La certification est une démarche personnelle et doit avant tout servir son propre intérêt. De mon point de vue, les bénéfices des certifications informatiques vont bien au-delà du fait de posséder une plaquette de badges sur le torse, ils sont multiples :
Montrer les compétences acquises dans un domaine technique précis
Gagner crédibilité auprès de son employeur
Augmenter sa confiance personnelle et son estime de soi
Valoriser son parcours professionnel
Et bien plus encore !
Dans cet article, nous allons parler des caractéristiques propres aux différentes certifications Microsoft, mais surtout des facilités mises en place pour passer les certifications de type Fondamental.
Les familles de certifications Microsoft
Pour faire simple, il existe plusieurs classifications pour les certifications Microsoft Cloud :
Classification par thème (Azure, Microsoft 365, Dynamics 365, Power Platform)
Classification par niveau (Fondamental, Associé, Expert)
Classification par nature (Général, Rôle, Spécialité)
Poster des certifications Microsoft. Cliquez sur l’image pour consulter la dernière version.
Comme vous pouvez le voir dans le poster ci-dessus, le choix est assez large sur les certifications possibles. Vous devez donc tenir compte d’un certain nombre de paramètres pour choisir la bonne certification adaptée à votre objectif. Prenez également en compte que certaines certifications sont liées à d’autres, tandis que certaines « imposent » des certifications préalables pour valider le titre associé.
Que signifient les niveaux de certification Microsoft ?
Microsoft a introduit les niveaux de certification durant l’année 2019 et les a répartis en trois niveaux. Cela a été mis en œuvre pour de nombreuses raisons, qui bénéficient à la fois au participant et à l’employeur de plusieurs façons :
Rendre les cours Microsoft plus accessibles aux débutants comme aux habitués de l’informatique
Encourager les personnes de tous niveaux à obtenir une certification
Faciliter le recrutement pour les employeurs en sélectionnant des professionnels en fonction des connaissances dont ils ont besoin
Clarifier le niveau de compétence de la certification
Les Certifications Microsoft de niveau « Fondamental »
Afin de démarrer le cloud dans les meilleurs conditions, Microsoft a mis en place des certifications de niveau « Fondamental ». Ces certifications sont conçues pour valider un niveau de connaissances de base des services du cloud. Elle aide également les candidats non techniques à comprendre les services tels que la vente, l’achat et le marketing. Par principe, elles n’exigent pas de prérequis antérieurs.
Les Certifications Microsoft de niveau « Associé »
De niveau intermédiaire, les certifications de niveau Associé vérifieront vos connaissances de manières approfondies. Plus question ici de valider si vous maîtrisez les grands principes du domaine concerné. Il est nécessaire ici de mettre en pratique vos connaissances dans des contextes techniques précis. A l’inverse des certifications de niveau Fondamental, où seul un apprentissage théorique serait suffisant, la validation d’une certification de niveau Associé devra s’appuyer sur une expérience professionnelle réelle.
Les Certifications Microsoft de niveau « Expert »
Comme son nom l’indique, les examens du niveau Expert sont beaucoup plus difficiles que celles de niveau Associé. Dans certains cas, il faut passer plusieurs examens de niveau Expert pour obtenir une certification. Il arrive aussi que, pour être validées, elles nécessitent des certifications de niveau inférieur.
Comment se préparer à passer une certification ?
Peu importe le niveau de certification désiré, le rituel de préparation reste globalement identique :
Microsoft Learn : Conçu pour aider quiconque à apprendre les concepts informatiques de base à son propre rythme, Microsoft Learn est une immense bibliothèque offrant un accès gratuit à des supports de formation, des échantillons de code et même la possibilité de tester certains logiciels Microsoft.
Formation dispensée par un instructeur : Le choix d’une formation dirigée par un instructeur est également une excellente option, car il vous permet d’interagir avec un professionnel expérimenté, vous donnant l’occasion de poser des questions et de travailler sur vos faiblesses, ainsi que de développer vos points forts.
Découverte de la solution: Microsoft propose de tester ses solutions de plusieurs manières. Il est possible de souscrire à des périodes d’évaluation sans frais ou de profiter de crédits gratuits pendant une certaine durée. Par exemple, il est donc possible de tester Office 365 ou Azure sans devoir payer pour ces services.
Parcours d’apprentissage : Chaque certification Microsoft s’accompagne d’un parcours d’apprentissage, en relation avec les sujets abordés pendant l’examen. Il vous permet d’aborder à votre rythme toutes les connaissances requises et vous évalue par de petits questionnaires.
YouTube : Le célèbre site de vidéos en ligne regorge de passionnés du cloud Microsoft qui vous transmettrons leurs connaissances techniques au travers d’explications claires et visuelles. Pourquoi s’en priver ?
GitHub : Microsoft Learning dispose de son propre GitHub. C’est l’occasion ici de travailler vos connaissances techniques grâce à des exercices ou des labs orientés sur la certification choisie.
Microsoft Virtual Training Days : Webinaires Microsoft gratuits et animés par des experts qui vous apporteront toutes les bases en rapport avec la certifications. Ces évènements sont orientés pour les certifications de niveau Fondamental ou pour certains thèmes spécifiques. Dans tous les cas, ils nécessitent une inscription préalable.
Microsoft Virtual Training Days
Que vous fassiez vos premiers pas dans le Cloud Microsoft ou que vous souhaitiez valider vos connaissances, Microsoft Virtual Training Days est fait pour vous.
Microsoft Virtual Training Days regroupe les principaux thèmes du Cloud Microsoft et vous propose plusieurs sessions dédiées :
Peu importe le Training Day choisi, le webinaire vous montre tous les chapitres de la certification et les aborde de manière claire et progressive. Vous pouvez donc les suivre sans avoir la crainte de pas comprendre les concepts et les idées présentés.
Enfin et ce n’est pas des moindres, Microsoft récompense les participants à ces webinaires en offrant gratuitement un bon d’examen. Vous avez bien lu, l’examen facturé initialement 99 euros hors taxes ne vous coûtera pas un centime si vous assistez au webinaire, lui-même gratuit !
Bien évidemment, passer l’examen en ne suivant que ce webinar s’avère fortement risqué. Je vous recommande donc de compléter vos connaissances par les autres sources listées dans la section précédente.
Une fois la certification réussie
Tout d’abord, félicitations !!! C’est une petite victoire personnelle sur ses propres capacités. Cela montre que ce challenge était à votre portée et qu’il récompense les efforts fournis. Il ne faut pas rougir de son succès, et le partager sur les réseaux est mérité. Cela peut aussi encourager d’autres connaissances à choisir cette voie ou provoquer un déclic sur leur orientation professionnelle.
Conclusion
Comme à chaque fois, pensez à partager dans les commentaires vos propres expériences sur les certifications, Microsoft ou autres ????
On continue notre apprentissage sur la sécurité Azure avec cette nouvelle certification Azure SC-200, sortie il y a peu. Pour rappel, cette dernière fait partie d’un ensemble de 4 certifications dédiées à la sécurité au sein du Cloud Microsoft. J’ai déjà détaillé plusieurs d’entre-elles sur ce blog :
Nul doute que Microsoft n’a pas encore fini de nous en apprendre sur la sécurité en 2021, et je m’attends comme d’autres à de nouvelles certifications dans ce domaine. Mais focalisations-nous maintenant sur cet examen, passé ce jour par votre serviteur 🙂
Comme toujours, voici les liens fort utiles pour toutes les informations associées :
Plus sérieusement, le contenu de l’examen est assez clair puisque 3 grandes thématiques sont listées ci-dessous, à savoir :
Microsoft 365 Defender (25-30%)
Azure Defender (25-30%)
Azure Sentinel (40-45%)
Comme on le comprend assez vite à l’aide des différents pourcentages associés à chaque rubrique, Azure Sentinel prend une place de premier ordre dans le nombre des questions que vous aurez à répondre pendant cet examen. Autant donc commencer par lui.
Azure Sentinel
Qu’est-ce qu’Azure Sentinel ?
Microsoft Azure Sentinel est une solution native cloud et scalable de type SIEM (Security Information and Event Management) et SOAR (Security Orchestrated Automated Response) . Azure Sentinel assure une analyse de sécurité intelligente et fournit des informations sur les menaces dans l’ensemble de l’entreprise. Elle constitue une solution unique pour la détection des alertes, la visibilité des menaces, la chasse proactive et la réponse face aux menaces.
Autrement dit, cette solution s’intègre parfaitement avec les différents outils du Cloud Microsoft dédiés à la sécurité. Il ne faut surtout pas donc voir Azure Sentinel comme un énième et redondant outil de sécurité, mais bien comme un véritable système avec des moyens concrets pour les membres de l’équipe SOC.
Ce slide met en évidence les rôles et les attentes entre Azure Security center et Azure Sentinel. D’un côté il va être question de collecter et de prévenir le risque, tandis que de l’autre il sera question de détecter, d’investiguer et de répondre aux menaces.
Si on doit résumer Azure Sentinel en quelques mots pour vous faire une idée, voici ce qu’Azure Sentinel est capable d’apporter pour votre sécurité :
Compilation de données via de nombreux connecteurs (plus d’une centaine à date)
Détection des menaces
Outils d’investigation des menaces
Moyens de réponses rapides
Quels seraient alors les bénéfices que vous pouvez retirer d’Azure Sentinel ?
Mise en place de tableaux de bord intuitifs
Possibilités infinies de requêtage
Mise en place d’automatisation des réponses face aux menaces
Exploitation de Microsoft Machine Learning pour accroitre les capacités de détection
Intégration complète de Microsoft Intelligent Security Graph
Installation « facile » selon les besoins de sécurité
Comme à chaque fois, merci à John pour ses vidéos plus que claires
Pour vous aider à « maîtriser » Azure Sentinel, Microsoft a découpé son parcours d’apprentissage en 5 parties :
Comme à chaque fois, j’ai pris le temps de suivre le parcours d’apprentissage afin de me faire une idée précise sur le contenu abordé et sur la qualité.
Comme pour la SC-300, je suis assez content du résultat, même si je trouve que les exercices donnés à travers les différentes parties se ressemblent énormément et ne vont pas assez loin dans les manipulations utilisateurs. J’aurais aimé avoir plus de cas variés à réaliser dans Azure Sentinel pour donner plus de sens à certaines fonctionnalités.
Principaux connecteurs du monde Azure avec leur périmètre.
A quoi s’attendre dans cet examen ?
Malheureusement pas de mystère, une maîtrise de la solution est attendue afin de voir que vous avez bien passé du temps dans la solution ! Il faut donc comprendre ses mécanismes, son utilisation au quotidien dans la gestion des rules / alertes / incidents / workbooks.
On ne vous demandera pas de sortir la liste de tous les connecteurs ! Mais certains propres à l’environnement du Cloud Microsoft sont bien évidement à connaître.
Il faut donc s’attendre à coup sûr à :
Des questions sur Kusto Query Language (KQL). Prenez donc le temps pour le tester et vous familiariser au maximum avec les opérateurs
Des questions sur les principaux connecteurs de données (Azure et éventuellement AWS). Mettez en place un certain nombre de connecteurs afin comprendre leur intérêt et les données remontées
Des questions sur les relations entre rules / alertes / incidents / workbooks
Des questions sur la gestion automatisée d’une alerte avec les automations / playbooks
Des questions sur les rôles propres à Azure Sentinel
Des questions sur l’architecture d’Azure Sentinel ( X logs Analytics Workspaces + Azure Sentinel)
Bref pas mal de sujets à connaître, et il en reste encore d’autres qui peuvent aussi tomber :
Notebooks
Hunting
Workbooks
Entities
…
Cela peut représenter beaucoup, mais ne vous découragez pas ! 🙂
Azure Defender
Qu’est-ce qu’Azure Security Center ?
Azure Security Center est un système de gestion de la sécurité de l’infrastructure unifié qui renforce la posture de sécurité de vos centres de données et fournit une protection avancée contre les menaces pour vos charges de travail hybrides dans le cloud (dans Azure ou non), ainsi qu’en local.
Si Azure Security Center est quelque chose de nouveau pour vous, je vous conseille cette vidéo d’Adam.
Qu’est-ce qu’Azure Defender ?
Azure Defender offre une détection et une réponse étendues pour les charges de travail exécutées dans Azure, localement et dans d’autres clouds. Intégré à Azure Security Center, Azure Defender protège vos données hybrides, vos services cloud natifs ainsi que vos serveurs contre les menaces.
Les fonctionnalités d’Azure Security Center couvrent les deux piliers de la sécurité cloud :
Combien d’outils composent Azure Security Center ?
Voici donc comment cela s’articule entre ces deux outils qui au final n’en sont qu’un seul.
CSPM (gestion de la posture de sécurité cloud) – Security Center est disponible gratuitement pour tous les utilisateurs Azure. L’expérience gratuite comprend des fonctionnalités CSPM telles que le degré de sécurisation, la détection des erreurs de configuration de sécurité dans vos machines Azure, l’inventaire des ressources et bien plus encore. Utilisez ces fonctionnalités CSPM pour renforcer la posture de votre cloud hybride et suivre la conformité avec les stratégies intégrées.
Protection de charge de travail cloud (CWP) – La plateforme de protection de charge de travail cloud (CWPP), Azure Defender, garantit une protection avancée et intelligente de vos ressources et charges de travail Azure et hybrides. L’activation d’Azure Defender offre un large éventail de fonctionnalités de sécurité supplémentaires, tel que décrit sur cette page. Outre les stratégies intégrées, lorsqu’un plan Azure Defender est activé, vous pouvez ajouter des stratégies et des initiatives personnalisées. Vous pouvez ajouter des normes réglementaires, telles que NIST et Azure CIS, ainsi que le Benchmark de sécurité Azure pour un aperçu véritablement personnalisé de votre conformité.
Je ne vais pas le répéter, mais toujours une connaissance précise de la solution 😉
Voici quelques pistes à explorer pour se sentir à l’aise dans l’examen :
Des questions sur les résultats des polices compliances
Des questions sur la gestion des alertes / recommandations ouvertes par Azure Defender
Des questions sur le traitement des vulnérabilités découvertes par Azure Defender
Des questions sur l’activation de contre-mesures sur les ressources surveillées par Azure Defender (Machines virtuelles, Key Vaults, Comptes de stockage, Bases SQL, …)
Des questions sur les rôles nécessaires pour les opérateurs d’Azure Defender
Des questions sur les processus d’on-boarding et les contrôles associés
Cela peut représenter beaucoup, mais ne vous redécouragez pas ! 🙂
Microsoft 365 Defender
Qu’est-ce que Microsoft 365 Defender ?
Microsoft 365 Defender unifie votre processus de réponse aux incidents en intégrant des fonctionnalités clés dans Microsoft Defender pour le point de terminaison, Microsoft Defender pour Office 365, Microsoft Cloud App Security et Microsoft Defender pour l’identité. Cette expérience unifiée ajoute des fonctionnalités puissantes auxquelles vous pouvez accéder dans le Centre de sécurité Microsoft 365.
On parle donc ici d’une solution unifiée au travers d’un nouveau portail.
Points de terminaison avec Microsoft Defender pour Endpoints– Microsoft Defender pour Endpoints est une plateforme de point de terminaison unifiée pour la protection préventive, la détection post-violation, l’examen automatisé et la réponse.
E-mail et collaboration avec Microsoft Defender pour Office 365 – Defender pour Office 365 protège votre organisation contre les menaces malveillantes posées par les messages électroniques, les liens (URL) et les outils de collaboration. Identités avec
Microsoft Defender pour l’identité et Azure AD Identity Protection – Microsoft Defender pour l’identité utilise les signaux Active Directory pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre votre organisation.
Applications avec sécurité Microsoft Cloud App : la sécurité de Microsoft Cloud App est une solution SaaS complète qui apporte une visibilité approfondie, des contrôles de données forts et une protection renforcée contre les menaces à vos applications cloud.
Attention à ne pas vous perdre avec certaines anciennes dénominations :
Microsoft 365 Defender (précédemment Microsoft Threat Protection)
Microsoft Defender for Endpoint (précédemment Microsoft Defender Advanced Threat Protection)
Microsoft Defender for Office 365 (précédemment Office 365 Advanced Threat Protection)
Microsoft Defender for Identity (précédemment Azure Advanced Threat Protection)
Encore une fois, il ne s’agit pas de solutions qui ne se chevauchent, mais bien complémentaires.
Merci Jean-Sébastien 😉
Deux chapitres sont présents pour Microsoft 365 Defender. Encore une fois il va falloir chercher plus loin et passer du temps dans la solution pour avoir une idée de tous ces outils :
Des questions sur Cloud App Security et des polices mises en place
Des questions sur le shadow IT, mettant en évidence les applications découvertes via Cloud App Security
Des questions sur Azure Information Protection dans le cadre de la politique d’Office365
Des questions sur les périphériques surveillés par la partie Defender for Endpoints et les risques détectés
Des questions sur le risques liés aux identités et donc gérés par Defender for Identity
Conclusion
Cette certification comble un espace non occupé jusqu’à présent, car elle apporte de vraies réponses techniques à un grand nombre de défis de sécurité qui touchent les entreprises. La sécurité est bien une affaire multicouche et multidirectionnelle. Comme toujours, pensez à partager dans les commentaires vos autres sources d’apprentissage, ou votre feedback sur l’examen ????
Annoncé fin mars 2021 pour les environnements personnels Azure Virtual Desktop, Azure Preview propose maintenant cette même fonction pour les environnements AVD mutualisés (Pooled).
Voici un petit rappel de la solution par Dean d’Azure Academy.
La vidéo de Dean met en oeuvre la solution sur un environnement AVD personnel, qui fonctionne aussi pour les environnements mutualisés, et applique les point suivants :
Activation de l’option « Start VM On Connect » sur le Host Pool
Création d’un rôle custom pour donner le droit à AVD de démarrer les VMs
Affectation du rôle custom à la souscription ou au groupe de ressources
Déconnexion des sessions inactives via GPO
Activation de l’arrêt automatique des machines virtuelles à une heure fixe
Mise en place : La mise en place de cette solution est bien expliquée dans la vidéo de Dean, vous pouvez aussi suivre la documentation de Microsoft juste ici.
Rappel : La fonction est encore en public preview pour les environnements AVD mutualisés, il faut donc utiliser le portail adéquat.
Testez vous-même
De mon côté, j’ai souhaité tester la solution sur différents cas de figure :
Test sur un AVD en mode personnalisé : OK
Test sur un AVD en mode mutualisé (Windows 10 multisession) : OK
Test sur un AVD en mode mutualisé (Windows Server 2019) : OK
J’ai aussi fait un test plus poussé dans le cadre d’un environnement AVD mutualisé comprenant plusieurs machines virtuelles :
Nombre de machines virtuelles : 2
Algorithme d’équilibrage de charge : Breadth-first
Nombre maximal de sessions : 5
Voici ce qui s’est passé au niveau des machines virtuelles :
Environnement de départ, toutes les VMs sont OFF.
Connexion du premier utilisateur, une seule VM s’allume.
Connexion du second utilisateur, la seconde VM ne s’allume pas car l’utilisateur se retrouve connecté à la première VM.
J’ai donc refait un autre test en modifiant le nombre maximal de sessions :
Nombre de machines virtuelles : 2
Algorithme d’équilibrage de charge : Breadth-first
Nombre maximal de sessions : 1
Les premières étapes n’ont pas changé, mais j’ai bien eu autre chose lorsque le second utilisateur a tenté de se connecter :
Le second utilisateur doit bien attendre le démarrage de la seconde VM pour s’y connecter.
Les deux VMs sont bien allumées dans ce cas.
Conclusion
Au final, la fonctionnalité est bien opérationnelle et s’adapte bien à différents cas d’architecture Azure Virtual Desktop. Seul petit bémol concernant la fonction Breadth-first qui demande encore quelques ajustements pour bien allumer les autres VMs afin de répartir les utilisateurs ????
Voici un nouvel article sur les dernières certifications de sécurité sur le Cloud Azure de Microsoft. Pour rappel, vous pouvez retrouver mon article sur la certification fondamentale SC-900 ici, ainsi que sa page officielle Microsoft juste là.
Que dire sur ce nouvel examen SC-300 ?
Là encore, vous pouvez retrouver tous les détails de cette dernière sur sa page officielle Microsoft.
J’ai passé cette certification de niveau Associate cette semaine. Pendant et juste après cet examen, j’ai trouvé la certification assez difficile, car elle exigeait beaucoup de mises en situation, requérant des connaissances assez précises sur les sujets que je vais essayer vous détailler tout au long de cet article.
Finalement aucun doute, la SC-300 est bien une certification de niveau Associate. Pour un peu moins la moitié des questions environ, j’avais encore un petit doute entre 2 réponses sur 4.
Dans cet examen, attendez-vous donc à :
Beaucoup de questions contextualisées avec 4 choix possibles
Des questions groupées avec OUI / NON
Peu de questions sur la restitution des grands principes (points faciles à ne pas négliger)
Un ou deux use-cases portant sur des architectures hybrides
Et toujours pas de labs
Que retrouve-t-on dans le Parcours d’apprentissage de la SC-300?
Le parcours d’apprentissage reprend de manière méthodique les principaux chapitres rattachés à cette certification. Une fois n’est pas coutume, j’ai suivi tous les modules de formations proposés par Microsoft.
Pourquoi cela ? Car le contenu trouvé sur internet est encore assez variable à date ou incomplet.
Au final, j’ai trouvé le parcours très bien construit autour de cette certification. Beaucoup de schémas explicatifs, de copies d’écran d’Azure et de vidéos d’introduction. De plus, les exercices pratiques avaient toujours du sens sur le thème abordé.
En revanche, ne vous faites pas avoir en ne vous basant que sur celui-ci ! Pour avoir être sûr d’avoir plus de points que les 700 nécessaires, il vous faudra avoir :
Les connaissances acquises par l’expérience dans Azure AD
A défaut de tout connaitre dans les moindre détails, une bonne dose déduction pour ne garder que les « réponses possibles »
Voici un rappel des modules du parcours avec leurs liens :
Rien à voir ici, mais je suis en train de manger une pizza maison 😉
Implémenter une solution de gestion des identités
Mettre en œuvre la configuration initiale d’Azure Active Directory
On arrive ici dans le cœur du sujet de cette certification :
L’identité est au centre d’Azure Active Directory et vous devez la comprendre et la maîtriser sous tous ses aspects
Plus question ici de restituer la « simple » compréhension du service ou de ses fonctionnalités. Il faut savoir l’utiliser selon différents cas de figure. Attendez-vous donc à avoir des questions sur les identités dans un contexte très précis. Peu de pièges, mais on attend des connaissances.
Par exemple, la question pourrait porter sur un type d’identité particulier avec un scénario de droits spécifiques de manière combinée. Rien de tel alors que de se refaire un passage sur les identités Azure :
L’autre exemple serait de devoir choisir le rôle ayant le moins de privilège pour faire telles ou telles actions dans Azure AD. Ce point-ci est assez difficile car la connaissance globale des rôles sera nécessaire pour être vraiment sûr de la bonne réponse. Voici liste complète et quelques rôles pris au hasard :
La gestion des domaines personnalisés revient souvent dans beaucoup de certifications sur Azure. C’est l’occasion de marquer des points facilement en connaissant bien le processus d’ajout de domaines personnalisés :
Ajout du domaine personnalisé dans Azure AD
Modification des enregistrements DNS
Vérification du domain dans Azure AD
Utiliser le nom de domaine pour les utilisateurs, adresses mails ou autres besoins
Même si la gestion des appareils est plutôt une tache dédiée à Endpoint admin center, certaines actions et donc certaines questions peuvent vous être posées ici.
Dans Windows Virtual Desktop, l’hybrid join va permettre le SSO pour une meilleure expérience utilisateur.
Les unités administratives dans Azure AD est un concept intéressant, car elles limitent les autorisations d’un rôle en fonction du service auquel il appartient au sein de l’organisation :
Principe de délégation des rôles selon des unités organisationnelles dans Azure AD.
Sécurité par défaut d’Azure AD
Azure AD propose un mode de gestion de sécurité par défaut. Sa mise en place est des plus simple, mais il n’autorise aucune personnalisation.
Les paramètres de sécurité par défaut facilitent la protection de votre organisation contre ces attaques avec des paramètres de sécurité préconfigurés :
Exige que tous les utilisateurs s’inscrivent à Azure AD Multi-Factor Authentication
Exige des administrateurs qu’ils effectuent l’authentification multifacteur
Restreint les anciens protocoles d’authentification
Exige des utilisateurs qu’ils effectuent l’authentification multifacteur
Restreint des activités, telles que l’accès au Portail Azure
Gestion des utilisateurs, des groupes et des licences
Quoi de mieux comme question que celle ci-dessous :
Des licences sont attribuées à un groupe d’utilisateurs et celui-ci contient des utilisateurs et d’autres groupes. Combien de licences seront attribuées ?
De manière générale et hormis des questions de ce type, il s’agit de points faciles.
Mettre en œuvre et gérer les identités externes
Les identités externes font parties de beaucoup de scénarios d’Azure AD, il faut donc maîtriser leur intégration et les options de sécurités les concernant :
Je ne vous dis pas d’aller pas jusqu’à connaitre les en-têtes du fichier CSV d’import bulk 😉
Email address to invite
Redirection url
Send invitation message
Customized invitation message
Mettre en œuvre et gérer l’identité hybride
On cherche donc à savoir si les différentes méthodes de synchronisation entre un environnement on-premise et le Cloud n’ont plus de secrets pour vous. Ce module comporte donc les grands sujets ci-dessous :
Pas de mystère ici, le mieux étant d’avoir pu installer soi-même AD Connect sur un environnement on-premise (Active Directory), et d’avoir testé plusieurs scénarios afin d’en mesurer les impacts (avantages – inconvénients) :
Tour d’horizon d’Azure AD Connect par l’Azure Academy
C’est typiquement lors des use-cases que vous devrez maîtriser ces concepts pour proposer la solution la plus attendue :
Mettre en œuvre une solution d’authentification et de gestion des accès
Planifier et mettre en œuvre l’authentification multifactorielle Azure (MFA)
L’authentification multifacteur est un processus dans lequel l’utilisateur est invité pendant le processus de connexion à suivre une forme d’identification supplémentaire, consistant par exemple à entrer un code sur son téléphone portable ou à scanner son empreinte digitale.
Quelque chose que vous connaissez – Il pourrait s’agir d’un mot de passe ou de la réponse à une question de sécurité
Quelque chose que vous possédez – Il pourrait s’agir d’une application mobile qui reçoit une notification ou un d’appareil de génération de jetons
Quelque chose que vous êtes – En général, il s’agit d’une propriété biométrique, comme la détection du visage ou des empreintes digitales utilisée sur de nombreux appareils mobiles
Cette vidéo explique étape par étape le processus de mise en place de la MFA
Quelles seraient les questions possibles dans cette certification ? Il faut voir la MFA comme un point combiné avec d’autres facteurs, comme par exemple son impact dans un accès conditionnel, ou alors son rôle dans Azure AD Identity Protection.
Deux facteurs sont représentés ici : sign-in risk et user risk. la MFA va jouer un rôle de sécurité important.
Gérer l’authentification des utilisateurs
Dans Azure Active Directory, l’authentification implique plus que la simple vérification d’un nom d’utilisateur et d’un mot de passe. Pour améliorer la sécurité et réduire le recours à l’assistance du support technique, l’authentification Azure AD comprend les composants suivants :
Intégration hybride pour écrire les changements de mot de passe dans l’environnement on-premise
Authentification sans mot de passe
Les méthodes d’authentification sans mot de passe telles que Windows Hello, les clés de sécurité FIDO2 et l’application Microsoft Authenticator permettent les événements de connexion les plus sécurisés.
Password Protection : j‘avais fait une blague sur ce schéma pour la SC-900. Ici c’est bien un concept à connaitre, et idéalement de l’avoir essayé pour différencier les rôles et les agents à installer.
Planifier, mettre en œuvre et administrer l’accès conditionnel
Vous pouvez utiliser des stratégies d’accès conditionnel pour appliquer des contrôles d’accès tels que l’authentification multifacteur (MFA). Vous aurez à coup sûr des questions impliquant la MFA. le cas classique est d’identifier quel facteur modifier pour activer une MFA, selon les exigences données par le contexte.
Les stratégies d’accès conditionnel vous permettent d’inviter des utilisateurs à l’authentification multifacteur lorsque cela est nécessaire pour la sécurité et à ne pas le leur demander lorsque cela n’est pas nécessaire.
L’accès conditionnel est un premier outil que l’on met en place pour augmenter la sécurité sur Azure. Par exemple, la gestion des localisation peut être un point très important pour améliorer l’expérience utilisateur :
En évitant « d’harceler » les utilisateurs avec un contrôle MFA lorsque l’on se trouve au bureau
En imposant la MFA si l’utilisateur se connecte depuis un appareil non compliant
L’infrastructure d’accès conditionnel vous offre une grande flexibilité de configuration. Toutefois, une grande flexibilité implique également que vous examiniez soigneusement chaque stratégie de configuration avant de la mettre en œuvre, afin d’éviter des résultats indésirables.
Message issu de l’accès conditionnel, bloquant pour l’utilisateur
Gérer Azure AD Identity Protection
Identity Protection est un outil qui permet aux organisations d’accomplir trois tâches principales :
Automatiser la détection et la correction des risques liés à l’identité
Examiner les risques à l’aide des données disponibles sur le portail
Exporter les données de détection des risques vers des utilitaires tiers pour une analyse plus approfondie
Ici encore, des questions seront possible pour savoir ce qui se passera si l’utilisateur déclenche une alerte :
Réinitialisation du mot de passe ?
Demande de vérification MFA ?
Azure AD utilise l’apprentissage automatique pour détecter les anomalies et les activités suspectes, en utilisant à la fois des signaux détectés en temps réel pendant les ouvertures de session et des signaux en temps différé liés aux utilisateurs et à leurs activités d’ouverture de session.
Implement Access Management for Apps
Il s’agit ici du chapitre de la certification le plus faiblement noté. Il s’agissait aussi de celui que je maîtrisais le moins :D. Je n’ai pas eu beaucoup de questions, mais c’est toujours bon d’éviter de perdre des points dessus.
Autre sujet de sécurité œuvrant sur les applications d’entreprise : Cloud App Security
Cloud App Security intègre la visibilité à votre cloud pour mapper et identifier votre environnement cloud et les applications cloud utilisées par votre organisation en utilisant des connecteurs faciles à déployer :
Mettre en œuvre les enregistrements d’applications
Je n’ai rien de trouvé de plus explicatif que cette très bonne vidéo de John Savill :
A regarder en entier ! 🙂
Planifier et implémenter une stratégie de gouvernance des identités
On arrive au dernier chapitre … Aussi je vous conseille de ne pas négliger cette section car le pourcentage est assez important pour cette dernière sur cet examen.
De plus, je me rappelle avoir eu plusieurs questions dessus. Rien de vraiment compliqué ici, mais une bonne connaissances des outils devrait faire l’affaire.
Planifier et mettre en œuvre la gestion des droits
Il s’agit ici d’un sujet que je n’avais jamais abordé avant cette certification. J’ai pu donc découvrir et tester ce principe par le biais de la révision, et j’ai eu plusieurs questions portant sur la stratégie d’attribution des droits.
Finalement le concept est assez simple car il apporte plus de clarté dans l’approvisionnement des services pour les employées et le déprovisionnement pour ces derniers quand leur mission est terminée.
La gestion des droits d’utilisation introduit sur Azure AD le concept de package d’accès. Un package d’accès regroupe toutes les ressources avec l’accès dont un utilisateur a besoin pour travailler sur un projet ou accomplir sa tâche. Les packages d’accès permettent de régir l’accès de vos employés et utilisateurs internes en dehors de votre organisation. Vous pouvez gérer l’accès des utilisateurs aux ressources suivantes avec la gestion des droits d’utilisation.
Le diagramme suivant montre un exemple des différents éléments en matière de gestion des droits d’utilisation.
Une connaissances des termes et de leurs rapports entre eux est donc fort utile :
Terme
Description
package d’accès
Bundle de ressources dont une équipe ou un projet a besoin et qui est régi par des stratégies. Un package d’accès est toujours contenu dans un catalogue. Vous créez un package d’accès pour un scénario dans lequel les utilisateurs doivent demander l’accès.
demande d’accès
Demande d’accès aux ressources dans un package d’accès. Cette demande transite généralement par un flux d’approbation. Si elle est approuvée, l’utilisateur demandeur reçoit une affectation de package d’accès.
affectation
L’affectation d’un package d’accès à un utilisateur garantit que l’utilisateur dispose de tous les rôles de ressources de ce package d’accès. Les affectations de package d’accès ont généralement une durée limite avant leur expiration.
catalogue
Conteneur de ressources connexes et de packages d’accès. Les catalogues sont utilisés pour la délégation, si bien que les non-administrateurs peuvent créer leurs propres packages d’accès. Les propriétaires de catalogue peuvent ajouter les ressources qu’ils possèdent à un catalogue.
créateur de catalogue
Regroupement d’utilisateurs autorisés à créer des catalogues. Lorsqu’un utilisateur non-administrateur, autorisé à être créateur de catalogue, crée un catalogue, il devient automatiquement le propriétaire de ce catalogue.
organisation connectée
Domaine ou annuaire Azure AD externe avec lequel vous avez une relation. Les utilisateurs provenant d’une organisation connectée peuvent être spécifiés dans une stratégie comme étant autorisés à demander l’accès.
police
Ensemble de règles définissant le cycle de vie d’un accès, telles que le mode d’accès des utilisateurs, les approbateurs et la durée d’accès par le biais d’une affectation. Une stratégie est liée à un package d’accès. Par exemple, un package d’accès peut avoir deux stratégies de demande d’accès : l’une pour les employés, l’autre pour les utilisateurs externes.
ressource
Ressource (un groupe Office, un groupe de sécurité, une application ou un site SharePoint Online, par exemple) dotée d’un rôle pour lequel un utilisateur peut obtenir des autorisations.
répertoire de ressources
Répertoire comprenant une ou plusieurs ressources à partager.
rôle de ressource
Collection d’autorisations associées à une ressource et définies par elle. Un groupe a deux rôles : membre et propriétaire. Les sites SharePoint ont généralement trois rôles, mais peuvent avoir des rôles personnalisés supplémentaires. Les applications peuvent avoir plusieurs rôles personnalisés.
Planifier, implémenter et gérer la révision d’accès
Les révisions d’accès Azure Active Directory permettent aux organisations de gérer efficacement les appartenances à des groupes, les accès aux applications d’entreprise et les attributions de rôles. Je vous confirme avoir eu des questions sur la revue d’accès. Le processus n’est pas très compliqué. Quelques petits rappels :
Aucun résultat n’est appliqué avant la fin de la période de revue ou si le créateur stoppe et applique les résultats lui-même
Un accès pour un utilisateur (révoqué ou conservé) peut être changé plusieurs fois pendant la période de revue d’accès. Seul le dernier statut sera conservé et appliqué
L’accès des utilisateurs peut être passé en revue régulièrement pour vérifier que seules les personnes appropriées continuent de bénéficier d’un accès.
Process de revue d’accès en 3 étapes : tout commence par la création de la revue, puis la validation et enfin l’application des résultats.
Planifier et mettre en œuvre l’accès privilégié
Privileged Identity Management est un service dans Azure Active Directory (Azure AD) qui vous permet de gérer, de contrôler et de superviser l’accès aux ressources importantes de votre organisation :
Je me souviens avoir eu une question sur un rôle devant passer sous attribution via Privileged Identity Management. Connaître les différentes étapes est donc important pour mettre en œuvre le processus et son utilisations par les demandeurs de droits.
Comment PIM fonctionne ?
Surveiller et gérer les Azure Active Directory
Les journaux d’audit et de diagnostic d’Azure Active Directory fournissent une vue détaillée de la façon dont les utilisateurs accèdent à votre solution Azure. Découvrez comment surveiller, dépanner et analyser les données de connexion.
L’architecture de création de rapports dans Azure AD comprend les composants suivants :
Activité
Connexions : Il s’agit d’informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.
Journaux d’audit : Fournissent des informations sur les activités du système liées aux utilisateurs et à la gestion des groupes, les applications gérées et les activités de répertoire.
Les journaux de provisionnement : permettent aux clients de superviser l’activité effectuée par le service de provisionnement, telle que la création d’un groupe dans ServiceNow ou l’importation d’un utilisateur à partir de Workday.
Sécurité
Connexions risquées : une connexion risquée correspond à un indicateur de tentative de connexion d’un utilisateur autre que le propriétaire légitime d’un compte d’utilisateur.
Utilisateurs avec indicateur de risque : il s’agit d’un compte d’utilisateur susceptible d’être compromis.
Des questions sur la rétention peuvent tomber, gardez donc en tête ces durées de rétention :
Rapports d’activité
Rapport
Azure AD Gratuit
Azure AD Premium P1
Azure AD Premium P2
Journaux d’audit
7 jours
30 jours
30 jours
Connexions
7 jours
30 jours
30 jours
Utilisation d’Azure AD MFA
30 jours
30 jours
30 jours
Signaux de sécurité
Rapport
Azure AD Gratuit
Azure AD Premium P1
Azure AD Premium P2
Les utilisateurs à risque
7 jours
30 jours
90 jours
Connexions risquées
7 jours
30 jours
90 jours
Conclusion
Cette certification apporte donc un véritable tour d’horizon sur la sécurité dans Azure Active Directory. Je peux dire avec certitude qu’il y n’y pas beaucoup de notions croisées avec les certifications AZ-500 et MS-500. Elle permettra donc de valider vos connaissances sur la gestion des identités dans le Cloud.
Mes derniers conseils
Prenez surtout le temps de bien tester chaque module dans un environnement de test pour en connaître le fonctionnement et en mesurer les impacts
Etant souvent dans des environnements de tests, on néglige assez régulièrement les rôles préconstruit dans Azure Active Directory. La sécurité passe par une gestion mesurée des droits des administrations. Lisez donc leurs droits et testez-les !
Aujourd’hui, nous sommes le 1er mai, il faut donc lâcher un peu ses révisions et se vider l’esprit 😀
Pensez à partager dans les commentaires vos autres sources d’apprentissage, ou votre feedback sur l’examen. ????
Je m’appelle Jean-Loup Orgitello, je travaille chez TD SYNNEX depuis 2020 en tant qu’Azure Pre-Sales Consultant. Avant cela, j’ai travaillé pendant plus de 12 ans, en tant autre comme consultant fonctionnel, chez un éditeur privé pour un système de gestion comptable proche d’une solution ERP.
J’ai débuté mon parcours en informatique à l’âge de 8 ans. Animé par une curiosité insatiable et une volonté constante d’apprendre, j’ai acquis la majorité de mes compétences techniques par auto-formation. Fort de 13 années d’expérience professionnelle, j’ai développé une expertise approfondie dans l’ensemble du processus de création logicielle. Je maîtrise toutes les phases de ce processus, y compris la prospection, les activités commerciales, la conception, la recette, l’intégration, ainsi que la formation.
Depuis 2019, j’ai commencé à travailler sur Cloud Azure, ce qui a éveillé en moi une volonté de partager les connaissances acquises avec la communauté. Cet engagement renforce l’idée d’un savoir informatique accessible à tous, et témoigne de mon dévouement à promouvoir un apprentissage collaboratif et inclusif.
Enfin je tiens également à préciser que je ne suis pas rémunéré par Microsoft. Je souhaite avant tout et par ce blog, élargir le cercle des “connaisseurs” du Cloud, et plus particulièrement sur Azure, afin que d’autres puissent comme moi faire évoluer leur carrière sur les dernières innovations de l’informatique.
Ayant passé plusieurs certifications sur le Cloud Microsoft et acquis le titre de Microsoft Certified Trainer (MCT), je ne cherche pas non plus à me faire de l’auto-publicité, mais simplement partager avec vous les produits et fonctionnalités développées dans le Cloud afin de trouver ensemble des bénéfices pour les projets ou les clients avec lesquels nous travaillons tous quotidiennement.
En 2024, j’ai eu l’honneur de recevoir le titre de MVP Microsoft, une reconnaissance prestigieuse qui couronne mon travail personnel, ma passion et mon engagement au sein de la communauté informatique. Cette distinction est le reflet de mon dévouement à l’innovation et à l’excellence dans le domaine des technologies de l’information.
Installé avec ma famille dans le bassin genevois, j’ai souhaité écrire ce blog en français car, comme beaucoup de professionnels de l’informatique, mes journées se font en anglais. En recherche continuelle d’informations sur la toile, l’idée m’a paru séduisante de l’écrire dans la langue de Molière pour permettre à toujours plus de monde d’apprendre et d’échanger.
Je vous souhaite une bonne lecture et n’hésiter par me contacter ou retrouver mon profil sur LinkedIn.
