant l’audacieux mélange entre une IA, les données provenant de 365 (ou d’ailleurs) et les outils que composent la suite 365 :

Un article parlant des multiples Copilots a d’ailleurs écrit sur ce blog juste ici. Enfin voici quelques liens utiles à propos de Microsoft Copilot for Microsoft 365 :

Comment démarre-t-on Copilot pour Microsoft 365 ?

La mise en place de Copilot pour Microsoft 365 est assez facile, mais la préparation demande un peu plus de temps. En effet, Copilot pour Microsoft 365 est mesure de « piocher » dans les données de votre entreprise. Ces dernières doivent donc être accessibles, protégées et structurées.

La préparation du tenant va donc principalement porter sur les points suivants :

Préparez vos données et vérifiez que tous les contrôles de sécurité, de confidentialité et de conformité sont en place. Copilot hérite de vos autorisations et de vos politiques existantes, et le fait de s’assurer que celles-ci sont en place contribue à un déploiement transparent. Effectuez des vérifications d’accès … utilisez des étiquettes de sensibilité pour protéger les données importantes et validez les politiques de prévention des pertes de données, de conservation et de conformité.

Examinez les conditions préalables pour Copilot en examinant la vue d’ensemble et les exigences pour Microsoft 365 Copilot afin de positionner votre tenant pour déployer Copilot de manière transparente. (Guide de configuration)

Familiarisez-vous avec les contrôles administratifs disponibles pour gérer Copilot dans la page Copilot du centre d’administration Microsoft 365.

Développez votre stratégie d’adoption en exploitant les ressources disponibles sur notre site d’adoption, y compris ce kit d’adoption et ce kit d’outils d’accueil des utilisateurs.

Vérifiez l’état de préparation, mesurez l’adoption et l’impact grâce au tableau de bord Microsoft Copilot (préversion) dans Viva Insights ou PowerBi qui aide les organisations à maximiser la valeur de Copilot pour Microsoft 365.
Microsoft Tech Community

Afin d’aller plus loin dans la démonstration, j’ai la possibilité d’acheter une licence Copilot pour Microsoft 365 sur un tenant de test afin de visualiser sa mise en place.

J’ai souhaité uniquement suivre les conditions requises dictées par Microsoft, accessibles depuis cette page.

Les tâches que nous allons réaliser seront donc les suivantes :

Important : un sujet majeur à la mise en place de Copilot pour Microsoft 365 concerne les Données, la confidentialité et la sécurité pour Microsoft Copilot pour Microsoft 365. Cela n’est pas abordé dans cet article et fera l’objet d’une publication ultérieure.

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice sur Copilot pour Microsoft 365, il vous faudra disposer des éléments suivants :

Un tenant Microsoft
Une des licences suivantes :
- Microsoft 365 E5
- Microsoft 365 E3
- Office 365 E3
- Office 365 E5
- Microsoft 365 A5
- Microsoft 365 A3
- Office 365 A5
- Office 365 A3
- Microsoft 365 Business Standard
- Microsoft 365 Business Premium

Dans mon environnement, je disposerai des licences suivantes sur mon utilisateur de test :

1x Microsoft 365 E5
1x Windows 365 Enterprise
1x Copilot pour Microsoft 365

J’ai donc choisi de tester Copilot pour Microsoft 365 sur un poste Windows 365 afin de disposer d’un poste de test entièrement consacré à ce dernier.

Etape I – Gestion des licences :

L’étape d’achat de Copilot n’est décrite ici. J’ai acheté une licence Copilot pour Microsoft 365 via le distributeur CSP TD SYNNEX. Pour rappel, cette licence est disponible en NCE et existe seulement en engagement annuel.

Quelques minutes après l’achat, la licence Copilot pour Microsoft 365 est bien visible sur mon tenant depuis cette page :

Avant d’assigner la licence Copilot pour Microsoft 365 à mon utilisateur de test, voici les licences déjà en place sur son compte 365 :

Continuons avec la mise en place du poste utilisateur de test via Windows 365.

Etape II – Machine de test Windows 365 :

Afin de créer un environnement dédié à Copilot pour Microsoft 365, j’ai provisionné un poste via Windows 365. Le provisionnement se fait via cette page de la console Intune.

Plusieurs articles ont déjà été écrits sur Windows 365 :

Une fois le provisionnement du poste Windows 365 terminé, son accès est alors possible via :

L’URL officielle Windows 365
L’application Windows App sous Windows 10/11

L’environnement de l’utilisateur est maintenant opérationnel, il ne nous reste plus qu’à suivre la documentation Microsoft détaillant les conditions requises Copilot pour Microsoft 365.

Points importants :

Microsoft propose de satisfaire ces exigences via l’utilisation de guides disponibles sur le portail d’administration de 365.
Ce n’est pas une obligation de les utiliser pour parvenir à la mise en place de Copilot pour Microsoft 365.
Les étapes concernant les exigences suivantes sont présentées à titre informatif.

Etape III – Exigence Microsoft 365 Apps :

Microsoft 365 Apps doivent être déployés. Utilisez le guide de configuration Microsoft 365 Apps dans le Centre d’administration Microsoft 365 pour effectuer un déploiement sur vos utilisateurs.
Microsoft Learn

Ce guide est accessible via ce lien direct ou via le menu suivant du portail d’administration 365 :

Recherchez le guide concerné via la barre de recherche, puis cliquez dessus pour le démarrer :

Choisissez la version des applications 365 et la méthode sécuritaire prévues, puis cliquez sur Suivant :

Lisez si besoin les documentations disponibles, puis cliquez sur Suivant :

Parcourez les différentes méthodes possibles de déploiement, puis cliquez sur Suivant :

Validez ou non le besoin d’activer Microsoft 365, puis cliquez sur Suivant :

Préparez la communication à vos utilisateurs, puis cliquer sur Suivant :

Finalisez le guide concerné en cliquant ici :

Constatez le changement de statut du guide précédemment validé :

Etape IV – Exigence de version et canal de mise à jour :

À partir de décembre 2023, les utilisateurs doivent utiliser le canal actuel (Current) ou le canal Entreprise mensuel. Pour en savoir plus, voir Vue d’ensemble des canaux de mise à jour pour les applications Microsoft 365.

Pour cela, définissez la méthode de mise à jour appropriée :

Dans mon cas, j’ai choisi la Mise à jour cloud. Connectez-vous à la console Microsoft 365 Apps admin center via cette page, puis activez la fonction Cloud comme ceci :

Attendez quelques minutes afin de voir apparaitre les menus suivants :

Accédez à la page d’inventaire, puis cliquez-ici :

Sélectionnez les appareils à déplacer et le canal de mise à jour ciblé :

Rappel Microsoft : Jusqu’à 24 heures peuvent être nécessaires pour que le changement de canal soit effectué par l’appareil, en supposant que les appareils sont en ligne et peuvent se connecter au service.

Nous retournerons sur cette page dans 24 heures pour y constater d’éventuels changements.

Avant :

Après :

Etape V – Exigence d’identifiant Microsoft Entra :

Les utilisateurs doivent avoir des comptes d’ID Microsoft Entra (anciennement Azure Active Directory). Vous pouvez ajouter ou synchroniser des utilisateurs à l’aide de l’Assistant Intégration dans le Centre d’administration Microsoft 365.
Microsoft Learn

Dans mon cas, mon utilisateur est déjà un utilisateur Cloud, et non synchronisé via Entra ID Connect :

Etape VI – Exigence Microsoft OneDrive :

Certaines fonctionnalités de Microsoft Copilot pour Microsoft 365, telles que la restauration de fichiers et la gestion OneDrive, nécessitent que les utilisateurs disposent d’un compte OneDrive. Vous pouvez utiliser le guide de configuration de OneDrive dans la Centre d’administration Microsoft 365 pour activer OneDrive pour vos utilisateurs.
Microsoft Learn

Ce guide est accessible via ce lien direct ou via le menu suivant du portail d’administration 365 :

Recherchez le guide concerné via la barre de recherche, puis cliquez dessus pour le démarrer :

Lisez les informations disponibles sur la protection OneDrive, puis cliquez sur Suivant :

Définissez la politique de partage externe à l’entreprise, puis cliquez sur Suivant :

Définissez l’OS cible, puis cliquez sur Suivant :

Choisissez si besoin une méthode de transfert des données, puis cliquez sur Suivant :

Modifiez si besoin les paramètres avancés, puis cliquez sur Suivant :

Préparez la communication à vos utilisateurs, puis cliquer sur Suivant :

Finalisez le guide concerné en cliquant ici :

Constatez le changement de statut du guide précédemment validé :

Par la suite, il sera important que le compte OneDrive des utilisateurs de Copilot pour Microsoft 365 soit déployé. Pour cela, aucune autre solution que de leur laisser ouvrir une première fois leur compte OneDrive :

Etape VII – Exigence Microsoft Outlook :

Microsoft Copilot pour Microsoft 365 fonctionne avec le nouvel Outlook (pour Windows et Mac), actuellement en préversion. Les utilisateurs peuvent basculer vers le nouvel Outlook en sélectionnant Essayer le nouvel Outlook dans leur client Outlook existant.
Microsoft Learn

Etape VIII – Exigence Microsoft Teams :

Vous pouvez utiliser le guide d’installation de Microsoft Teams dans le Centre d’administration Microsoft 365 pour configurer les paramètres populaires de Teams, notamment l’accès externe, l’accès invité, les autorisations de création d’équipe, etc. Copilot dans Teams est disponible sur Windows, Mac, web, Android et iOS.
Microsoft Learn

Ce guide est accessible via ce lien direct ou via le menu suivant du portail d’administration 365 :

Recherchez le guide concerné via la barre de recherche, puis cliquez dessus pour le démarrer :

Lisez les informations disponibles sur la configuration Teams, puis cliquez sur Suivant :

Lisez les informations disponibles sur la préparation de Teams, puis cliquez sur Suivant :

Modifiez si besoin la gouvernance et les polices Teams puis cliquez sur Suivant :

Ne pas oubliez d’activer la transcription Teams via cette page afin que Copilot puisse fonctionner en réunion :

Définissez les options Teams, comme par exemple l’accès invité, puis cliquez sur Suivant :

Personnalisez les créations d’équipes Teams, puis cliquez sur Suivant :

Créez si besoin des équipes Teams, puis cliquez sur Suivant :

Définissez les méthodes d’installation des clients Teams, puis cliquez sur Suivant :

Ajoutez si besoin des polices de protection d’application gérées sous Intune, puis cliquez sur Suivant :

Parcourez si besoin les méthodes de résolution de problèmes, puis cliquez sur Suivant :

Préparez la communication à vos utilisateurs, puis cliquer sur Suivant :

Lisez les documentations sur les fonctions annexes de Teams, puis cliquez sur Suivant :

Finalisez le guide concerné en cliquant ici :

Constatez le changement de statut du guide précédemment validé :

Note : Un test dans Teams nous montrera l’activation possible de Copilot via l’exploitation de la Transcription :

Etape IX – Exigence Microsoft Loop :

Pour utiliser Microsoft Copilot pour Microsoft 365 avec Microsoft Loop, la boucle doit être activée sur votre tenant. Microsoft détaille la procédure dans cet article.

Rendez-vous sur Microsoft 365 Apps admin center via la page suivante, puis cliquez sur Créer :

Définissez un nom à votre nouvelle police de configuration, puis cliquez sur Suivant :

Appliquez cette police à tous les utilisateurs du tenant, puis cliquez sur Suivant :

Configurez les 3 polices Loop suivantes, puis cliquez sur Suivant :

Vérifiez la configuration, puis cliquez sur Créer :

Attendez la fin de la création de la police de configuration :

Note : Un test dans Loop nous montrera la bonne activation du service pour notre utilisateur de test :

Etape X – Exigence Microsoft Whiteboard :

Pour utiliser Microsoft Copilot pour Microsoft 365 avec Microsoft Whiteboard, vous devez activer le tableau blanc pour votre tenant. Pour en savoir plus sur le Tableau blanc Microsoft, consultez Gérer l’accès à Microsoft Whiteboard pour votre organization.
Microsoft Learn

Utilisez la barre de recherche de la page d’accueil du centre d’administration 365 :

Activez Whiteboard pour l’ensemble de votre organization, puis Sauvegardez :

Connectez-vous à SharePoint Online PowerShell :

Connect-SPOService -Url https://contoso-admin.sharepoint.com

Utilisez un compte administrateur SharePoint :

Activez Fluid à l’aide de l’applet de commande suivante Set-SPOTenant :

Set-SPOTenant -IsWBFluidEnabled $true

Etape XI – Configuration Copilot pour Microsoft 365 :

Un guide spécial est accessible via ce lien direct ou via le menu suivant du portail d’administration 365 :

Recherchez le guide concerné via la barre de recherche, puis cliquez dessus pour le démarrer :

Cliquez ici pour le démarrer le guide Copilot pour Microsoft 365 :

Cliquez sur Suivant :

Vérifiez que les exigences précédemment abordées soient appliquées, puis cliquez sur Suivant :

Assignez la licence Copilot pour Microsoft 365 à votre utilisateur de test, puis cliquez sur Suivant :

Préparez la communication à vos utilisateurs, puis cliquer sur Suivant :

Finalisez le guide concerné en cliquant ici :

Constatez le changement de statut du guide précédemment validé :

Parcourez si besoin les options possibles de Copilot via cette page :

Consultez les rapports de préparation et d’usage de Copilot via cette page :

Etape XII – Test de recherche d’un document 365 :

Téléversez un document Word local vers le compte OneDrive de votre utilisateur de test :

Copiez ce fichier depuis la zone tampon vers OneDrive, puis attendez que ce dernier soit synchronisé sur le Cloud :

Attendez quelques minutes, puis depuis le client Teams, effectuez une recherche via Copilot afin de retrouver le document :

Etape XIII – Test de rédaction d’un mail sur Outlook :

Ouvrez le client Outlook, puis activez la nouvelle version d’Outlook comme Microsoft le demande pour Copilot :

Attendez que la nouvelle version soit entièrement téléchargée :

Confirmez la bascule en cliquant ici :

Cliquez sur Continuer :

Cliquez sur Passer :

Utilisez la fonction Copilot pour lui demander de générer un mail :

Observez le résultat, puis cliquez-ici pour l’affiner davantage :

Choisissez le ton et la longueur du mail que vous attendez de la part de Copilot, puis recliquez sur Générer :

Constatez les changements par rapport à la version précédente, puis cliquez sur Conserver :

Après une déconnexion reconnexion de l’utilisateur sur une application Microsoft 365 et un redémarrage de session Windows, le bouton Copilot a fait son apparition dans les différentes applications :

La génération de contenus via Copilot peut alors commencer :

Conclusion

La mise en place du service de Copilot pour Microsoft 365 est assez rapide en soit. Mais une grande importante doit être accordée à deux grands sujets :

J’essaierai de vous faire assez rapidement un second article sur la sécurité des données avec Copilot pour Microsoft 365.

Enfin, nul doute que l’arrivée de Copilot pour Microsoft 365 pour toutes les entreprises, petites ou grandes, va bouleverser le marché 😎

Connectez votre réseau local à Global Secure Access

Restons encore un peu dans la lignée des articles dédiés au Global Secure Access de Microsoft. Abordons cette fois-ci une fonction appelée Remote Network : la connexion d’un réseau local (distant) tout entier à un point Edge du réseau Microsoft. Cette approche est complémentaire aux Clients Global Secure Access installés sur les postes en situation de mobilité.

Si le sujet Global Secure Access vous passionne tout comme moi, je vous invite à lire mes précédents articles sur le sujet :

J’y détaille l’intérêt du service Global Secure Access et la démarche sécuritaire mise en avant par Microsoft.

Qu’est-ce qu’un réseau distant ?

A l’inverse de postes en mobilité, il faut voir ces réseaux comme des réseaux fixes d’une entreprise dont le nombre et la répartition est possiblement mondiale :

Les réseaux distants sont des emplacements distants 🤣 ou des réseaux qui nécessitent une connectivité Internet. Par exemple, de nombreuses organisations ont un siège social central et des filiales dans différentes zones géographiques. Ces filiales ont besoin d’accéder aux données et services d’entreprise. Elles ont besoin d’un moyen sécurisé de communiquer avec le centre de données, le siège social et les travailleurs à distance. La sécurité des réseaux distants est cruciale pour de nombreux types d’organisations.

Les réseaux distants, tels qu’un emplacement de branche, sont généralement connectés au réseau d’entreprise via un réseau étendu dédié (WAN) ou une connexion de réseau privé virtuel (VPN). Les employés de l’emplacement de branche se connectent au réseau à l’aide de l’équipement local du client (CPE).
Microsoft Learn

Comment fonctionne la connectivité réseau à distance Global Secure Access ?

Comme pour une connexion VPN classique, une connexion sécurisée via le service Global Secure Access s’appuie sur un tunnel IP Sec :

Pour connecter un réseau distant à Global Secure Access, configurez un tunnel IPSec (Internet Protocol Security) entre votre équipement local et le point de terminaison Global Secure Access. Le trafic que vous spécifiez est acheminé via le tunnel IPSec vers le point de terminaison Global Secure Access le plus proche.
Microsoft Learn

Pourquoi utiliser Global Secure Access pour nos réseaux ?

Global Secure Access propose une approche plus adaptée que les méthodes traditionnelle (WAN / MPLS) en faisant transiter la donnée via le backbone de Microsoft avec une tarification bien plus abordable que ces concurrents :

Il est de plus en plus difficile de maintenir la sécurité d’un réseau d’entreprise dans un monde de travail à distance et d’équipes distribuées. Security Service Edge (SSE) promet un monde de sécurité où les clients peuvent accéder à leurs ressources d’entreprise n’importe où dans le monde sans avoir à renvoyer leur trafic au siège social.
Microsoft Learn

Qu’est-ce que le Zéro Trust Network Access (ZTNA) ?

L’accès au réseau sans confiance (ZTNA), également connu sous le nom de périmètre défini par logiciel (SDP), est un ensemble de technologies et de fonctionnalités qui permettent un accès sécurisé aux applications internes pour les utilisateurs distants. Il fonctionne sur la base d’un modèle de confiance adaptatif, où la confiance n’est jamais implicite et où l’accès est accordé en fonction du besoin de savoir, sur la base du moindre privilège défini.
Zscaler

De manière plus simple, ZTNA reprend l’approche de ZT en y intégrant en tant que signal d’entrée la couche réseau, afin de rendre les décisions d’accès ou d’interdiction encore plus précises et donc plus sécurisantes :

Afin de se faire une meilleure idée sur le Global Secure Access encore en préversion, je vous propose de réaliser un nouvel exercice. Voici quelques liens vers la documentation Microsoft :

J’ai été assez surpris de voir que Microsoft a même écrit un mode opératoire en simulant comme moi le réseau distant sous Azure 😎

Comme Microsoft, mon but est donc de mesurer l’impact dans l’accès aux services 365 en simulant un réseau distant sous Azure et directement connecté Global Secure Access. Les tâches que nous allons réaliser seront donc les suivantes :

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice, il vous faudra disposer des éléments suivants :

Un tenant Microsoft
Une souscription Azure valide

Afin de pouvoir tester cette fonctionnalité toujours en préversion, il est nécessaire de créer une machine virtuelle pour simuler un accès aux services 365 depuis notre réseau distant.

Etape I – Préparation de la VM de test :

Pour cela, rechercher le service Machines virtuelles sur le portail Azure :

Cliquez-ici pour commencer la création de la première machine virtuelle :

Renseignez les informations de base relatives à votre VM en choisissant une image sous Windows Server 2022 :

Choisissez la taille de votre VM, puis définissez un compte administrateur local :

Bloquez les ports entrants, puis cliquez sur Suivant :

Aucune modification n’est à faire sur cet onglet, cliquez sur Suivant :

Retirez l’IP publique, puis cliquez sur Suivant :

Décochez l’extinction automatique de la machine virtuelle, puis lancez la validation Azure :

Une fois la validation Azure réussie, lancez la création de la première VM, puis attendez environ 2 minutes :

Une fois le déploiement terminé, cliquez-ici pour consulter votre première machine virtuelle :

Cliquez-ici pour déclencher le déploiement du service Azure Bastion :

Attendez environ 3 minutes que la notification Azure suivante apparaisse :

Notre machine virtuelle est maintenant opérationnelle. La prochaine étape consiste à préparer la connexion VPN côté Azure.

Etape II – Création de la passerelle VPN Azure :

Pour cela, nous allons avoir besoin d’une passerelle VPN Azure. Un ancien article parlait déjà de ce service Azure juste ici.

Recherchez le réseau virtuel créé avec la VM, puis notez sa plage d’adresses réseaux pour la suite :

Profitez-en pour lui ajouter un sous-réseau dédié à la future passerelle VPN :

Cliquez sur Sauvegarder :

Attendez environ 15 secondes que la notification suivante apparaisse :

Recherchez dans le menu Azure le service suivant pour créer la passerelle VPN :

Cliquez-ici pour créer votre passerelle VPN Azure :

Renseignez les informations de base, choisissez le SPU VpnGw1, puis le même réseau virtuel que précédemment :

Désactivez mode actif-actif, activez la fonction BGP, renseignez un numéro ASN valide, puis lancez la validation Azure :

Une fois la validation Azure réussie, lancez la création de la passerelle VPN, puis attendez environ 30 minutes :

Une fois le déploiement terminé, cliquez-ici afin de récupérer quelques informations sur la passerelle VPN :

Allez dans l’onglet Configuration afin de copier ces informations :

Notre passerelle VPN côté Azure est maintenant en place. Nous devons maintenant configurer Global Secure Access d’Entra ID pour reconnaître les demandes de connexion depuis cette passerelle VPN.

Etape III – Configuration du réseau distant sur GSA :

Rendez-vous sur la page suivante du portail Entra, puis cliquez-ici pour mettre en place la connexion réseau côté Microsoft Entra :

Nommez votre connexion, choisissez la région Azure la plus proche de votre réseau distant, puis cliquez sur Suivant :

Ajoutez un lien réseau à votre connexion :

Renseignez les informations de base en reprenant les informations récupérées de la passerelle VPN, puis cliquez sur Suivant :

Conservez les options suivantes, puis cliquez sur Suivant :

Définissez une clef PSK et conservez-là, puis cliquez sur Suivant :

Cliquez sur suivant :

Cochez la seule case possible à ce jour : seul le traffic vers les services Microsoft 365 sera actuellement routé via cette connexion, puis lancez la validation Entra ID :

Une fois la validation Entra ID réussie, lancez la connexion réseau, puis attendez environ 1 minute :

Une notification Entra ID apparaît alors :

Consultez le menu suivant afin de constater la présence d’un réseau distant uniquement sur le profil Microsoft 365 :

Retournez sur le menu des connexions réseaux afin de récupérer des informations :

Récupérez les 3 informations suivantes pour continuer la configuration de la connexion à la passerelle VPN côté Azure :

La configuration réseau côté Global Secure Access est maintenant terminée. Avançons maintenant côté Azure afin que ce dernier reconnaisse également le réseau GSA.

Etape IV – Configuration du réseau GSA sur Azure :

Retournez sur le portail Azure afin de créer passerelle de réseau local correspondant à la connexion configurée sur Global Secure Access.

Pour cela, recherchez le service suivant sur le portail Azure :

Cliquez-ici pour commencer la création :

Renseignez les informations de base, reprenez l’IP publique récupérée sur Global Secure Access, puis cliquez sur Suivant :

Renseignez les autres informations suivantes provenant de Global Secure Access, puis lancez la validation Azure :

Une fois la validation Azure réussie, lancez la création de la passerelle de réseau local, puis attendez environ 2 minutes :

Attendez que le déploiement de la passerelle de réseau local soit terminé :

Avant de finaliser la configuration VPN, il serait intéressant de tester une connexion vers les services 365 en y incluant une police d’accès conditionnel potentiellement bloquante.

Etape V – Global Secure Access + Accès Conditionnel :

La signalisation de Global Secure Access fournit des informations sur l’emplacement du réseau à l’accès conditionnel, ce qui permet aux administrateurs de créer des politiques qui limitent l’accès des utilisateurs à des applications spécifiques en fonction de leur utilisation du client Global Secure Access ou d’un réseau distant.
Microsoft Entra

La combinaison de Global Secure Access et de l’Accès Conditionnel va donc permettre de restreindre l’accès à certains services si la connexion via Global Secure Access n’est pas établie.

Pour cela, créez une nouvelle police d’accès conditionnel par le menu suivant :

Spécifiez le groupe d’utilisateurs de test concerné :

Définissez la ou les applications à protéger :

Excluez de cette police les connexions faites via Global Secure Access :

Bloquez l’accès pour toutes les autres tentatives de connexion, activez la police puis sauvegardez-là :

Attendez quelques minutes, puis retournez sur votre VM de test via une session Azure Bastion :

Lancez un ping sur le site outlook.office.com afin de constater l’IP actuelle du service de messagerie de Microsoft :

Ouvrez Edge sur la page office.com afin de vous authentifiez avec un compte 365 de test :

Connectez-vous-y en utilisant l’identité Entra ID de votre compte de test :

Constatez le blocage de l’accès conditionnel mis en place précédemment :

Ce test nous confirme que la connexion GSA via un réseau distant ou le client est maintenant obligatoire pour accéder aux services 365.

Finalisons maintenant la connexion entre notre environnement Azure de test et GSA.

Etape VI – Connexion entre le réseau distant et GSA :

De retour sur le portail Azure, cliquez-ici pour mettre en place la connexion entre la passerelle VPN et Global Secure Access :

Définissez la connexion en IP Sec, puis cliquez sur Suivant :

Renseignez les informations de base dont la clef PSK, cochez la case BGP, puis lancez la validation Azure :

Une fois la validation Azure réussie, lancez la création de la connexion, puis attendez environ 1 minute :

Attendez que le déploiement de la connexion soit terminé, puis cliquez-ici :

Constatez le statut inconnu de celle-ci :

Retournez sur la page suivante de la passerelle VPN, puis rafraichissez périodiquement afin de constater une changement de status de la connexion :

Le statut devrait changer sous environ 3 minutes :

Consultez la page suivante pour voir les impacts de routage via les communications BGP :

L’environnement est maintenant opérationnel. Il ne reste plus qu’à refaire des tests sur notre machine virtuelle.

Etape VII – Global Secure Access + Accès Conditionnel v2 :

Lancez un ping sur le site outlook.office.com afin de constater la nouvelle IP du service de messagerie Microsoft :

Ouvrez Edge en navigation privée sur la page office.com afin de vous authentifiez avec un compte 365 de test :

Connectez-vous-y en utilisant l’identité Entra ID de votre compte de test :

Cliquez sur Non :

Constatez la bonne connexion au service de Microsoft 365 :

Afin de confirmer nos tests, retirez la connexion entre Azure et GSA pour retrouver le blocage initialement constaté à cause de la police d’accès conditionnelle.

Etape VIII – Retrait de la connexion VPN :

De retour sur le portail Azure, supprimez la connexion VPN Azure précédemment établie :

Confirmez votre choix en cliquant sur Oui :

Attendez que la notification Azure suivante apparaisse :

Lancez un ping sur le site outlook.office.com afin de constater la nouvelle IP du service de messagerie de Microsoft :

Constatez le retour du blocage de l’accès conditionnel mis en place précédemment :

Consultez l’évolution du status de la connexion Global Secure Access via le menu suivant :

Constatez le log de connexion vers les services Microsoft 365 ayant transité par le Global Secure Access via le menu suivant :

Conclusion

Ce nouveau test montre encore une fois la grande simplicité de la connexion entre l’on-premise et les services 365 de Microsoft. Aucun doute que ce service devrait connaître un grand succès une fois sorti de sa préversion et quand sa grille tarifaire sera dévoilée 🤣🙏

Le prochain article devrait parler de l’Accès Privé de Global Secure Access. John a déjà pris de l’avance sur moi 🤣

Global Secure Access = Internet🔐

Le Global Secure Access continue de nous livrer tous ses secrets en ce début d’année 2024. Après la découverte de la sécurisation des accès aux services 365 déjà décrite dans cet article, je propose maintenant de nous intéresser à la sécurisation de l’accès internet.

Voici un petit rappel de quelques points intéressant sur le sujet :

Qu’est-ce que le Zéro Trust Network Access (ZTNA) ?

L’accès au réseau sans confiance (ZTNA), également connu sous le nom de périmètre défini par logiciel (SDP), est un ensemble de technologies et de fonctionnalités qui permettent un accès sécurisé aux applications internes pour les utilisateurs distants. Il fonctionne sur la base d’un modèle de confiance adaptatif, où la confiance n’est jamais implicite et où l’accès est accordé en fonction du besoin de savoir, sur la base du moindre privilège défini.
Zscaler

Qu’est-ce que le Global Secure Access proposé par Microsoft ?

Voyant l’évolution des besoins de sécurité réseaux et la demande grandissante du Cloud, Microsoft a souhaité apporter sa propre solution SSE basée sur ZTNA :

Global Secure Access est l’emplacement unifié du centre d’administration Microsoft Entra et repose sur les principes fondamentaux de confiance zéro, d’utiliser le moindre privilège, de vérifier explicitement et de supposer une violation.
Microsoft Learn

Comme le montre le schéma ci-dessous, Global Secure Access regroupe 2 principaux services :

Accès Internet Microsoft Entra : apporte un accès à Internet via Microsoft Entra et sécurise l’accès aux services Microsoft 365.
Accès privé Microsoft Entra : apporte via Microsoft un accès sécurisé à vos ressources locales et privées.

Pourquoi utiliser Global Secure Access pour le trafic Internet ?

Comme Global Secure Access est capable de sécuriser les accès Internet d’un poste sur un réseau d’entreprise ou en mobilité, le filtrage web devient une tâche plus facile de par son approche hybride :

La fonctionnalité d’introduction clé pour Microsoft Entra Internet Access pour toutes les applications est le filtrage de contenu web.

Cette fonctionnalité fournit un contrôle d’accès granulaire pour les catégories web et les noms de domaine complets. En bloquant explicitement les sites inappropriés, malveillants ou dangereux connus, vous protégez vos utilisateurs et leurs appareils contre toute connexion Internet, qu’ils se connectent à distance ou au sein du réseau d’entreprise.
Microsoft Learn

Qu’est-ce qu’un Profil de sécurité sur Global Secure Access ?

Quelques éléments sur le profil de sécurité de Global Secure Access :

Dispose d’une priorité (ordonnancement) entre profils de sécurité
Agit comme un conteneur de stratégies de filtrage web avec priorité (ordonnancement)
Et associé à une ou plusieurs polices d’accès conditionnel Entra ID

Autrement dit, les profils de sécurité vont vous aider à organiser le filtrage au sein de votre entreprise et seront facilement adaptables selon les utilisateurs du tenant.

Qu’est-ce qu’une stratégie de filtrage de contenu web sur Global Secure Access ?

Le filtrage de contenu web vous permet d’implémenter des contrôles d’accès Internet granulaires pour votre organisation en fonction de la catégorisation du site web.

La fonctionnalité de filtrage web est actuellement limitée au filtrage de catégorie web basé sur le nom de domaine complet (FQDN) et au filtrage de noms de domaine complets qui prennent en compte les utilisateurs et le contexte.
Microsoft Learn

Autrement dit, une stratégie de filtrage autorise ou interdit un trafic vers une ou plusieurs cibles web :

Nom de domaine complet (FQDN)
Catégories web

Pourquoi associer Global Secure Access à l’Accès Conditionnel d’Entra ID ?

L’intégration du filtrage Internet à l’accès conditionnel d’Entra ID va permettre de gérer différentes configurations selon les utilisateurs. Cette approche est souvent déjà utilisée pour gérer les accès aux applications 365.

Voici d’ailleurs un schéma créé par John Savill expliquant (à droite) la jonction de :

2 x Police d’accès conditionnel
3 x Profils de sécurités
X x Stratégies de filtrage de contenu

Enfin prenez le temps de parcourir les limitations connues actuellement sur le service.

Voici d’ailleurs un excellent webinar animé par Seyfallah Tagrerout sur la sécurisation internet via Global Secure Access :

Et voici une autre vidéo sur le même sujet du très apprécié John Savill :

Comme précédemment, je vous propose de tester Global Secure Access, encore en préversion, par la réalisation d’un second exercice. Notre but sera de mesurer l’impact dans l’accès à des sites internet en simulant des postes utilisateurs ayant le client Windows Global Secure Access d’installé.

Les tâches que nous allons réaliser sont les suivantes :

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice, il vous faudra disposer des éléments suivants :

Un tenant Microsoft
Une souscription Azure valide
Une licence Microsoft Entra ID P1 licence (obligatoire)

Note : Les étapes I, II et IV de cet article sont exactement les mêmes que celles déjà décrites dans l’article précédent.

Etape I – Configuration du tenant :

Global Service Access est un service intégré à Microsoft Entra. Vous le trouverez donc uniquement dans ce portail.

Rendez-vous sur la page du portail d’Entra, puis cliquez-ici :

Certains prérequis sont vérifiés automatiquement. Une fois tous ces derniers en vert, cliquez sur le bouton Activer :

Attendez quelques secondes l’apparition de cette notification :

Cliquez-ici afin de continuer :

Cette page vous remontre les 2 principaux services de Global Secure Access :

Cliquez sur le service de votre choix pour en savoir un peu plus :

La documentation Microsoft correspondante s’ouvre alors dans un nouvel onglet :

De retour sur le portail d’Entra, continuer la configuration du Global Secure Access en cliquant sur Journalisation. Cette page nous informe que la Journalisation n’est pas encore activée sur Entra ID :

Activez la sauvegarde en passant par le menu suivant :

Configurez les Paramètres de diagnostic selon vos souhaits en cochant bien les logs nommées EnrichedOffice365AuditLogs :

Retournez sur la page de Journalisation de Global Secure Access afin de contrôler le bon changement :

La configuration de base de Global Secure Access est maintenant terminée.

Avant d’activer le service de Profil d’accès à Microsoft 365, nous allons créer 2 VMs dans Azure pour simuler des postes utilisateurs.

Etape II – Préparation de postes utilisateurs :

Depuis le portail Azure, créez 2 machines virtuelles sous Windows 11 sous un même réseau virtuel :

Sur ce réseau virtuel, déployer le service Azure Bastion afin de vous connecter à ces 2 VMs dépourvues d’IP publiques :

Joignez les deux machines virtuelles créées précédemment à Entra ID selon cet article, puis vérifiez leur présence sur cette page d’Entra ID :

Vérifiez également la présence de ces 2 VMs sur cette page de la console Intune :

Nos machines virtuelles de test sont prêtes.

Créez une premier groupe Entra ID contenant vos 2 utilisateurs de test :

Créez une second groupe Entra ID contenant vos 2 machines Azure de test :

L’environnement Azure est maintenant opérationnel. Retournons sur la configuration de Global Secure Access pour activer le profil dédié au trafic internet.

Etape III – Configuration du Profil d’accès à Internet :

Retournez sur cette page d’Entra ID, puis cochez la case suivante pour activer ce profil sur votre tenant :

Confirmez votre action en cliquant sur OK :

Attendez quelques secondes l’apparition de cette notification :

Vérifiez le changement de statut pour le Profil d’accès à Internet :

Continuons maintenant par l’installation du client Global Secure Access.

Etape IV – Déploiement du client Global Secure Access :

Ce client est nécessaire pour acheminer le trafic réseau vers le service Global Secure Access quand on souhaite s’y connecter en dehors d’un réseau d’entreprise.

Les différents clients de Global Secure Access sont disponibles sur cette page. Cliquez-ici pour télécharger la version Windows 10/11 :

Attendez que le téléchargement se termine :

Si vous le souhaitez, utilisez comme moi l’application Intunewin (Microsoft Win32 Content Prep Tool) afin de packager votre client Global Secure Access et de le déployer via Intune.

Créez votre application sur la console Intune comme Microsoft le préconise :

Attendez environ 30 minutes que l’application se déploie automatiquement sur les 2 machines virtuelles précédemment créées :

L’environnement est enfin prêt pour tester la connexion aux services 365 via Global Secure Access.

Etape V – Test de Global Secure Access :

Ouvrez 2 sessions RDP via Azure Bastion sur les 2 VMs en utilisant respectivement vos 2 utilisateurs Entra ID de test :

Constatez l’ouverture d’une page d’authentification de Global Secure Access, puis connectez-vous-y en utilisant l’identité Entra ID proposée par Windows :

Vérifiez la bonne connexion grâce à l’icône présent dans la barre de tâches :

Afin de comparer les 2 environnements, activez le mode Pause sur l’une des 2 VMs de test :

Cliquez sur le menu suivant du client Global Secure Access afin d’obtenir plus d’informations sur le statut de la connexion :

Comparez les deux checklist et leurs différences :

Vérifiez la présence de la règle concernant le profil Internet sur les 2 VMs :

Sur les 2 machines virtuelles de test :

Ouvrez une page web sur Edge afin de constater la connexion au service
Lancez une requête PING afin de constater les variations d’adresses IP

Retournez sur la page de log suivante du service Global Secure Access d’Entra ID afin de constater l’apparition de plusieurs lignes de log :

En quelques clics, nous avons mis en place un client Global Secure Access. Continuons un autre test en combinant le Global Secure Access avec un premier profil de sécurité général.

Etape VI – Global Secure Access + Profil de Sécurité 65000 :

Pour rappel, le profil de sécurité (unique) ayant la priorité 65000 sera pris en charge par l’ensemble des trafics internet transitant par la solution Global Secure Access.

Avant de créer le profil de sécurité 65000 du tenant, commencez par créer une première stratégie de filtrage via ce lien :

Nommez votre stratégie de filtrage de contenu internet, définissez sa nature, puis cliquez sur Suivant :

Block : bloque le trafic internet en direction des sites définis par la stratégie de filtrage
Allow : autorise le trafic internet en direction des sites définis par la stratégie de filtrage

Ajoutez une ou plusieurs règles de filtrage selon deux options possibles pour les cibles :

Catégorie de site : permet de choisir une catégorie de web prédéfinie
FQDN : domaine ou sous-domaine

Vérifiez et valider votre stratégie de filtrage :

Attendez quelques secondes l’apparition de cette notification :

Nous pouvons maintenant créer le profil de sécurité général.

Pour créer ce profil de sécurité à priorité 65000, cliquez-ici sur le menu suivant disponible sur cette page :

Nommez votre profil de sécurité, définissez sa priorité à 65000, puis cliquez sur Suivant :

Associez la stratégie de filtrage créée précédemment :

Vérifiez et valider votre profil de sécurité :

Attendez quelques secondes l’apparition de cette notification :

Vérifiez la bonne configuration et l’absence de police d’accès conditionnel sur le profil 65000 :

Attendez quelques minutes, puis effectuer un test avec le navigateur Edge sur les 2 VMs de test afin d’en mesurer les impacts :

Continuons avec un autre test de restriction internet pour Global Secure Access combiné à une police d’accès conditionnel.

Etape VII – Global Secure Access + Accès Conditionnel :

A l’inverse du profil de sécurité à priorité 65000, tous les autres auront besoin d’avoir un accès conditionnel pour s’appliquer.

Avant de créer ce second profil de sécurité, commencez par créer une autre stratégie de filtrage de contenu internet via ce lien :

Nommez votre stratégie de filtrage, définissez sa nature, puis cliquez sur Suivant :

Ajoutez une ou plusieurs règles de filtrage selon les deux options possibles :

Vérifiez et valider votre stratégie de filtrage :

Attendez quelques secondes l’apparition de cette notification :

2 stratégies de filtrage sont alors présentes sur votre environnement :

Cliquez-ici sur le menu suivant pour créer le second profil de sécurité :

Nommez votre profil de sécurité, définissez sa priorité à 150, puis cliquez sur Suivant :

Associez la stratégie de filtrage créée juste avant avec une priorité de 150 :

Vérifiez et valider votre profil de sécurité :

Attendez quelques secondes l’apparition de cette notification :

Vérifiez la bonne configuration et l’absence de police d’accès conditionnel sur le nouveau profil de sécurité :

Attendez quelques minutes, puis effectuer un test avec le navigateur Edge sur les 2 VMs de test afin d’en mesurer les impacts :

Comme on peut le constater, l’ajout d’une police d’accès conditionnel est nécessaire pour tous les profils de sécurité autre que celui à la priorité 65000.

Pour cela, rendez-vous sur la page suivante afin de créer la police d’accès conditionnel :

Spécifiez les utilisateurs concernés par cette police d’accès conditionnel :

Sélectionnez le trafic Internet dans les ressources cibles :

Indiquez le profil de sécurité créé au début de cette étape afin que s’appliquent les stratégie de filtrage associées :

Retournez sur la page des profils de sécurité afin de constater la bonne relation avec la police d’accès conditionnel :

Note : Pour des raisons de durée de vie de token, la mise en place d’un nouveau profil de sécurité sur des connexions Global Secure Access déjà actives peut prendre du temps avant de s’appliquer.

Attendez quelques minutes, puis effectuer un test avec le navigateur Edge sur les 2 VMs de test afin d’en mesurer les impacts :

Effectuez si besoin un second test sur un site faisant partie d’une des catégorie web bloquée dans votre stratégie de filtrage :

Continuons maintenant avec un test basé sur les priorités des stratégies de filtrage dans un même profil de sécurité Global Secure Access.

Etape VIII – Global Secure Access + Priorisation des stratégies de filtrage :

Afin de mesurer et comprendre la gestion des priorité des stratégie de filtrage de filtrage, nous allons réaliser la configuration suivante :

Stratégie de filtrage à priorité 140 autorisant un premier site azurewebsites
Stratégie de filtrage à priorité 150 interdisant tous les sites azurewebsites (déjà créée)
Stratégie de filtrage à priorité 160 autorisant un second site azurewebsites

Commencez par créer une première stratégie de filtrage de contenu internet via ce lien :

Nommez votre stratégie de filtrage, définissez sa nature, puis cliquez sur Suivant :

Ajoutez une ou plusieurs règles de filtrage :

Vérifiez et valider votre stratégie de filtrage :

Attendez quelques secondes l’apparition de cette notification :

Créez une seconde stratégie de filtrage :

Nommez votre seconde stratégie de filtrage, définissez sa nature, puis cliquez sur Suivant :

Ajoutez une ou plusieurs règles de filtrage :

Vérifiez et valider votre stratégie de filtrage :

Attendez quelques secondes l’apparition de cette notification :

Retournez sur la page des profils de sécurité afin de modifier le profil de sécurité déjà actif :

Cliquez ici pour ajouter les stratégies de filtrage créées :

Ajoutez ces 2 stratégies de filtrage en respectant les priorités suivantes :

Retournez sur la page des profils de sécurité afin de constater l’ajout des 2 nouvelles stratégies de filtrage :

Attendez quelques minutes, puis effectuer un test avec le navigateur Edge sur les 2 VMs de test afin d’en mesurer les impacts :

Effectuez un second test sur le site azurewebsites renseigné dans la stratégie de filtrage à priorité 160 :

Continuons avec un autre test basé sur les priorités quand 2 profils de sécurité Global Secure Access sont assignés à un utilisateur.

Etape IX – Global Secure Access + Priorisation des profil de sécurité :

Afin de mesurer et comprendre la gestion des priorité des profil de sécurité, nous allons réaliser la configuration suivante :

Profil de de sécurité à priorité 130 interdisant le premier site azurewebsites et autorisant le second site azurewebsites
Profil de de sécurité à priorité 150 autorisant les 2 sites azurewebsites et interdisant tous les autres sites azurewebsites (déjà créé)

Créez un nouveau profil de sécurité ayant une priorité à 130 :

Associez à ce profil une première stratégie de filtrage avec une priorité à 131 bloquant le site azurewebsites précédemment accessible :

Associez à ce profil une seconde stratégie de filtrage avec une priorité à 132 autorisant le site azurewebsites précédemment bloqué :

Créez une nouvelle police d’accès conditionnel associée à ce nouveau profil de sécurité :

Vérifiez la bonne configuration de l’ensemble :

Afin d’accélérer le déploiement de ce nouveau profil de sécurité sur les machines de test, vous pouvez vous déconnecter / reconnecter au Global Secure Access :

Réauthentifiez-vous en utilisant le compte Entra ID utilisé pour ouvrir la session Windows :

Ouvrez Edge vers le premier site azurewebsites afin de constater les impacts :

Ouvrez Edge vers le second site azurewebsites afin de constater les impacts :

Continuons avec un autre test reprenant l’accès conditionnel précédent, et en y ajoutant un contrôle MFA obligatoire.

Etape X – Global Secure Access + Contrôle MFA

Retournez sur la page d’accès conditionnel pour cocher la case MFA sur la dernière police d’accès conditionnel créée :

Attendez quelques minutes, puis cliquez-ici pour réouvrir une connexion sur Global Secure Access :

Réauthentifiez-vous en utilisant le compte Entra ID utilisé pour ouvrir la session Windows :

Constatez l’apparition d’un prompt consacré à la MFA :

Confirmez la connexion en réussissant le challenge MFA selon la méthode voulue :

Vérifiez le changement de statut de connexion des profils de configuration actifs :

Ouvrez Edge vers le premier site azurewebsites afin de la bonne connexion :

Terminons par un dernier test en bloquant l’accès sur la police d’accès conditionnel modifiée durant ce test.

Etape XI – Global Secure Access + Blocage Internet :

Pour cela, retournez sur la police d’accès conditionnel en modifiant l’accès par un blocage systématique :

Cliquez-ici pour fermer et réouvrir une connexion sur Global Secure Access :

Réauthentifiez-vous en utilisant le compte Entra ID utilisé pour ouvrir la session Windows :

Constatez l’apparition d’un prompt expliquant un blocage complet d’internet :

Conclusion

Par la mise à disposition du Global Secure Access, Microsoft apporte une brique manquante et attendue depuis longtemps dans son approche Zéro Trust. D’autres fonctionnalités comme Remote network vont s’avérer très utile pour sécuriser les connexions depuis et vers le Cloud sans obligatoirement investir dans des solutions de type MPLS.

Un dernier article devrait bientôt suivre sur la gestion de trafic pour le profil Private access 😎

Microsoft 365 via Global Secure Access

2024 est à peine là, mais certaines choses ne changent pas. La sécurité IT reste encore au cœur des préoccupations pour cette nouvelle année. Les façons de consommer la donnée au travers des outils informatiques ont été bouleversées depuis l’arrivée des Cloud publics. Mais ces usages doivent s’accompagner de mesures de sécurité toujours plus performantes.

Microsoft veut changer la partie avec son Global Secure Access. Parcourons ensemble quelques notions sur ce sujet.

Pourquoi Microsoft s’intéresse aux réseaux ?

L’émergence des outils 365, les nombreuses applications disponibles sous format SaaS, les ressources hébergées sur Azure, ou encore les effets du COVID ont fait voler en éclat les approches réseaux traditionnelles.

Partant de ce constat, la sécurité des réseaux, pensée de manière centralisée, a dû elle aussi s’adapter face à au nouveaux usages et fait face à de nouvelles menaces potentielles.

Microsoft est un acteur majeur du Cloud public, et la nouvelle approche sécuritaire des réseaux au-delà de leurs centre de données est donc une évidence pour eux.

Secure Access Service Edge (SASE) vs Security Service Edge (SSE) ?

Il s’agit avant tout de structurer les produits et les services de manière plus cohérentes selon les besoins :

Le SSE définit un cadre limité de la sécurité réseau convergente, qui allie des fonctions SWG, CASB/DLP et ZTNA dans un service cloud natif. Il permet un accès sécurisé aux applications Web, SaaS et métier internes, sans prise en charge directe des ressources WAN. Ce dernier aspect relève toujours d’une solution technologique distincte, englobant des fonctions comme le SD-WAN, les pare-feux nouvelle génération et les backbones réseau globaux.
Cato Networks

Voici d’ailleurs une vidéo pour vous en faire une meilleure idée :

On dit merci qui ? Merci Gartner🤣 !

On peut donc voir le SSE comme un pan clé du pilier sécurité du SASE :

Qu’est-ce que le Zéro Trust (ZT) ?

Le concept Zéro Trust vous dit peut-être déjà quelque chose (ou pas encore) ? Une règle simple et appliquée tout le temps : Ne jamais faire confiance, toujours vérifier.

Considérez simplement chaque demande d’accès comme suspecte :

Qu’est-ce que le Zéro Trust Network Access (ZTNA) ?

L’accès au réseau sans confiance (ZTNA), également connu sous le nom de périmètre défini par logiciel (SDP), est un ensemble de technologies et de fonctionnalités qui permettent un accès sécurisé aux applications internes pour les utilisateurs distants. Il fonctionne sur la base d’un modèle de confiance adaptatif, où la confiance n’est jamais implicite et où l’accès est accordé en fonction du besoin de savoir, sur la base du moindre privilège défini.
Zscaler

Qu’est-ce que le Global Secure Access proposé par Microsoft ?

Voyant l’évolution des besoins de sécurité réseaux et la demande grandissante du Cloud, Microsoft a souhaité apporter sa propre solution SSE basée sur ZTNA :

Global Secure Access est l’emplacement unifié du centre d’administration Microsoft Entra et repose sur les principes fondamentaux de confiance zéro, d’utiliser le moindre privilège, de vérifier explicitement et de supposer une violation.
Microsoft Learn

Comme le montre le schéma ci-dessous, Global Secure Access regroupe 2 principaux services :

Accès Internet Microsoft Entra : apporte un accès à Internet via Microsoft Entra et sécurise l’accès aux services Microsoft 365.
Accès privé Microsoft Entra : apporte via Microsoft un accès sécurisé à vos ressources locales et privées.

Voici d’ailleurs un excellent webinar animé par Seyfallah Tagrerout sur le Global Secure Access :

Afin de se faire une meilleure idée sur le Global Secure Access encore en préversion, je vous propose de réaliser un petit exercice. Mon premier but étant de mesurer son impact dans l’accès aux services 365 en simulant des postes utilisateurs ayant le client Windows Global Secure Access d’installé.

Les tâches que nous allons réaliser sont donc les suivantes :

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice, il vous faudra disposer des éléments suivants :

Un tenant Microsoft
Une souscription Azure valide
Une licence Microsoft Entra ID P1 licence (obligatoire)
Une licence Microsoft 365 E3 (recommandée)

Etape I – Configuration du tenant :

Global Service Access est un service intégré à Microsoft Entra. Vous le trouverez donc uniquement dans ce portail.

Rendez-vous sur la page du portail d’Entra, puis cliquez-ici :

Certains prérequis sont vérifiés automatiquement. Une fois tous ces derniers en vert, cliquez sur le bouton Activer :

Attendez quelques secondes l’apparition de cette notification :

Cliquez-ici afin de continuer :

Cette page vous remontre les 2 principaux services de Global Secure Access :

Cliquez sur le service de votre choix pour en savoir un peu plus :

La documentation Microsoft correspondante s’ouvre alors dans un nouvel onglet :

Activez la sauvegarde en passant par le menu suivant :

Configurez les Paramètres de diagnostic selon vos souhaits en cochant bien les logs nommées EnrichedOffice365AuditLogs :

Retournez sur la page de Journalisation de Global Secure Access afin de contrôler le bon changement :

La configuration de base de Global Secure Access est maintenant terminée.

Avant d’activer le service de Profil d’accès à Microsoft 365, nous allons créer 2 VMs dans Azure pour simuler des postes utilisateurs.

Etape II – Préparation de postes utilisateurs :

Depuis le portail Azure, créez 2 machines virtuelles sous Windows 11 sous un même réseau virtuel :

Sur ce réseau virtuel, déployer le service Azure Bastion afin de vous connecter à ces 2 VMs dépourvues d’IP publiques :

Joignez les deux machines virtuelles créées précédemment à Entra ID selon cet article, puis vérifiez leur présence sur cette page d’Entra ID :

Vérifiez également la présence de ces 2 VMs sur cette page de la console Intune :

Nos machines virtuelles de test sont prêtes.

Créez une premier groupe Entra ID contenant vos 2 utilisateurs de test :

Créez une second groupe Entra ID contenant vos 2 machines Azure de test :

L’environnement Azure est maintenant opérationnel. Retournons sur la configuration de Global Secure Access pour activer le profil dédié aux services Microsoft 365.

Etape III – Configuration du Profil d’accès à Microsoft 365 :

Retournez sur cette page d’Entra ID, puis cochez la case suivante pour activer ce profil sur votre tenant :

Confirmez votre action en cliquant sur OK :

Attendez quelques secondes l’apparition de cette notification :

Vérifiez le changement de statut pour le Profil d’accès à Microsoft 365 :

Pour gérer les détails de la politique de transfert de trafic Microsoft 365, sélectionnez le lien suivant :

Continuons maintenant par l’installation du client Global Secure Access.

Etape IV – Déploiement du client Global Secure Access :

Ce client est nécessaire pour acheminer le trafic réseau vers le service Global Secure Access quand on souhaite s’y connecter en dehors d’un réseau d’entreprise.

Les différents clients de Global Secure Access sont disponibles sur cette page. Cliquez-ici pour télécharger la version Windows 10/11 :

Attendez que le téléchargement se termine :

Si vous le souhaitez, utilisez comme moi l’application Intunewin (Microsoft Win32 Content Prep Tool) afin de packager votre client Global Secure Access et de le déployer via Intune.

Créez votre application sur la console Intune comme Microsoft le préconise :

Attendez environ 30 minutes que l’application se déploie automatiquement sur les 2 machines virtuelles précédemment créées :

L’environnement est enfin prêt pour tester la connexion aux services 365 via Global Secure Access.

Etape V – Test de Global Secure Access :

Ouvrez 2 sessions RDP via Azure Bastion sur les 2 VMs en utilisant respectivement vos 2 utilisateurs Entra ID de test :

Constatez l’ouverture d’une page d’authentification de Global Secure Access, puis connectez-vous-y en utilisant l’identité Entra ID proposée par Windows :

Vérifiez la bonne connexion grâce à l’icône présent dans la barre de tâches :

Afin de comparer les 2 environnements, activez le mode Pause sur l’une des 2 VMs de test :

Cliquez sur le menu suivant du client Global Secure Access afin d’obtenir plus d’informations sur le statut de la connexion :

Comparez les deux checklist et leurs différences :

Vérifiez la présence de la règle concernant le profil Microsoft 365 sur les 2 VMs :

Sur les 2 machines virtuelles de test :

Ouvrez la page d’Outlook sur Edge afin de constater la connexion au service
Lancez une requête PING afin de constater les variations d’adresses IP

Retournez sur la page de log suivante du service Global Secure Access d’Entra ID afin de constater l’apparition de plusieurs lignes de log :

En quelques clics, nous avons mis en place un client Global Secure Access. Continuons un autre test en combinant le Global Secure Access avec l’Accès Conditionnel d’Entra ID.

Etape VI – Global Secure Access + Accès Conditionnel :

La signalisation de Global Secure Access fournit des informations sur l’emplacement du réseau à l’accès conditionnel, ce qui permet aux administrateurs de créer des politiques qui limitent l’accès des utilisateurs à des applications spécifiques en fonction de leur utilisation du client Global Secure Access ou d’un réseau distant.
Microsoft Entra

La combinaison de Global Secure Access et de l’Accès Conditionnel va donc permettre de restreindre l’accès à certains services si la connexion via Global Secure Access n’est pas établie.

Pour cela, rendez-vous sur la page suivante d’Entra afin de constater la situation avant activation :

Activez l’option nommée Accès adaptatif sur cette page, puis sauvegardez :

Attendez quelques secondes l’apparition de cette notification :

Retournez sur page suivante d’Entra afin de constater la situation après activation :

Créez une nouvelle police d’accès conditionnel par le menu suivant :

Spécifiez le groupe d’utilisateurs de test concerné :

Définissez la ou les applications à protéger :

Excluez de cette police les connexions faites depuis Global Secure Access :

Bloquez l’accès pour les autres tentatives de connexion, activez la police puis sauvegardez-là :

Attendez quelques minutes, puis ouvrez Edge en navigation privée vers la page d’Outlook afin de constater les impacts :

Continuons avec un dernier test de restriction de tenant pour Global Secure Access.

Etape VII – Global Secure Access + Restriction au tenant :

Les restrictions imposées aux locataires permettent aux administrateurs de contrôler si leurs utilisateurs peuvent accéder aux ressources d’une organisation externe avec des comptes émis par cette dernière, tout en utilisant le réseau ou l’appareil de votre organisation.
Microsoft Entra

En d’autres termes, une fois connecté au Global Secure Access, plus moyen de s’authentifier sur un tenant tiers si cette option est activée et sans y ajouter le second tenant comme exception.

Pour cela, rendez-vous sur cette même page d’Entra ID, activez l’option suivante puis sauvegardez :

Attendez quelques minutes, puis réouvrez Edge en navigation privée vers la page d’Outlook afin de constater les impacts :

Conclusion

Enfin, d’autres articles vont bientôt suivre sur la gestion de trafic des autres profils (Private access profile, Internet access profile) 😎

Déplacez votre VM dans une Zone Azure

Il y a quelques jours, Microsoft vient d’annoncer une nouvelle fonctionnalité de migration très intéressante pour les machines virtuelles déjà en place : la possibilité de déplacer une machine virtuelle, actuellement non zonée, vers une zone précise de la région Azure.

Pourquoi faire ? Pour accroitre la résilience de l’infrastructure 🙏

Annoncé le 12 décembre dernier sur blog Azure, cette fonctionnalité dédié aux machines virtuelles vient compléter la récente annonce datée d’octobre sur l’Expansion zonale des Azure VMSS.

Voici d’ailleurs un schéma montrant l’intégration de 3 zones au sein d’une seule région Azure :

Microsoft a déjà mis à disposition la documentation sur ce nouveau type de migration :

En revanche, la possibilité d’utiliser ce type de migration dépendra de votre scénario actuel :

Scénario	Assistance technique	Détails
Machine virtuelle à instance unique	Prise en charge	Le déplacement régional vers zonal de machines virtuelles à instance unique est pris en charge.
Machines virtuelles au sein d’un groupe à haute disponibilité	Non pris en charge
Machines virtuelles à l’intérieur de groupes de machines virtuelles identiques avec orchestration uniforme	Non pris en charge
Machines virtuelles à l’intérieur de groupes de machines virtuelles identiques avec orchestration flexible	Non pris en charge
Régions prises en charge	Prise en charge	Seules les régions prises en charge par la zone de disponibilité sont prises en charge. En savoir plus sur les détails de la région.
Machines virtuelles déjà situées dans une zone de disponibilité	Non pris en charge	Le déplacement interzone n’est pas pris en charge. Seules les machines virtuelles qui se trouvent dans la même région peuvent être déplacées vers une autre zone de disponibilité.
Extensions de machine virtuelle	Non pris en charge	Le déplacement de machine virtuelle est pris en charge, mais les extensions ne sont pas copiées sur une machine virtuelle zonale cible.
Machines virtuelles avec lancement fiable	Prise en charge	Réactivez l’option Analyse de l’intégrité dans le portail et enregistrez la configuration après le déplacement.
Machines virtuelles confidentielles	Prise en charge	Réactivez l’option Analyse de l’intégrité dans le portail et enregistrez la configuration après le déplacement.
Machines virtuelles de 2e génération (démarrage UEFI)	Prise en charge
Machines virtuelles dans des groupes de placement de proximité	Prise en charge	Le groupe de placement de proximité source (PPG) n’est pas conservé dans la configuration zonale.
VM spot (machines virtuelles de basse priorité)	Prise en charge
Machines virtuelles avec hôtes dédiés	Prise en charge	L’hôte dédié de machine virtuelle source ne sera pas conservé.
Machines virtuelles avec mise en cache de l’hôte activée	Prise en charge
Machines virtuelles créées à partir d’images de la Place de marché	Prise en charge
Machines virtuelles créées à partir d’images personnalisées	Prise en charge
Machine virtuelle avec licence HUB (Hybrid Use Benefit)	Prise en charge
Stratégies RBAC de machine virtuelle	Non pris en charge	Le déplacement de machine virtuelle est pris en charge, mais les RBAC ne sont pas copiés sur une machine virtuelle zonale cible.
Machines virtuelles utilisant l’accélération réseau	Prise en charge

Pourquoi migrer dans une Zone de disponibilité Azure ?

Les avantages à utiliser les zones de disponibilité Azure sont les suivants:

Pour des raisons de besoins de fiabilité et de performance.
Pour une reprise après sinistre sans compromettre la résidence des données.

Pour rappel, la SLA sera différente si la VM est toute seule, ou si elle est accouplée à une autre VM dans une Availability Set ou Availability Zone :

Afin de se faire une meilleure idée sur cette migration, je vous propose de réaliser un petit exercice, dont les tâches seront les suivantes :

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice sur la bascule d’une VM dans une zone d’Azure, il vous faudra disposer des éléments suivants :

Un tenant Microsoft
Une souscription Azure valide

Afin de pouvoir tester cette fonctionnalité toujours en préversion, il est nécessaire de créer une machine virtuelle non Zonée (ou Régionale).

Etape I – Préparation de la VM Régionale :

Pour cela, rechercher le service Machines virtuelles sur le portail Azure :

Cliquez-ici pour commencer la création de la première machine virtuelle :

Renseignez les informations de base relatives à votre VM en choisissant aucune redondance :

Choisissez la taille de votre VM, définissez un compte administrateur local, bloquer les ports entrants, puis cliquez sur Suivant :

Aucune modification n’est à faire sur cet onglet, cliquez sur Suivant :

Décochez l’extinction automatique de la machine virtuelle, puis lancez la validation Azure :

Une fois la validation Azure réussie, lancez la création de la première VM, puis attendez environ 2 minutes :

Une fois le déploiement terminé, cliquez-ici pour consulter votre première machine virtuelle :

Cliquez-ici pour déclencher le déploiement du service Azure Bastion :

Ouvrez une session de bureau à distance via Azure Bastion en utilisant les identifiants administrateurs renseignés lors de la création de la VM :

Ouvrez une ou plusieurs applications en enregistrant le travail effectué :

Notre première machine virtuelle non-zonée ou régionale est maintenant opérationnelle. Nous pouvons dès à présent lancer le processus de migration vers la zone souhaitée.

Etape II – Déplacement de la VM Régionale dans une Zone :

Pour commencer ce processus, rendez-vous dans l’un des 2 menus suivants :

Cliquez sur le menu à gauche appelé Disponibilité + dimensionnement.
Cliquez sur le bouton d’édition à droite pour modifier la Zone de disponibilité.

Cliquez-ici pour démarrer le processus de migration :

Choisissez la zone cible pour la migration :

Attendez environ 2-3 minutes afin qu’Azure mette en place les droits RBAC nécessaires pour procéder à la migration :

Une notification Azure apparaît également :

Un nouveau groupe de ressources est créé par cette même occasion :

Des droits RBAC sont également générés au niveau de la souscription Azure concernée :

Une fois le traitement terminé, l’écran suivant apparait, modifiez les champs au besoin :

Dans mon cas, j’ai modifié les valeurs suivantes, puis j’ai cliqué sur Valider :

Création d’un nouveau groupe de ressources
Création de nouvelles ressources pour tous les objets existants
Modification des noms des ressources

La validation entraine une seconde vérification des paramètres modifiés :

Une nouvelle notification Azure apparait indiquant que le traitement est en cours :

Environ 30 secondes plus tard, le traitement de validation se termine :

Lancez le déplacement des ressources en cochant la case ci-dessous, puis en cliquant sur Déplacer :

Le traitement démarre et vous informe que celui-ci durera plusieurs minutes :

Le nouveau groupe de ressources Azure se créé avec les ressources commencent également à y apparaître :

La session de bureau à distance ouverte via Azure Bastion sur la première machine virtuelle se ferme, comme attendu :

Un rapide contrôle du statut de la première machine virtuelle nous montre que cette dernière s’est bien arrêtée :

Le groupe de ressource créé par le service de déplacement nous montre la présence d’une collection de points de restauration :

Celle-ci contient bien un point de restauration lié au traitement de migration de la VM :

Environ 5 minutes plus tard, l’écran nous indique que le traitement est terminé. On y apprend également plusieurs choses :

La première machine virtuelle a bien été arrêtée, mais n’a pas été supprimée
La seconde machine virtuelle est bien démarrée et est localisée dans la zone 3

Des consignes post-déploiement sont même affichées afin de vous guider sur la suite :

Le nouveau groupe de ressources créé par la migration montre bien toutes les ressources configurées selon les options renseignées :

De retour dans le groupe de ressources précédent, la collection des points de restauration a disparu après la migration :

Etape III – Contrôle de la VM zonée :

Les deux machines virtuelles sont bien présentes et visibles, cliquez sur la nouvelle VM :

Vérifiez la présence de la zone 3, puis cliquez sur le Editer :

Microsoft vous indique qu’il n’est pas encore possible de déplacer des ressources entre les zones dans une région Azure :

Cette information de zone de notre machine virtuelle est aussi disponible ici :

Comme un nouveau réseau virtuel a été recréé dans mon exemple, pour me connecter en RDP, je dois effectuer une des actions suivantes :

Redéployer un service Azure Bastion
Utiliser l’adresse IP publique
Appairer les 2 réseaux virtuels entre eux

Ouvrez une session de bureau à distance via Azure Bastion en utilisant les identifiants administrateurs renseignés lors de la création de la première VM :

Vérifiez la présence du travail effectué précédemment :

Etape IV – Nettoyage des ressources non zonées :

Important : l’infrastructure existante telle que les VNET, les sous-réseaux, les NSG, les LB, … tirent déjà parti d’une configuration zonale, nous aurions pu les garder au lieu d’en recréer.

Si tout est OK pour vous, il ne vous restera qu’à supprimer les deux groupes de ressources suivants :

Groupe de ressources contenant l’ancienne machine virtuelle
Groupe de ressource contenant les composants liés à la migration

La suppression d’un groupe de ressources Azure s’effectue très simplement :

Confirmez l’ordre de suppression :

Conclusion

Microsoft automatise tous les jours un peu plus certaines tâches manuelle au fil des améliorations faites à Azure. Tous les gains d’efficacité doivent également profiter aux ressources déjà déployées.

On pourra peut-être bientôt voir le même type de processus automatisé intégrer des machines virtuelles existantes dans des Availability Sets ou des Proximity placement groups 😎

Copilot for Azure 💙

Comme pour Microsoft 365, Azure a lui aussi droit à son propre Copilot, appelé Copilot for Azure. Par contre, aucune GA n’a pour l’instant encore été annoncée pour ce dernier, seule la préversion est actuellement disponible sur demande et sur approbation de Microsoft. Copilot for Azure est bien une IA fonctionnant sous forme d’assistant, tout en ayant un accès direct aux ressources Azure selon vos droits RBAC.

Un premier article sur ce blog parlant déjà de plusieurs Copilot est disponible juste ici, tandis qu’un autre consacré à l’IA de façon généraliste est accessible juste là.

L’annonce de l’ouverture de la préversion de Copilot for Azure s’est faite durant l’Ignite, la procédure pour la rejoindre avait été détaillée sur le blog Azure :

Microsoft Copilot for Azure est déjà utilisé en interne par les employés de Microsoft et par un petit groupe de clients.

Aujourd’hui, nous sommes ravis de passer à l’étape suivante en annonçant et en lançant l’avant-première pour vous ! Cliquez ici pour vous inscrire.

Nous intégrerons les clients à l’avant-première sur une base hebdomadaire. Dans les semaines à venir, nous ajouterons continuellement de nouvelles fonctionnalités et apporterons des améliorations en fonction de vos commentaires.
Azure Blog

Comme l’indique encore le blog Azure, Copilot for Azure va vous aider principalement à :

Conception : créer et configurer les services nécessaires tout en s’alignant sur les politiques de l’organisation
Exploitation : répondre aux questions, créer des commandes complexes et gérer les ressources
Dépannage : orchestrer les services Azure pour obtenir des informations permettant de résumer les problèmes, d’identifier les causes et de suggérer des solutions
Optimisation : améliorer les coûts, l’évolutivité et la fiabilité par le biais de recommandations pour votre environnement

Que peut-on rêver de mieux? Voici d’ailleurs ce que son grand frère en dit de lui quand on lui pose la question 🤣 :

Voici également une vidéo sur Copilot for Azure déjà réalisée par John Savill :

Tout comme John, je souhaitais partager avec vous mes premières expériences de Copilot for Azure, depuis la demande d’accès jusqu’aux premiers tests sur le portail Azure. Voici quelques prompts réalisés sur mon environnement Azure autorisé :

Avant de pouvoir jouer à Copilot for Azure, il est nécessaire de le mettre en place sur Copilot for Azure sur votre environnment.

Etape 0 – Mise en place de Copilot for Azure :

Comme pour tout produit en préversion chez Microsoft, des contraintes sont présentes :

L’autorisation pour Copilot for Azure portera sur toutes les souscriptions Azure.
Uniquement disponible certains partenaires agréés par Microsoft.
Uniquement disponible sur le Cloud publique d’Azure (Pas de Gov ou China).
Seulement l’anglais est disponible durant la préversion publique.
La préversion publique est gratuite.

Tout commence par le formulaire officiel à accessible par ce lien :

Des informations personnelles et professionnelles sont nécessaires, et il vous faudra également donner votre Tenant ID :

Après avoir rempli votre formulaire, il ne vous reste qu’à l’envoyer :

Voici le message email que vous devriez immédiatement recevoir après l’envoi du formulaire :

Exactement 15 jours plus tard, j’ai reçu avec un immense plaisir le second email suivant :

J’ai donc immédiatement vérifié un éventuel changement sur le portail Azure, rien à ce moment-là :

Par contre, le lendemain, les choses ont bougé et le bouton Copilot y a fait son apparition :

En cliquant dessus, on remarque que Copilot est toujours en préversion, c’est important de le rappeler :

Quelques explications apparaissent, cliquez sur Suivant :

On y apprend les 3 principales limitations à la préversion :

5 ressources impactées max par une action Copilot
10 requêtes max par session de chat avec Copilot
5 chats max par tranche de 24 heures avec Copilot

Enfin l’avertissement sur le besoin actuel et indispensable de vérifier toutes les réponses d’une IA :

Le prompt est maintenant à nous, nous allons pouvoir effectuer quelques tests :

Commençons par une chose simple sur des ressources Azure déjà en place.

Test I – Prompt Analyse (nombre de VMs) :

Demandons à Copilot le calculer nombre de VMs Azure présentes sur mon environnement Azure :

Copilot for Azure nous montre qu’il tient compte des souscriptions filtrées dans ma console et la requête qu’il compte faire sous forme de requête :

La réponse affichée dans le prompt par Copilot for Azure est bien correct :

Je n’ai bien qu’une seule machine virtuelle actuellement visible sur mon tenant de test :

Continuons maintenant avec un prompt de type action sur une ressource Azure.

Test II – Prompt Action (démarrage VM) :

Demandons à Copilot de nous démarrer cette machine virtuelle précédemment listée :

Copilot for Azure comprend la demande et nous demande juste de confirmer l’ordre d’allumage :

Copilot démarre la machine virtuelle et nous invite à suivre l’évolution via la notification Azure :

Une notification Azure apparaît bien suite à la confirmation à Copilot de l’ordre de démarrage :

Environ 1 minute plus tard, la notification Azure confirme bien le démarrage de la VM :

Le statut de la machine virtuelle a bien changé dans la liste des VMs Azure :

Continuons avec un second ordre sur une ressource Azure.

Test III – Prompt Contre-Action (arrêt VM) :

Admettons que la commande précédente ne soit pas celle finalement voulue. Voici ce qui passe avec Copilot si l’on souhaite faire modifier cette action par une autre.

Ma machine virtuelle ci-dessous supporte le mode hibernation décrit sur ce blog ici et là :

Je souhaite que Copilot change son statut, actuellement démarrée, en mode hibernation :

Visiblement, la fonction d’hibernation, encore en préversion, n’est pas encore reconnue par Copilot for Azure :

Copilot me propose malgré tout une autre action proche de celle demandée :

Je confirme mon choix en cliquant sur Oui :

Une nouvelle notification Azure apparait alors :

Le message suivant de Copilot apparaît dans le prompt au même moment :

Environ 30 secondes plus tard, la notification Azure de succès de l’action apparaît :

Le statut de la machine virtuelle a bien changé comme attendu :

Continuons nos tests avec des questions financières relative au Cost Management d’Azure.

Test IV – Prompt Analyse (Coûts Azure) :

Cette machine virtuelle est opérationnelle depuis déjà plusieurs semaines. Posons la question suivante à Copilot afin d’obtenir les coûts depuis le 1er novembre 2023 :

Le résultat n’est selon moi pas correct comme le montre les coûts présents :

Posons la même question afin d’obtenir les coûts depuis le 1er décembre 2023 :

Posons la question en ciblant la VM afin d’obtenir ses coûts depuis le 1er décembre 2023 :

Là encore, et malgré que cette VM est bien souvent en état d’hibernation, des coûts sont constamment présents sur la partie stockage, comme le montre le Cost Management suivant :

Afin d’approcher différemment cette requête financière, j’ajoute un tag sur toutes les ressources Azure concernées :

Et je repose la question à Copilot en ciblant uniquement le tag :

La requête est bien comprise par Copilot for Azure puisque seules des ressources taggées me sont affichées en réponse dans le prompt :

Mais la même réponse d’absence de coûts m’est retournée quand je cherche à savoir combien me coûte les ressources Azure ayant ce même tag :

Continuons nos tests avec d’autres exemples de prompt.

Test V – Prompt Analyse (Infos VM) :

Posons une question simple à Copilot concernant le statut de votre VM :

Les informations retournées sont précises et informatives :

Continuons nos tests avec d’autres exemples de prompt.

Test VI – Prompt Action (création VM) :

Une autre demande à Copilot sur la création de ressource Azure vous donnera toutes les étapes nécessaires, sous forme de commandes CLI, sans pour autant les réaliser pour vous pour l’instannt :

En ouvrant soi-même une fenêtre Azure Cloud Shell et en y copiant les 2 commandes proposées par Copilot, la création de la VM démarre bien :

Voici un second test de création de VM avec plus de paramètres :

Continuons nos tests dans le cas où l’on souhaiterait modifier une ressource Azure déjà en place.

Test VII – Prompt Action (Modification VM) :

Demandons à Copilot de changer la taille de la VM récemment créée :

Malheureseument, Copilot n’effectue pas directement l’action mais repropose une commande CLI.

Une fois la commande manuellement lancée dans Azure Cloud Shell, la taille de la VM est bien modifiée :

Continuons nos tests avec d’autres exemples de prompt.

Test VIII – Prompt Optimisation (Protection VM) :

Demandons à Copilot de l’aide dans la protection d’une machine virtuelle déjà en place :

L’ordre suivant apparaît alors :

Je sélectionne le premier compte de stockage de la liste :

Je confirme mon choix en cliquant sur Oui :

Le traitement d’analyse suivant ce lance alors :

Copilot for Azure m’affiche des conseils de sécurité concernant le compte de stockage sélectionné :

C’est une bonne chose, mais je voulais obtenir des conseils pour ma machine virtuelle😎

Continuons nos tests avec d’autres exemples de prompt.

Test IX – Prompt Analyse (Suppression VM) :

Continuons les tests Copilot par une demande de suppression d’une machine virtuelle Azure :

Copilot for Azure comprend bien la requête et me confirmer l’action de suppression :

La fenêtre habituelle de suppression de ressources apparaît alors :

Je confirme mon choix :

La notification Azure de suppression apparaît alors :

Celle-ci se confirme environ 1 minute plus tard :

La machine virtuelle est bien supprimée :

Continuons nos tests avec un dernier exemple de prompt.

Test X – Prompt Documentation (Azure Virtual Desktop) :

Terminons par une question documentaire sur le déploiement d’un environnement Azure Virtual Desktop :

Plusieurs documentations Microsoft me sont retournées. Peut-être qu’un jour ce blog y sera également en tant que réponse Copilot 🤣

Conclusion

Cette première préversion de Copilot for Azure montre déjà un certain potentiel dans la gestion, la création et l’optimisation des ressources du Cloud. J’ai eu aussi quelques petites erreurs de prompt ou de perte connexion avec les serveurs Copilot.

Nul doute que Copilot va très rapidement gagner en stabilité, apprendre plus de commandes et proposer d’interactions afin de faciliter la vie dans certaines actions basiques ou avancées sur le Cloud Azure.

Microsoft Copilots 📱

En cette fin d’année, de petits Copilots nous entourent 🧑‍🎄 … tout comme la magie de Noël … ils sont partout ☃️ ! L’histoire de Microsoft Copilot avait démarré avec la préversion de GitHub Copilot annoncée en 2021. Mais l’année 2023 n’est pas en reste avec le lancement de Bing Chat en février, de DALL-E en mars, … et enfin la disponibilité de Microsoft 365 Copilot pour les entreprises à partir du 1er novembre dernier.

La question que tout le monde se pose : que pouvons avoir maintenant ?

Existe-t-il un ou plusieurs Copilot ?

Il existe pour plusieurs Copilot, mais le nombre n’est pas encore certains car l’information des projets Copilot chez Microsoft n’est pas partagée à 100%. Voici donc un tableau non exhaustif :

Et voici une autre présentation répartie cette fois par catégories d’emploi :

Le plus connu de tous est sans aucun doute Copilot pour Microsoft 365 :

Mais d’autres Copilot peuvent eux aussi apporter leurs bénéfices, comme dans certains domaines IT spécifiques :

Security Copilot est un produit de cybersécurité basé sur l’IA qui permet aux professionnels de la sécurité de réagir rapidement aux cybermenaces, de traiter les signaux à la vitesse de la machine et d’évaluer l’exposition aux risques en quelques minutes.
Microsoft Sécurité Copilot

GitHub Copilot transforme l’expérience des développeurs. Soutenu par les leaders de l’IA, Copilot fournit une assistance contextualisée tout au long du cycle de vie du développement logiciel, de l’achèvement du code dans l’IDE aux explications de code dans GitHub et plus encore.
GitHub Copilot

Microsoft Copilot for Azure, un compagnon IA qui vous aide à concevoir, exploiter, optimiser et dépanner votre infrastructure et vos services cloud. Copilot for Azure permet une compréhension et une gestion approfondies de tout ce qui se passe dans Azure, du nuage à la périphérie.
Microsoft Copilot pour Azure

Comment fonctionne un Copilot chez Microsoft ?

Le schéma ci-dessous circule beaucoup sur internet, et c’est normal car sa compréhension est très facile, et il explique assez fidèlement le fonctionnement de n’importe quel Copilot de Microsoft :

On retrouve ici les 3 grands piliers des Copilots de Microsoft :

Le Prompt : commande utilisateur pour à la fois pour demander, et recevoir les réponses de Copilot. L’utilisateur pose des questions à Copilot sur ce qu’il souhaite. La requête peut comporter 4 parties : l’objectif, le contexte, les attentes et la source.

l’API Microsoft Graph : Microsoft Graph comprend des informations sur les relations entre les utilisateurs, les activités et les données de votre organisation, telles que provenant des courriels, des chats, des documents et des réunions.

Le LLM pour Modèles de langage volumineux : Ces modèles de base utilisent l’IA générative (et plus précisément le Deep Learning) pour le traitement du langage naturel (NLP) et la génération de langage naturel (NLG).

Quel Copilot puis-je actuellement utiliser ?

Beaucoup de Copilot ont déjà été annoncés, mais peu sont entièrement ouverts à tous. Voici quelques exemples :

Microsoft 365 Copilot : actuellement disponible à l’achat (300 licences min)
Microsoft Copilot pour Azure : Demande d’accès à Microsoft Copilot for Azure
Microsoft Sécurité Copilot : Formulaire du programme d’accès anticipé
GitHub Copilot : Copilot Business -> 19$ / utilisateur ou Copilot Enterprise 39$ / utilisateur

Si vous n’êtes pas concerné par aucun des scénarios listés, il est malgré tout possible d’utiliser pour le moment Bing Chat et Bing Chat Entreprise.

Qu’est-ce que sont Bing Chat et Bing Chat Entreprise ?

Attention ! Depuis l’Ignite de 2023, Bing Chat et Bing Chat Enterprise ont été renommés et s’appelle simplement Copilot 🤣🤣.

La différence entre Bing Chat et Bing Chat Enterprise repose sur le fait de se connecter avec votre identifiant Entra ID :

Cela permet d’avoir l’assurance d’une protection commerciale des données, ce qui signifie que les données de chat ne sont pas sauvegardées, que Microsoft n’y a pas accès et que vos données ne sont pas utilisées pour former les modèles.
Microsoft blog

Comme le montre le tableau ci-dessous, la notion de donnée d’entreprises est uniquement accessible depuis Microsoft 365 Copilot.

Au niveau de la tarification, Copilot est gratuit, tandis que Copilot pour Microsoft 365 est toujours fixé à 30$ par utilisateur et par mois :

Voici d’ailleurs des essais de connexion sur la page copilot.microsoft.com selon les 3 méthodes possibles.

Accès à Copilot avec un compte Microsoft :

Accès à Copilot avec un compte Entra ID :

Accès à Copilot avec un compte Entra ID ayant une licence Microsoft 365 Copilot :

A noter également que j’ai essayé Copilot avec un compte Entra ID sur un tenant sans aucune licence Microsoft 365 :

Je me demande donc si Copilot (Anciennement Bing Chat Entreprise) n’est pas un produit présent uniquement dans certaines licences comme :

Microsoft 365 E3, E5
Business Premium et Business Standard
Microsoft 365 F3 (à partir de décembre).
Licence seule : $5 par mois

En regardant le détail d’une licence Microsoft E5, je le retrouve bien juste ici :

Enfin, Je me doute que beaucoup de personnes attendent avec impatience de pouvoir mettre la main sur une licence Copilot pour Microsoft 365. Mais 300 licences pour faire seulement du test, cela risque d’être très difficulté à justifier !

Une chose est pour l’instant certaine : le marché SMB n’est pas formellement inscrit dans la roadmap de Microsoft Copilot 365 😥.

Des ressources pour patienter ?

Pour compenser cette attente, voici différents liens utiles concernant Microsoft 365 Copilot 💪 :

Restez branché !

Restez branché pour les prochains articles sur Copilot! La licence reçue sur mon compte va me permettre de tester Copilot sur différents outils afin de bien comprendre les impacts et les bénéfices au quotidien.

Ces articles devraient suivre très vite 🥳

Azure Site Recovery pour des serveurs sur site

En cas de sinistre informatique, il n’y a aucun moyen de savoir ce qui peut frapper ou comment votre l’infrastructure peut en être affectée. Toutefois, en adoptant une approche réfléchie de la planification en cas de catastrophe, vous créer une tranquillité d’esprit si votre entreprise devait être confrontée à un sinistre.

Azure Site Recovery : permet d’assurer la continuité de l’activité en maintenant l’exécution des charges de travail et applications métier lors des interruptions. Site Recovery réplique les charges de travail s’exécutant sur des machines virtuelles et physiques depuis un site principal vers un emplacement secondaire.

En cas d’interruption au niveau de votre site principal, vous basculez vers un emplacement secondaire, depuis lequel vous pouvez accéder aux applications. Quand l’emplacement principal est de nouveau fonctionnel, vous pouvez effectuer une restauration automatique vers celui-ci.
Microsoft Learn

Voici une vidéo qui parle des mécanismes d’Azure Site Recovery :

Afin de se faire une meilleure idée sur Azure Site Recovery, je vous propose de réaliser un petit exercice combinant Azure Site Recovery et Hyper-V :

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice sur Azure Site Recovery, il vous faudra disposer de :

Un tenant Microsoft
Une souscription Azure valide

Important : Pour cela, je vous propose de simuler deux serveurs sous Windows Server 2019 grâce à un environnement virtualisé de type Hyper-V hébergé lui sur Azure

Dans Azure, il est en effet possible d’imbriquer de la virtualisation. Cela demande malgré tout quelques exigences, comme le SKU de la machine virtuelle Hyper-V, mais aussi sa génération.

Etape I – Préparation de la machine virtuelle hôte (Hyper-V) :

Depuis le portail Azure, commencez par rechercher le service des machines virtuelles :

Cliquez-ici pour créer votre machine virtuelle hôte (Hyper-V) :

Renseignez tous les champs de base de votre machine virtuelle Hyper-V :

Choisissez une taille de machine virtuelle présent dans la famille Dsv3 :

Définissez un compte administrateur local, puis cliquez sur Suivant :

Rajoutez un second disque pour stocker la machine virtuelle invitée (Windows 11),créée plus tard dans notre machine virtuelle hôte (Hyper-V) :

Conservez les options par défaut, puis cliquez sur OK :

Cliquez ensuite sur Suivant :

Retirez l’adresse IP publique (pour des questions de sécurité), puis cliquez sur Suivant :

Décochez l’extinction automatique de la machine virtuelle, puis lancez la validation Azure :

Une fois la validation Azure réussie, lancez la création de la première VM, puis attendez environ 3 minutes :

Une fois le déploiement terminé, cliquez-ici pour consulter votre machine virtuelle Hyper-V :

Cliquez-ici pour déclencher le déploiement du service Azure Bastion :

Attendez environ 5 minutes qu’Azure Bastion soit déployé pour continuer cet exercice :

La notification suivante vous indique alors le succès de la création d’Azure Bastion :

La configuration Azure est maintenant terminée, la suite va se passer sur la machine virtuelle Hyper-V.

Etape II – Configuration Hyper-V :

Ouvrez une session de bureau à distance via Azure Bastion en utilisant les identifiants administrateurs renseignés lors de la création de la VM :

Une fois connecté sur votre machine virtuelle hôte (Hyper-V), ouvrez Windows PowerShell :

Exécutez la commande suivante pour installer les deux rôles suivants :

Rôle DHCP
Rôle Hyper-V

Install-WindowsFeature -Name DHCP,Hyper-V  –IncludeManagementTools

Attendez environ une minute que l’installation des rôles se termine :

Lancez la commande suivante pour lancer un redémarrage de votre VM hôte (Hyper-V) :

Shutdown -R

Attendez environ 30 secondes que le redémarrage se termine pour se reconnecter à celle-ci, toujours via Azure Bastion :

Une fois la session Bastion rouverte, ouvrez PowerShell en mode ISE :

Lancez le script suivant afin de créer un switch virtuel dans Hyper-V, et de type interne :

$switchName = "InternalNAT"
New-VMSwitch -Name $switchName -SwitchType Internal
New-NetNat –Name $switchName –InternalIPInterfaceAddressPrefix “192.168.0.0/24”
$ifIndex = (Get-NetAdapter | ? {$_.name -like "*$switchName)"}).ifIndex
New-NetIPAddress -IPAddress 192.168.0.1 -InterfaceIndex $ifIndex -PrefixLength 24

Lancez le script suivant afin de configurer un périmètre DHCP avec une règle de routage, et le serveur DNS d’Azure :

Add-DhcpServerV4Scope -Name "DHCP-$switchName" -StartRange 192.168.0.50 -EndRange 192.168.0.100 -SubnetMask 255.255.255.0
Set-DhcpServerV4OptionValue -Router 192.168.0.1 -DnsServer 168.63.129.16
Restart-service dhcpserver

Ouvrez le Gestionnaire de disques depuis le menu démarrer afin de configurer le disque de données ajouté sur votre VM hôte (Hyper-V) :

Dès l’ouverture du Gestionnaire de disques, cliquez sur OK pour démarrer l’initialisation du disque de données :

Sur celui-ci, créez un nouveau volume :

Cliquez sur Suivant :

L’environnement Hyper-V est maintenant en place. Nous allons pouvoir créer ensemble deux machine virtuelles :

Windows Server 2019 pour jouer le rôle d’Appliance Azure Site Recovery
Windows Server 2019 pour jouer le rôle d’un serveur on-premise

Etape III – Création des machines virtuelles (Appliance / SRV) :

Pour cela, il est nécessaire de récupérer une image au format ISO de Windows Server 2019 afin de créer la machine virtuelle Appliance, puis d’y installer l’OS.

Toujours sur la machine virtuelle hôte (Hyper-V), ouvrez le navigateur internet Microsoft Edge.

Rendez-vous sur la page suivante pour télécharger l’ISO de Windows Server 2019, puis effectuez les actions suivantes :

Attendez quelques minutes pour que le téléchargement de l’ISO se termine :

Depuis votre VM hôte (Hyper-V), rouvrez votre console Hyper-V Manager, puis cliquez-ici pour créer votre première machine virtuelle Appliance :

Cliquez sur Suivant :

Modifier les informations suivantes pour pointer vers le nouveau lecteur créé sur la VM hôte (Hyper-V), puis cliquez sur Suivant :

Pensez à bien choisir Génération 2 :

Modifier la taille de la mémoire vive allouée à la VM Appliance, puis cliquez sur Suivant :

Utilisez le switch créé précédemment, puis cliquez sur Suivant :

Cliquez sur Suivant :

Utilisez le fichier ISO de Windows Server 2019 téléchargé précédemment, puis cliquez sur Suivant :

Cliquez sur Terminer pour finaliser la création de votre machine virtuelle archive :

Modifiez le nombre de processeurs virtuels, puis cliquez sur OK :

Cliquez-ici pour lancer le démarrage de la VM archive :

Appuyez sur n’importe quelle touche du clavier pour démarrer sur l’image ISO de Windows Server 2019 :

Choisissez les informations de langue qui vous correspondent, puis cliquez sur Suivant :

Lancez l’installation de Windows Server 2019 :

Choisissez une version suivante de Windows Server 2019, puis cliquez sur Suivant :

Acceptez les termes et conditions de Microsoft, puis cliquez sur Suivant :

Sélectionnez l’installation personnalisée de Windows Server 2019 :

Validez l’installation sur le seul disque disponible, puis cliquez sur Suivant :

Attendez maintenant que l’installation de Windows Server 2019 commence :

En attentant que l’installation de Windows Server 2019 se finisse sur la machine virtuelle Appliance, créez une seconde machine virtuelle appelée et SRV de génération 1 :

De la même manière que pour la VM appliance, lancez l’installation de Windows Server 2019 sur la VM SRV :

Une fois les deux installations terminées, définissez un mot de passe pour le compte administrateur local :

Sur les 2 VMs, renseignez le mot de passe administrateur pour ouvrir une sessions Windows :

Désactivez la sécurité Internet Explorer, puis cliquez sur OK :

Depuis Internet Explorer, recherchez puis installez Edge :

Nous deux machines virtuelles sont correctement installées. La suite consiste à mettre en place l’appliance d’Azure Site Recovery.

Etape IV – Configuration Azure Site Recovery :

Retournez sur le portail Azure afin de créer le Coffre de restauration (Azure Recovery Vault) :

Renseignez les informations de base de votre Coffre de restauration, puis lancez la validation Azure :

Une fois la validation Azure réussie, lancez la création de Coffre de restauration, puis attendez environ 1 minute :

Une fois le déploiement terminé, cliquez-ici pour commencer la configuration de Coffre de restauration :

Préparer l’infrastructure on-premise en cliquant ici :

Cliquez sur le lien suivant afin d’ouvrir la documentation Microsoft :

Copiez le lien ci-dessous (ou ici) afin de télécharger l’appliance dédiée à Azure Site Recovery :

Collez ce lien dans la machine virtuelle Appliance, puis attendez la fin du téléchargement :

Une fois l’archive ZIP téléchargé, ouvrez le dossier contenant celle-ci :

Avant de décompresser l’archive ZIP, débloquez celle-ci grâce à la case suivante, puis cliquez sur OK :

Lancez l’extraction dans le dossier de votre choix :

Attendez environ 3 minutes que l’archive ZIP se décompresse en totalité :

Sur la machine virtuelle Appliance, ouvrez une session PowerShell, puis positionnez-vous le dossier où l’archive ZIP a été extraite :

Lancez la commande PowerShell suivante :

.\DRInstaller.ps1

Confirmez la réponse avec Y :

Attendez environ 2 minutes que le traitement PowerShell se termine :

Vérifiez qu’aucune erreur n’a été remontée dans la fenêtre PowerShell :

Toujours sur la VM Appliance, retrouvez le dossier Software créé à la racine du disque Q afin de modifier ses propriétés :

Dans l’onglet Partage, cliquez sur le bouton Partager :

Confirmez les utilisateurs voulus, puis cliquez sur Partager :

Copiez le chemin du partage puis fermez la fenêtre de configuration du partage :

Lancez les 2 actions suivantes respectivement sur les deux VMs :

Sur la machine virtuelle Appliance, ouvrez Microsoft Azure Appliance Configuration Manager (présent sur le bureau )
Sur la machine virtuelle SRV, utilisez l’explorateur Windows pour vous rendre sur le chemin du partage activé précédemment

Sur la VM Appliance, vérifiez le bon fonctionnement réseau ainsi que les préconisations minimales, puis cliquez sur Continuer :

Attendez le contrôle de version, puis cliquez sur Continuer :

Cliquez sur Sauvegarder :

Cliquez sur Continuer :

Coller la clef précédemment présentée sur votre Coffre de restauration Azure, puis cliquez sur Login :

La fenêtre suivante s’ouvre afin que vous puissiez copier le code d’identification dans Azure :

Renseignez ce code dans la fenêtre d’authentification Azure, puis cliquez sur Suivant :

Renseignez vos identifiants Azure :

Réussissez le challenge MFA si nécessaire :

Cliquez sur Continuer afin d’autoriser la configuration avec Azure :

Vérifiez la confirmation Azure :

Attendez que l’enregistrement sur Azure se termine :

Cliquez sur Continuer :

Cochez la case suivante puis cliquez sur Continuer :

Ajoutez les informations relatives (identifiants / IP) à la machine virtuelle SRV :

Une fois ces informations renseignées, cliquez sur Continuer :

Comme indiqué, attendez jusqu’à 30 minutes que le traitement se termine :

En attendant, lancez l’installation de l’agent sur la machine virtuelle SRV disponible sur le partage réseau activé précédemment :

Cliquez sur Suivant :

Attendez environ 2 minutes que l’installation se termine :

Une fois l’installation terminée, cliquez ici pour configurer l’agent :

Copiez les détails de la machine virtuelle SRV dans le bloc-notes :

Créez sur le partage réseau un fichier texte contenant les détails de la machine virtuelle SRV, collez le contenu de ce fichier texte sur la machine virtuelle Appliance, puis téléchargez le fichier de configuration :

Sauvegardez le fichier de configuration téléchargé précédemment sur le partage réseau, puis insérez le dans la configuration de la machine virtuelle SRV :

Lancez le traitement de configuration, puis attendez environ 1 minute :

Cliquez sur terminer une fois tous les voyants au vert :

De retour sur Azure, vérifiez la bonne configuration de l’infrastructure de reprise dans le Coffre de restauration :

La configuration d’Azure Site Recovery est maintenant terminée. La prochaine étape consiste en la mise en place de la réplication vers Azure.

Etape V – Activation de la réplication :

Activez la réplication de votre VM SRV via le menu suivant :

Choisissez votre VM SRV dans la liste des machines à répliquer, puis cliquez sur Suivant :

Cliquez sur Suivant :

Renseignez tous les champs ci-dessous, puis cliquez sur Suivant :

Activez la réplication Azure :

Une première notification Azure apparaît pour vous signaler la mise en place des ressources :

Puis une seconde notification Azure apparaît pour vous indiquer le démarrage de la réplication de votre VM SRV :

Un clic sur cette notification nous affiche toutes les étapes et travaux réalisés au sein du Coffre de restauration :

Environ 10 minutes, une nouvelle notification nous indique le succès de la configuration de réplication :

Cliquez ici pour suivre l’avancement de la réplication des données vers Azure :

La machine virtuelle SRV est maintenant répliquée dans Azure. Nous allons maintenant pouvoir tester la réplication ASR via la fonction de bascule (failover).

Etape VI – Test de la réplication :

Environ 45 minutes après, la machine virtuelle SRV est enfin répliquée dans Azure et son statut change en Protégée :

Consultez les informations dont le RPO :

Consultez le schéma complet de réplication ASR :

Vérifiez et modifiez ci-dessous les informations VM et réseau :

Vérifiez et modifiez ci-dessous les informations des disques :

De retour sur la machine virtuelle SRV, créez un fichier image, puis enregistrez-le sur le bureau :

Attendez environ 10 minutes, puis lancez l’opération de bascule vers Azure :

Cochez la case suivante, plus cliquez-ici :

Confirmez votre action en cliquant ici :

Une nouvelle notification Azure apparaît pour vous indiquer la création de la machine virtuelle SRV dans Azure :

Consultez le nouveau groupe de ressources Azure créé pour la réplication :

Attendez la seconde notification Azure vous indiquant le succès du traitement de bascule :

Rafraichissez la page du groupe de ressources créé par ASR afin de constate la présence de la nouvelle machine virtuelle SRV :

Vérifiez la configuration CPU / Mémoire :

Cliquez-ici pour déclencher le déploiement du service Azure Bastion :

La notification suivante vous indique alors le succès de la création d’Azure Bastion :

Lancez le script PowerShell suivant afin d’activer le service de bureau à distance :

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 0

Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

Environ 30 secondes plus tard, le traitement est exécuté avec succès :

Ouvrez une session de bureau à distance via Azure Bastion en utilisant les mêmes identifiants administrateurs :

Réouvrez le fichier image créé précédemment avant la bascule :

Conclusion :

Malgré une mise en place un peu longue et des exigences de puissance CPU / Mémoire concernant la machine virtuelle appliance, la mise en place d’Azure Site Recovery a bien fonctionné. Que demandez de plus 😎🥳

Microsoft 365 Archive 💾

Oubliez Syntex, appelez-le maintenant SharePoint Premium ! Plein de nouvelles fonctionnalités ont été annoncées durant cette année folle, et se finalement sont concrétisées durant le Microsoft Ignite de 2023. Office 365 n’est d’ailleurs pas en reste avec Copilot, Archivage ou encore Sauvegarde.

Dans cette article, je vous propose de parler de l’archivage de site SharePoint Online. Fonctionnalité sans aucun doute très attendue depuis un certain temps !

Mais avant de tester l’archivage sur un tenant de test, je vous propose de parcourir quelques notions importantes.

Quelles sont les limites d’espace de SharePoint Online ?

L’espace disponible dédié aux sites SharePoint Online est facilement consultable depuis la console d’administration du même nom :

Le volume total va dépendre du nombre de licences 365 présentes sur le tenant. Une page d’information Microsoft est disponible juste ici.

Que doit-on faire si l’espace de SharePoint Online est entièrement consommé ?

Une fois l’espace SharePoint Online entièrement consommé jusqu’à l’os, trois options s’offraient alors à vous :

Nettoyer l’espace SharePoint Online par la suppression de fichiers ou de sites obsolètes.
Ajouter des licences utilisateurs 365.
Ajouter des licences de Stockage de fichiers supplémentaire Office 365 :

Une licence d’espace comme celle ci-dessus apporte seulement 1 Go de donnée SharePoint Online supplémentaire, pour un mois ou une année, selon la période d’engagement souscrite.

Le prix public de celle-ci est environ 0.20 €, ce qui n’est pas donné quand on parle très souvent de To de données.

Qu’est-ce que SharePoint Premium ?

Le terme de SharePoint Premium a été officialisé durant le Microsoft Ignite 2023 :

Aujourd’hui, nous sommes ravis de présenter le nouveau SharePoint Premium, notre plateforme avancée de gestion de contenu et d’expériences et notre prochaine évolution pour Syntex. SharePoint Premium apporte l’IA, l’automatisation et une sécurité accrue à vos expériences de contenu, au traitement et à la gouvernance.

Avec SharePoint Premium, nous ferons la transition entre les services déjà publiés dans le cadre de Syntex, y compris SharePoint Advanced Management, pour rejoindre la famille croissante des services SharePoint, ainsi que de toutes nouvelles expériences de contenu.
Microsoft Tech Community

Qu’est-ce que Microsoft 365 Archive ?

SharePoint Online est devenu un outil indispensable dans la collaboration entre employés. Comme toute donnée, l’archivage de données anciennes est souvent nécessaire pour plusieurs raisons (légale, fiscale, IT, …)

C’est ici qu’intervient Microsoft 365 Archive :

Microsoft 365 Archive offre un stockage économique pour les sites SharePoint inactifs.

Votre organization peut avoir besoin de conserver des données inactives ou vieillissantes pendant de longues périodes au cas où vous devrez les récupérer ultérieurement.

Microsoft 365 Archive vous permet de conserver ces données inactives en les déplaçant dans un niveau de stockage froid (archive) dans SharePoint. Toutes les données archivées avec Microsoft 365 Archive auront les mêmes normes de recherche, de sécurité et de conformité appliquées automatiquement à un coût beaucoup plus réduit.
Microsoft Learn

Un site SharePoint Online archivé reste-t-il accessible aux utilisateurs ?

Non, les sites archivés ne sont pas accessibles aux utilisateurs et aux administrateurs durant cet état. Il est nécessaire de retirer l’état d’archivage sur le site concerné pour le rendre à nouveau consultable.

Combien coûte l’archivage SharePoint Online ?

Selon la documentation Microsoft, Syntex (SharePoint Premium) est facturé à la consommation (PAYG). Cette consommation sera liée à la souscription Azure renseignée lors de la configuration.

La grille tarifaire de Microsoft 365 Archive est actuellement disponible sous la forme suivante :

Microsoft 365 Archive ne sera facturé qu’à partir du moment où l’espace total des sites archivés et non archivés dépasse la limite de quota de stockage SharePoint online incluse ou allouée sous licence.
Si Microsoft 365 Archive est facturé, le prix sera de 0,05 $/Go/mois.
Si un site SharePoint Online est réhydraté après sept jours d’archivage, le prix sera de 0,60 $/Go réhydraté.

Pourrons-nous suivre les coûts de Microsoft 365 Archive ?

Mon hypothèse est que le coût seront visibles de la même manière que les autres ressources Azure, via le Cost Management :

Comme toujours je vous propose de réaliser un petit exercice sur le sujet :

Commençons par un bref rappel des prérequis.

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice sur Microsoft 365 Archive, il vous faudra disposer de :

Un tenant Microsoft
Une souscription Azure valide

Dans mon cas, j’ai utilisé un tenant Microsoft 365 disposant de licences Microsoft 365 E5 issues de la plate-forme CDX. J’y ai ensuite rajouté une souscription Azure MSDN.

Etape I – Préparation de l’environnement Azure :

Avant de pouvoir tester cette fonctionnalité, toujours en préversion, il est nécessaire de créer un groupe de ressources sur votre souscription Azure pour y stocker les sites SharePoint archivés.

Pour cela, rendez-vous dans le portail Azure, créez un nouveau groupe de ressources dans la région Azure de votre choix, puis lancez la validation :

Une fois la validation Azure réussie, lancez la création, puis attendez environ 1 minute :

Et c’est tout, rien de plus n’est nécessaire du côté d’Azure ! La suite va se passer du côté de Microsoft 365.

Etape II – Activation de la fonction d’archivage :

Avant de configurer la fonction d’archivage des sites SharePoint, rendez-vous dans la console d’administration pour constater l’absence de menu relatif à l’archivage :

Retournez sur la console d’administration de 365 par ce lien, puis cliquez sur le menu suivant :

Recherchez la rubrique suivante, puis cliquez dessus :

Commencez par cliquez ici pour configurer Syntex, alias SharePoint Premium :

Sélectionnez la souscription Azure de votre choix :

Reprenez le groupe de ressources Azure créé précédemment, puis choisissez la localisation des archives SharePoint Online :

Cochez la case des conditions d’utilisation et de facturation, puis cliquez sur Sauvegardez :

Attendez environ 1 minute que Microsoft finalise la configuration de votre tenant :

La notification suivante apparaît alors sur ce même onglet :

Cliquez ensuite sur ce lien pour visualiser la liste des services disponibles :

Vérifiez que la fonction d’Archivage est bien présente. Celle-ci est encore en préversion chez Microsoft à l’heure où ces lignes sont écrites :

Activez la fonction d’archivage comme ceci :

Confirmez votre choix après avoir lu au besoin les termes et conditions du service :

Le service d’archivage est bien actif, il est toujours possible de désactiver cette fonctionnalité par le bouton présent en bas de l’onglet :

La configuration côté Microsoft 365 est maintenant terminée, il ne nous reste plus qu’à tester la fonction d’archivage sur un site SharePoint Online.

Etape III – Test de la fonction d’archivage :

Retournez dans la console d’administration SharePoint Online afin de constater l’apparition d’un nouveau sous-menu consacré aux sites archivés :

Microsoft vous affiche l’espace disponible restant sur votre environnement SharePoint Online. Celui-ci dépend des licences 365 présentes sur votre tenant :

Dans la liste des sites actifs, choisissez l’un d’entre eux, puis cliquez sur la fonction Archiver :

Microsoft vous informe de l’espace actuellement alloué au site, cliquez à nouveau sur Archiver :

Microsoft vous informe des éléments qui seront archivés et d’autres qui le ne seront pas. Cliquez ici pour confirmer votre choix :

Peu de temps après, la console SharePoint Online vous informe du succès de l’archivage du site.

Toujours sur la console SharePoint Online, rendez-vous dans la liste des sites archivés :

Cliquez sur le site SharePoint Online archivé, puis cliquez sur son URL pour l’ouvrir dans un nouvel onglet :

Constatez l’apparition du message suivant au lieu de l’affichage habituel de votre site SharePoint Online :

Malgré la petite taille de mon site en exemple, notez l’absence d’actualisation du compteur d’espace SharePoint Online :

*Attendez plusieurs heures avant de voir le changement s’y refléter.*

Sur le portail Azure, une nouvelle ressource appelée Syntex est présente en tant qu’élément caché :

De retour sur la console SharePoint Online, il est possible de réactiver le site précédemment archivé par la fonction suivante :

Microsoft nous informe de l’absence de coût lié à notre situation récente d’archivage, cliquez sur Réactivez :

Attendez environ 1 minute que Microsoft réhydrate le site précédemment archivé :

Actualisez la page principale de votre site SharePoint Online afin d’y constater la bonne réapparition du site :

Conclusion :

On peut dire que cette fonctionnalité d’archivage SharePoint Online était attendue depuis très très longtemps ! Sa simplicité de mise en place est un véritable atout, ainsi que le prix du stockage Azure en comparaison du prix stockage live de SharePoint.

Il ne restera plus qu’à définir la politique interne pour les sites dont l’accès direct n’est plus nécessaire. A titre préventif, je recommanderai les points de sécurité suivants :

Création d’une souscription Azure uniquement dédiée à l’archivage des sites SharePoint.
Mise en place de droits RBAC restreints sur la souscription Azure.
Ajout de verrous de suppression sur le groupe de ressources ou la souscription Azure :

Bon archivage 😎

Hibernez votre AVD ⛄❄️

Non cet article n’est pas un doublon du précédent, appelé Faites hiberner vos VMs, et parlant d’une méthode astucieuse pour ne pas entièrement éteindre une VM lorsque l’on souhaite réduire les coûts. Vous l’aurez compris, Microsoft propose également l’hibernation de VM pour son produit VDI phare : Azure Virtual Desktop.

Ça y est, l’Ignite de Microsoft est juste terminé ! Beaucoup de news très intéressantes ont été annoncées concernant Azure. Je vous invite d’ailleurs à lire le Book of news de cette édition 2023.

Concernant l’hibernation d’Azure, voici quelques petits rappels :

Lorsqu’on hiberne une VM Azure : ce dernier échange avec l’OS afin de stocker le contenu de la mémoire de la VM sur le disque du système d’exploitation, puis désalloue la VM.
Lorsque la VM est redémarrée et sort d’hibernation : le contenu de la mémoire est retransféré du disque OS vers la mémoire. Cela permet alors de retrouver les applications et processus en cours d’exécution.

Si l’envie vous prend d’en savoir un peu plus, je vous invite à lire l’article de la semaine dernière. Enfin, une toute nouvelle vidéo de Dean parle de l’hibernation dans un environnement AVD, le combo ultime :

Inutile de reparler en détail de l’hibernation, comme toujours je vous propose de réaliser un petit exercice, combinant AVD et l’hibernation.

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice d’hibernation sur des VMs Azure Virtual Desktop, il vous faudra disposer de :

Un tenant Microsoft
Une souscription Azure valide

Etape I – Préparation de l’environnement Azure :

Avant de pouvoir tester cette fonctionnalité toujours en préversion, il est nécessaire d’activer cette dernière sur la souscription Azure concernée.

Pour cela, rendez-vous dans le portail Azure, sur la page des fonctionnalités en préversion de votre souscription, puis effectuez une activation en recherchant celle-ci comme ci-dessous :

Attendez environ une minute que votre demande soit acceptée par Microsoft :

La notification suivante vous indique alors le succès de l’opération :

La suite consiste maintenant à créer un environnement AVD et avec l’hibernation activée.

Etape II – Déploiement de l’environnement AVD :

Avant cela, nous avons besoin de créer un réseau virtuel Azure. Pour cela, rendez-vous dans le portail Azure, puis commencez sa création :

Nommez celui-ci, puis cliquez sur Vérifier:

Une fois la validation Azure réussie, lancez la création du réseau virtuel, puis attendez environ 1 minute :

Continuez avec le déploiement de l’environnement Azure Virtual Desktop en utilisant là encore la barre de recherche du portail Azure :

Cliquez-ici pour commencer la création du pool d’hôtes Azure Virtual Desktop :

Choisissez le type Personnel pour l’environnement AVD, puis cliquez sur Suivant :

Confirmez la sécurité de la VM comme ceci :

Choisissez dans la liste des images Microsoft l’image Windows 11 version 22H2, sélectionnez une VM de Séries Dsv5, puis cochez la case Hibernation :

Joignez vos VMs AVD à Entra ID, puis cliquez sur Suivant :

Créez un espace de travail AVD, puis lancez la validation Azure :

Une fois la validation Azure réussie, lancez la création des ressources puis attendez environ 10 minutes :

Une fois le déploiement d’Azure Virtual Desktop entièrement terminé, cliquez-ici pour continuer sa configuration des rôles RBAC :

Ajoutez-y les 3 rôles RBAC suivants à un utilisateurs de test AVD et à l’application Azure Virtual Desktop :

Nous devons rajouter un rôle Azure RBAC pour permettre à Azure Virtual Desktop (ou anciennement Windows Virtual Desktop) de pouvoir allumer et éteindre les VMs AVD :

De retour sur votre pool d’hôte AVD, activez l’option de SSO dans les propriétés RDP, puis cliquez sur Sauvegarder :

Ajoutez le scaling plan qui pilotera la VM individuelle selon les besoins de connexion, puis cliquez sur Créer :

Donnez-lui un nom, placez-le dans la même région Azure que votre pool d’hôtes AVD, puis cliquez sur Suivant :

Ajoutez un ou plusieurs plannings selon vos besoins, sachant qu’une journée de la semaine ne peut être présent que dans un seul planning.

L’onglet suivant reprend le fuseau horaire du premier onglet et vous demande de renseigner les champs ci-dessous, puis de cliquer sur Suivant :

Heure de début : heure correspondant au début de la phase.
Démarrage de la VM : permet à l’utilisateur de pouvoir démarrer une VM éteinte pendant la phase. Cette option prend le pas sur la configuration renseignée dans le pool d’hôtes.
VMs à démarrer : propose de démarrer automatiquement des VMs si nécessaire dès le début de la phase, ou pas.
Paramètres de déconnexion : permet d’effectuer l’hibernation ou non.
Paramètres de fermeture de session : permet d’effectuer l’hibernation ou non

Renseignez les mêmes options que pour la phase précédente, puis cliquez sur Suivant :

Renseignez les mêmes options que pour la phase précédente, puis cliquez sur Suivant :

Renseignez les mêmes options que pour la phase précédente, puis cliquez sur Ajouter :

Cliquez sur Suivant pour continuer :

Rattachez votre pool d’hôtes à la configuration en n’oubliant pas de cocher la case pour l’activer, puis cliquez ici pour lancer la validation Azure :

Une fois la validation Azure réussie, cliquez sur Créer pour valider la configuration :

Attendez 1 minute que la configuration soit déployée :

Notre environnement AVD combiné à l’hibernation est enfin prêt, il ne nous reste plus qu’à utiliser un utilisateur pour tester les différentes phases de ce nouvel état.

Etape III – Test de l’hibernation :

Dans mon environnement de démonstration AVD, la machine virtuelle individuelle est déjà démarrée.

Depuis votre poste, téléchargez le client Remote Desktop depuis cette page officielle Microsoft, puis ouvrez l’application avec votre utilisateur de test AVD :

Lancez l’application de bureau à distance, puis authentifiez-vous encore une fois avec un compte AVD de test :

Validez la délégation en cliquant sur Oui :

Ouvrez une ou plusieurs applications sans enregistrer les travails effectués :

Fermez la session AVD en utilisant la croix du bureau à distance :

Confirmez le choix de déconnexion en cliquant sur OK :

A ce moment précis, la machine virtuelle AVD est toujours en statut Disponible :

Environ 10 minutes plus tard, son statut commence à changer :

Environ 1 minute plus tard, son statut AVD bien changé :

De retour dans la listes des machines virtuelles Azure, le statut d’hibernation est bien confirmé :

Afin de confirmer le bon retour des programmes ouvert, recliquez à nouveau sur l’application de bureau à distance, puis attendez le démarrage effectif de la VM AVD :

Environ 2 minutes plus tard, la session Windows se réouvre alors avec les programmes précédemment ouverts et non sauvegardés :

Conclusion :

La fonction d’hibernation annoncée il y seulement quelques jours est un atout non négligeable dans la gestion offline de machine virtuelle. Aucun doute que ce statut est plus pratique que l’arrêt complet dans un environnement Azure Virtual Desktop. Les utilisateurs de machines AVD individuelles seront sans aucun doute ravi ne pas devoir fermer et ouvrir toutes leurs applications tous les jours 😎