Diagnostic d’un archivage inefficace dans Exchange Online

Dans un environnement Exchange Online, j’ai observé un cas où l’archivage In-Place était activé sur une boîte aux lettres, mais sa taille ne diminuait pas. Autrement dit, même après avoir coché l’option d’archivage, les messages restaient dans la boîte principale. Ce comportement surprenant peut résulter de tags de rétention mal configurés, d’un hold actif ou d’un problème lors du traitement par le Managed Folder Assistant (MFA). Je vous présente ici un retour d’expérience détaillé, illustré par les outils de diagnostic PowerShell et MFCMAPI, afin d’identifier la cause racine de ce dysfonctionnement.

Extraction des logs diagnostics et interprétation des propriétés ELC

Pour investiguer, j’ai utilisé la cmdlet PowerShell Export-MailboxDiagnosticLogs -ExtendedProperties, qui exporte de nombreuses propriétés de la boîte aux lettres pour le diagnostic. Par exemple, Tony Redmond illustre cette approche en important le log au format XML et en filtrant les propriétés dont le nom commence par “ELC” (pour Email Lifecycle)practical365.com. Ces propriétés ELC reflètent l’activité du MFA sur la mailbox : durée de traitement, nombre d’éléments taggés, archivés ou supprimés lors de la dernière exécution, etc.

Les principales propriétés clés sont :

• ElcAssistantLock : indique si le MFA est verrouillé (1) ou non (0) sur la boîte.
• ElcFaiSaveStatus / ElcFaiDeleteStatus : statut de la création/suppression de l’élément FAI (Folder Associated Item) caché pour les tags de rétention. Par exemple SaveSucceeded signifie que le MFA a créé/mis à jour le FAI lors de cette passe.
• ElcLastRunArchivedFromRootItemCount : nombre de messages déplacés depuis la boîte principale vers l’archive lors de la dernière exécution du MFA. (Similairement, les compteurs “Deleted” et “Tagged” indiquent respectivement les suppressions et étiquetages réalisés.)

Première exécution de Export-MailboxDiagnosticLogs (avant traitement MFA). On voit ici que **toutes les valeurs “ElcLastRunItemCount” sont à 0** et ElcFaiSaveStatus = SaveNotAttempted. Cela signifie que le MFA n’a encore appliqué aucun tag ou archivage. En particulier, ElcAssistantLock = 0, confirmant que l’assistant n’était pas en cours d’exécution au moment du log.

Seconde capture après que le MFA a été lancé. On constate que ElcFaiSaveStatus = SaveSucceeded, indiquant que l’élément FAI a été créé/mis à jour. Le compteur ElcLastRunArchivedFromRootItemCount = 918 (flèche rose non présente ici) montre que 918 messages ont été déplacés vers l’archive lors de cette exécution. Les autres compteurs affichent le détail : par exemple ElcLastRunDeletedFromRootItemCount = 495 (éléments supprimés), et 4263 éléments ont été taggés pour suppression (TaggedWithExpiry). Cela montre qu’après activation des tags de rétention, le MFA a bien traité un volume important de messages.

Troisième capture (exécution suivante). ElcAssistantLock = 1 (flèche rose) indique que le MFA était en cours d’exécution lors de la collecte du log. Cette passe n’a pas déplacé de nouveaux éléments (ElcLastRunArchivedFromRootItemCount = 0), mais on observe un pic de 67068 éléments taggés pour suppression (ElcLastRunTaggedWithExpiryItemCount), et un temps de traitement très élevé. Le statut ElcFaiSaveStatus = SaveNotAttempted suggère que le FAI n’a pas été modifié à nouveau ce jour-là. Autrement dit, le MFA a détecté un grand nombre de messages à traiter (vraisemblablement en fonction des tags existants), sans actualiser le FAI ni archiver supplémentaire.

Dans l’ensemble, ces logs ELC montrent qu’un traitement MFA s’est bien déclenché et a appliqué les tags/archives sur plusieurs milliers de messages, mais que la seconde exécution n’a fait qu’étiqueter un très grand nombre d’éléments sans mouvement additionnel. La présence du verrou (ElcAssistantLock = 1) et les compteurs élevés confirment que l’assistant tourne normalement.

Vérification manuelle avec MFCMAPI (PR_RETENTION_DATE)

Pour comprendre pourquoi les éléments tagués n’ont pas été déplacés, j’ai donc inspecté manuellement la propriété PR_RETENTION_DATE d’un message via MFCMAPI. Cette propriété (visible uniquement si un tag personnel ou de boîte a été appliqué) donne la date et l’heure de suppression programmée de l’élément. Par exemple, dans la capture ci-dessous (boîte de “Michael N.”), on voit PR_RETENTION_DATE = 01/10/2024 pour un e-mail (flèche rose). Cela signifie qu’à cette date (en UTC) le message devait expirer selon le tag en vigueur.

Capture MFCMAPI de la boîte de “Michael N.” La flèche rose pointe la propriété PR_RETENTION_DATE d’un e-mail, ici positionnée au 1er octobre 2024. Cette valeur renseigne la date d’expiration effective de l’élément selon le tag de rétention appliqué.

L’observation clé est que les dates de rétention de ces messages sont toutes postérieures au moment du diagnostic. En d’autres termes, même si le MFA a correctement tagué de nombreux messages (comme le montre les logs ELC), ceux-ci ne seront archivés/supprimés qu’à l’échéance de PR_RETENTION_DATE. Tant que cette date n’est pas atteinte, les éléments restent dans la boîte principale.

Analyse croisée et interprétation

La corrélation entre les logs ELC et les dates PR_RETENTION_DATE explique le comportement constaté. Les logs montrent des dizaines de milliers de messages marqués pour suppression (“TaggedWithExpiry”), mais MFCMAPI révèle que la plupart de ces messages sont encore loin de leur date d’expiration.

Autrement dit, aucun conflit technique n’empêchait le MFA de traiter la boîte : l’assistant a tourné et appliqué les tags. Le retard dans l’archivage provient simplement du fait que les tags appliqués ont des durées très longues. Par exemple, si un tag “Supprimer au bout de 365 jours” a été appliqué en mai 2023, la PR_RETENTION_DATE est en octobre 2024, d’où le report du déplacement.

Il n’a pas non plus été nécessaire de forcer l’archivage : le MFA s’exécute automatiquement en cloud (au moins une fois par semaine). Cependant il faut vérifier que RetentionHoldEnabled est à False et qu’ElcProcessingDisabled est False (via Get-Mailbox | fl *Retention*), éliminant un hold éventuel. J’ai également vérifié les tags existants : Microsoft rappelle que les tags désactivés ou configurés en “Never delete/archive” ont priorité et empêchent toute action. Dans notre cas, aucun tag n’était en « jamais archiver » et la politique de rétention utilisée contenait des tags personnels dont la durée, bien que longue, était valide.

En résumé, le diagnostic croisé montre que le MFA fonctionne correctement. Le problème d’« archivage inefficace » tenait au paramétrage des tags : les messages n’étaient pas encore arrivés au terme de leur rétention.

Conclusion et recommandations

Pour diagnostiquer et corriger ce type de situation, il faut retenir plusieurs bonnes pratiques :

• Collecter les logs MFA avec Export-MailboxDiagnosticLogs -ExtendedProperties pour visualiser les compteurs ELC (comme vu ci-dessus). Cela confirme si l’assistant a réellement traité la boîte (présence d’un timestamp et de compteurs non nuls).
• Examiner les propriétés PR_RETENTION_DATE via MFCMAPI ou script (par exemple, avec Get-MessageTrace ou Get-MailboxFolderStatistics) pour vérifier si les dates d’expiration sont atteignables. Un PR_RETENTION_DATE dans le futur explique un archivage différé.
• Forcer manuellement le MFA si besoin (cmdlet Start-ManagedFolderAssistant -Identity <utilisateur> -Archive) et patienter quelques heures pour voir l’effet.
• Vérifier les tags de rétention associés à la boîte : s’assurer qu’aucun tag n’est désactivé et qu’aucun tag “Never” (jamais archiver/supprimer) ne bloque le traitement. Contrôler les durées des tags : les plus longues priment sur les plus courtes.
• Vérifier les propriétés de la boîte : s’assurer que RetentionHoldEnabled et ElcProcessingDisabled sont à False, afin de ne pas empêcher MFA (comme décrit par Microsoft).
• Surveiller l’interface utilisateur : après traitement, on peut aussi confirmer visuellement dans Outlook que les tags sont appliqués aux messages (dans OWA, les tags de rétention apparaissent avec leurs dates d’expiration).

En appliquant ces contrôles, on peut isoler rapidement la cause racine d’un archivage qui ne se matérialise pas.

1. Intelligence Artificielle (IA) et Agents Autonomes

• Agents IA : Les systèmes d’IA deviendront plus autonomes, anticipant les besoins et agissant de manière proactive, transformant ainsi les interactions professionnelles et personnelles.
• Intégration Multimodale : Les modèles d’IA seront capables de traiter simultanément du texte, des images, de l’audio et de la vidéo, améliorant ainsi la compréhension contextuelle et les interactions humaines. (J’attends avec impatience l’intégration miniaturisé dans un casque VR grand public par exemple)

2. Modèles de Consommation en plus Flexibles

• Financement Basé sur la Consommation : Les modèles “as-a-service” et les solutions de financement flexibles deviendront la norme, offrant aux entreprises une plus grande adaptabilité face aux pressions économiques.

3. Cybersécurité

• Menaces Alimentées par l’IA : Les cyberattaques utilisant l’IA deviendront plus sophistiquées, posant des défis significatifs aux mesures de sécurité actuelles. Stay tuned surtout !
• Défenses Améliorées : Parallèlement, l’IA sera utilisée pour renforcer les mécanismes de cyberdéfense, permettant de détecter et de contrer les menaces de manière plus efficace. Voir ce vous faire gagner du temps pour les traiter.

4. Convergence Technologique

• Intégration de Technologies Avancées : Une convergence de l’IA, de l’informatique quantique, de la robotique et de la digitalisation du monde physique transformera divers aspects de la vie quotidienne et professionnelle. On l’a vu avec Optimus (le Robot Tesla) mais il va falloir attendre encore un peu pour en avoir un chez soi… et pousser encore plus loin la domotique question d’Acceptance Factor aussi

5. Réglementation et Éthique de l’IA et de l’UE

• Cadres Réglementaires Renforcés : Des réglementations mondiales plus strictes seront mises en place pour encadrer l’utilisation de l’IA, mettant l’accent sur la transparence, l’éthique et la responsabilité.
• NIS2 & DORA : Application des normes seront appliquées, donc beaucoup de chantier autour de ces sujets là également.

Le Microsoft Ignite 2024, c’est l’évènement annuel de Microsoft qui “annonce” et met en avant leur évolution, il réuni plus de 200 000 participants (dont 14 000 en présentiel), met l’accent sur les innovations en intelligence artificielle (IA) et en sécurité. L’événement a pour cette année dévoilé des outils pour développeurs, des fonctionnalités pour Microsoft 365 Copilot, ainsi que des solutions matérielles intégrant l’IA. Bref une masse de news à suivre !

1. Microsoft 365 Copilot et Agents

Agents dans Microsoft 365

• Agents SharePoint : Permettent de créer des agents automatisés liés à des fichiers, dossiers ou sites SharePoint spécifiques. Ces agents respectent les permissions et labels de sensibilité.
• Facilitateur Teams (en préversion) : Prend des notes collaboratives en temps réel et résume les conversations.
• Interprète Teams (disponible début 2025) : Fournit des traductions en neuf langues avec simulation vocale.
• Agent Gestion de projets : Automatisation complète dans Planner (création de plans, suivi, notifications).

Copilot Studio

• Agents autonomes : Agissent sans interaction humaine répétée, déclenchés par des événements (ex. : réception d’email, ajout de fichier).
• Bibliothèque d’agents : Modèles préconfigurés pour les processus métier courants (gestion des congés, accélération des ventes).
• Microsoft 365 Agents SDK : Développement multicanal (Teams, web, applications tierces) avec Azure AI et Semantic Kernel.

Nouvelles fonctionnalités intégrées

• Copilot dans Excel : Création de feuilles de calcul sur mesure avec modèles automatiques.
• Teams : Résumé automatique des fichiers partagés en chat, respectant les politiques de sécurité.
• PowerPoint :
  • Traduction des présentations en 40 langues.
  • Narrative Builder pour générer des diapositives complètes avec transitions et notes.
• Outlook : Planification automatique (ex. : focus time, réunions) et génération d’agendas.

2. Azure et Intelligence Artificielle

Azure AI Foundry

• SDK Azure AI Foundry (préversion) : Outils unifiés pour personnaliser, tester et gérer des applications IA.
• Portail Azure AI Foundry : Interface centralisée pour la gestion des modèles et des ressources.
• Azure AI Agent Service (préversion) : Orchestration et déploiement d’agents d’entreprise avec options comme BYOS (Bring Your Own Storage).

Modèles et collaborations IA

• Azure AI Model Catalog : Ajout de modèles sectoriels (santé, agriculture, finance) et intégration avec des partenaires comme Gretel et Scale AI pour accélérer le fine-tuning des modèles.
• Azure AI Search :
  • Génération améliorée par réécriture de requêtes.
  • Intégration avec GitHub Marketplace pour une gestion simplifiée des indices de recherche.

3. Infrastructure et Calcul Haute Performance

Infrastructures hybrides

• Azure Local : Successeur d’Azure Stack, cette plateforme hybride permet d’exécuter des applications natives au cloud et des charges critiques dans des environnements distribués.
• Intégration avec Azure Arc pour la gestion centralisée de données et d’applications sur des infrastructures multicloud.

VMs de nouvelle génération

• ND GB200 V6 (basées sur NVIDIA Blackwell) :
  • Idéal pour le traitement des modèles IA avancés.
  • Optimisation de la performance pour le training et l’inférence.
• HBv5 VMs (basées sur AMD EPYC Zen4) :
  • Jusqu’à 8x plus rapides que les solutions cloud concurrentes.
  • Mémoire haute bande passante (HBM) pour les charges HPC.

Conteneurs et GPU Serverless

• Azure Container Apps :
  • GPU Serverless (préversion) : Évolutivité à la demande avec facturation à la seconde.
  • Sessions dynamiques : Environnements sécurisés pour exécuter du code généré par des modèles LLM.

4. Sécurité et Gouvernance IA

Azure AI Content Safety

• Évaluation des risques sur les contenus générés (texte, image, multimodal).
• Filtrage et ajustement des données d’ancrage pour des déploiements conformes et sûrs.

Rapports de gouvernance IA

• Génération de rapports (PDF/SPDX) consolidant les versions de modèles, cartes de modèles et métriques d’évaluation.

Copilot Analytics

• Copilot Business Impact Report : Analyse l’utilisation des outils IA en fonction des KPI métier (ventes, marketing, finance).
• Intégration avec Viva Insights pour mesurer la productivité.

---

En faisant un focus sur la partie sécurité qui est un des enjeux plus que majeur de la période actuelle et futur voici ce qui a été annoncé

5. Approche globale de la sécurité

Microsoft a réaffirmé son engagement à la sécurité à travers les principes SFI (Secure Future Initiative) :

• Secure by Design : Intégration de la sécurité dès la conception des produits.
• Secure by Default : Configuration initiale optimisée pour la sécurité.
• Secure Operations : Surveillance et gestion active des risques en production.

Plus de 34 000 ingénieurs chez Microsoft travaillent exclusivement sur des initiatives de sécurité.

6. Sécurité dans Microsoft 365 et Copilot

Copilot Analytics

• Impact et gouvernance de l’IA :
  • Copilot Analytics fournit des tableaux de bord pour suivre l’adoption et les usages des outils d’IA.
  • Rapports détaillés sur les tendances et les actions suggérées, consolidés dans le Microsoft 365 Admin Center.

Protection des données

• Les fonctionnalités Copilot dans Teams, SharePoint et Outlook respectent strictement les permissions d’accès et les labels de sensibilité pour éviter le partage involontaire de données sensibles.

Copilot Control System (préversion)

• Contrôles de gestion des agents : Administration centralisée des données utilisées par Copilot pour garantir leur conformité.
• Protection des données : Les intégrations avec Azure AI Search et Microsoft Purview assurent une gouvernance des données conforme aux exigences réglementaires.

7. Azure et Sécurité IA

Azure AI Content Safety (préversion)

• Détection des risques liés au contenu généré par des modèles multimodaux (texte, images, vidéos).
• Évaluation de la fréquence et de la gravité du contenu potentiellement préjudiciable (même pour des cas complexes comme des mèmes ou des images annotées).
• Personnalisation des filtres de sécurité grâce à Azure AI Content Safety pour mieux contrôler les résultats des modèles d’IA.

Rapports de gouvernance et conformité

• AI Reports : Création de rapports consolidés contenant des détails sur :
  • Les cartes de modèles, versions, configurations des filtres de contenu et métriques d’évaluation.
  • Exports possibles en formats PDF ou SPDX pour audits internes ou réglementaires.
• Intégration au portail Azure AI Foundry pour simplifier la gestion des workflows de conformité.

8. Sécurité des infrastructures et des environnements hybrides

Azure Local

• Azure Local, basé sur Azure Arc, fournit une infrastructure hybride sécurisée pour les charges critiques.
• Permet des déploiements isolés (scénarios déconnectés) pour répondre aux besoins réglementaires et aux exigences de souveraineté des données.

Gestion centralisée avec Azure Arc

• Unification des outils de gestion et de sécurité pour les environnements hybrides et multicloud.
• Intégration d’Azure Policy pour assurer la conformité des configurations et des mises à jour.

Azure Well-Architected Framework

• Nouveau cadre dédié aux charges IA, assurant des standards élevés en matière de :
  • Fiabilité.
  • Sécurité.
  • Efficacité des coûts.

9. Nouveaux outils pour les développeurs et administrateurs

Serverless GPUs

• Permettent une isolation sécurisée des workloads IA sensibles avec une facturation précise à la seconde, optimisant les coûts et la sécurité opérationnelle.

Intégration de Microsoft Purview avec Oracle Database@Azure

• Gouvernance des données : Contrôle fédéré des données pour garantir la conformité, notamment pour les charges critiques dans Oracle Database.

Azure AI Model Catalog

• Les modèles sectoriels ajoutés (ex. : finance, santé) respectent les standards élevés de sécurité et de confidentialité.

---

Après avoir parlé sécurité, je vous propose de passer en revue les news plus orienté Microsoft 365 qui renforce la sécurité à tous les niveaux :

• Intégration fluide avec des outils de gouvernance comme Viva Insights et Microsoft Entra.
• Respect strict des permissions d’accès.
• Contrôles centralisés pour les administrateurs.

10. Sécurité des données et gouvernance dans Microsoft 365

Respect des permissions et sensibilités

• Agents Microsoft 365 Copilot :
  • Les agents (SharePoint, Teams, Outlook) respectent les permissions d’accès et les labels de sensibilité.
  • Cela empêche tout partage involontaire de données sensibles.

Copilot Control System (préversion)

• Administration centralisée : Permet de gérer et surveiller les agents et leurs interactions avec les données Microsoft 365.
• Protection des données : Contrôles renforcés pour s’assurer que les données manipulées par les agents respectent les politiques de sécurité internes.

Rapports de gouvernance avec Viva Insights

• Copilot Business Impact Report (préversion) :
  • Mesure l’impact de l’IA sur la productivité et les KPI métier.
  • Permet de suivre l’utilisation et l’adoption des fonctionnalités Copilot tout en respectant la sécurité et la confidentialité des données.

11. Nouvelles fonctionnalités de sécurité intégrées à Copilot

Sécurité dans Teams

• Résumé des fichiers partagés en chat (préversion) :
  • Copilot peut résumer les documents partagés sans les ouvrir.
  • Les résumés sont accessibles uniquement aux utilisateurs ayant les droits d’accès aux fichiers.

Gestion des e-mails dans Outlook

• Planification sécurisée des réunions :
  • Copilot analyse les calendriers pour trouver les créneaux disponibles tout en respectant les permissions d’accès aux agendas.
  • Génération d’agendas confidentiels alignés sur les objectifs de la réunion.

PowerPoint et sécurité des contenus

• Traduction complète des présentations dans 40 langues tout en préservant les labels de sensibilité et les métadonnées des documents.

12. Sécurité dans l’administration Microsoft 365

Microsoft 365 Admin Center

• Copilot pour administrateurs (préversion) :
  • Résume les tendances d’utilisation des produits Microsoft 365.
  • Fournit des insights sur la conformité et les mises à jour importantes via un tableau de bord.
  • Identifie les problèmes techniques (ex. : qualité des appels Teams) et propose des solutions.

Copilot Analytics

• Adoption et impact :
  • Tableaux de bord out-of-the-box pour suivre l’utilisation de Microsoft 365 et identifier les lacunes.
  • Rapports consolidés disponibles dans le Centre d’Administration Microsoft 365.

---

13. Contrôles de sécurité et gestion des identités

Microsoft Entra pour Copilot

• Authentification et gestion des identités renforcées dans toutes les applications Microsoft 365, garantissant que seules les personnes autorisées accèdent aux fonctionnalités Copilot.

Sécurité des environnements hybrides

• Microsoft Places : Coordination des présences au bureau pour optimiser les connexions en personne sans compromettre la confidentialité des données de localisation.

---

14. Collaboration et sécurité renforcée

Pages Copilot

• Les contenus collaboratifs (ex. : notes, artefacts riches comme diagrammes ou tableaux) sont créés dans des espaces sécurisés.
• Multi-Page Support : Chaque collaborateur voit uniquement les parties du contenu qu’il est autorisé à consulter.

Règles de collaboration :

• Les agents collaboratifs (comme le Facilitateur Teams) respectent strictement les permissions définies dans SharePoint ou Teams.

Stay tuned & Have Fun !

Très souvent, on me demande quel est la marche à suivre pour retirer les accès d’un collaborateur qui quitte une société. Alors voici une checklist rapide des éléments à prendre en considération.

1. Bloquer la connexion : Désactivez le compte pour empêcher les nouvelles connexions. Utilisez la commande cmdlet Revoke-MgUserSignInSession pour forcer la déconnexion de toutes les sessions immédiatement.
2. Désactiver le compte AD local : Si votre entreprise utilise Active Directory, désactivez le compte dans l’AD local.
3. Réinitialiser le mot de passe de l’utilisateur : Mettez à jour le compte avec un mot de passe aléatoire pour empêcher l’employé de continuer à accéder au tenant.
4. Soumettre une demande d’effacement sélectif des applications/effacement des appareils : Si Intune est déployé, soumettez une demande d’effacement pour tous les appareils enregistrés.
   • 
5. Soumettre une demande d’effacement ActiveSync : Si Intune n’est pas déployé, soumettez une demande d’effacement pour les appareils utilisant ActiveSync.
   • Clear-MobileDevice -AccountOnly -Identity User -NotificationEmailAddresses "admin@domain.com"
6. Désactiver les appareils de l’utilisateur : Invalidez toute authentification basée sur un compte d’ordinateur en utilisant les cmdlets du Microsoft Graph PowerShell SDK.
   • $Device = Get-MgUserRegisteredDevice -UserId "user@domain.com"
   • Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
7. Activer la délégation sur OneDrive for Business : Déléguez l’accès au OneDrive for Business de l’employé à un utilisateur autorisé.
8. Conserver la boîte aux lettres de l’utilisateur : Convertissez la boîte aux lettres de l’utilisateur en boîte aux lettres partagée ou utilisez des rétentions pour conserver la boîte aux lettres en tant que boîte aux lettres inactive.
   • L’impact sur les éléments chiffrés, tels que les emails ou les documents, peut être significatif lorsqu’un utilisateur est supprimé. Avec l’adoption croissante des étiquettes de sensibilité, des problèmes peuvent survenir pour les éléments stockés dans Microsoft 365. Les étiquettes de sensibilité appliquent des restrictions d’accès et/ou un chiffrement à ces éléments. Si les étiquettes restreignent l’accès de manière à ce qu’un seul utilisateur soit le propriétaire d’un document, et que cet utilisateur est celui qui est supprimé, il n’y a pas de moyen facile d’identifier quels documents ou éléments sont impactés par la suppression du compte utilisateur.
   • Pour résoudre ce problème, il existe une configuration appelée Super User dans Azure Rights Management Service (RMS), qui est la technologie utilisée par les étiquettes de sensibilité pour appliquer le chiffrement et/ou le contrôle d’accès. Le Super User est un compte administratif spécial qui a des droits de propriétaire sur tous les éléments protégés par Azure RMS
9. Supprimer la licence de l’utilisateur : Réduisez les coûts de licence en supprimant la licence de l’utilisateur.
10. Supprimer le compte utilisateur : Après une période de grâce, supprimez le compte utilisateur du système.
11. Services avancés : Cette liste couvre les étapes de base pour les tenants Microsoft 365. Si vous avez des services avancés comme Defender for Cloud Apps, des étapes supplémentaires peuvent être nécessaires.
    • Ajouter les utilisateurs aux politiques de Defender for Cloud Apps : Cela permet de surveiller les téléchargements massifs de fichiers inexpliqués depuis Teams/SharePoint.
    • Configurer les notifications de flux de travail : Configurez un flux de travail de notification dans votre tenant pour que votre équipe IT soit informée lorsque des actions sont nécessaires.
    • Utiliser PowerAutomate pour automatiser le processus : Envisagez d’automatiser le processus en utilisant PowerAutomate cloud flow pour minimiser les interventions manuelles.

Hello folks,

Microsoft continue la sécurisation de ces environnements et par extension du votre, en effet depuis le 9 Septembre 2024, vous ne pourrez plus vus connecter “facilement” nous allons voir ensemble comment s’y connecter :

Step 1 : Enregistrement de l’application dans EntraID

Register-PnPEntraIDAppForInteractiveLogin -ApplicationName “PnP Rocks” -Tenant [votretenant].onmicrosoft.com -Interactive

Step 2 : La connexion

Connect-PnPOnline -Url https://%5Bvotretenant%5D.sharepoint.com/sites/demo -Interactive -ClientId 61[….]36e

source : https://pnp.github.io/powershell/articles/registerapplication.html

Au temps dire que ce mode de connexion nécessitera la connaissance du clientID de l’application ou bien d’un certificat, le MFA étant devenu de rigueur pour tous. En tout cas les règles de déploiement de connexion par certificats vont revenir à l’ordre du jour, tout comme le fait d’appuyer encore sur les règles d’accès conditionnel.

Stay tuned & have fun !

Microsoft a effectivement annoncé la fin de Windows Server Update Services (WSUS), et cela pousse les entreprises à envisager d’autres solutions pour la gestion des mises à jour des systèmes Windows. Dans cet articles nous allons voir les avantages des différentes solutions alternatives à WSUS.

1. Microsoft Endpoint Manager (Intune)

Evidemment Microsoft recommande fortement de migrer vers Microsoft Intune, qui fait partie de la suite Microsoft Endpoint Manager. Il s’agit d’une solution cloud qui permet la gestion des mises à jour, des appareils et des applications sur des environnements Windows, macOS, iOS, et Android.

Avantages :

• Gestion centralisée via le cloud.
• Capacité à gérer des appareils mobiles (MDM) et des PC (intégration avec Autopilot et Microsoft 365) ainsi que des postes Linux, Mac.
• Mises à jour automatiques et déploiements basés sur des stratégies définies.
• Intégration avec Microsoft Defender pour la sécurité des points de terminaison.

2. Windows Update for Business (WUfB)

Windows Update for Business est une autre solution de Microsoft, conçue pour automatiser les mises à jour des appareils Windows, en particulier pour les environnements de type PME ou grands comptes. WUfB offre plus de contrôle sur les mises à jour, permettant de définir des anneaux de mise à jour, des périodes de déploiement différé, et des stratégies de maintenance automatique.

Avantages :

• Pas besoin d’infrastructure on-premises, tout se fait via le cloud.
• Contrôle granulaire des déploiements (périodes de différé, anneaux de mise à jour).
• Réduit la charge administrative par rapport à WSUS.

3. System Center Configuration Manager (SCCM)

Pour les organisations qui souhaitent garder une gestion on-premises, SCCM (aussi appelé Microsoft Endpoint Configuration Manager) reste une option solide, bien que rapidement couteuse en fonction du nombre de machines à maintenir (en dessous d’un certain volume cela n’est pas très intéressant). SCCM permet une gestion complète des mises à jour Windows, mais également des applications, des correctifs de sécurité, et d’autres tâches de gestion d’appareils.

Avantages :

• Solution on-premises, idéale pour les environnements avec des besoins spécifiques.
• Gestion avancée des correctifs et des mises à jour.
• Peut être intégré à Intune pour une gestion hybride (cloud + on-premises).

4. Third-party Patch Management Tools

Il existe plusieurs outils tiers spécialisés dans la gestion des correctifs et des mises à jour qui peuvent servir de remplacement à WSUS. Ces solutions offrent souvent une compatibilité multi-plateforme et des fonctionnalités supplémentaires.

Exemples de solutions tierces :

• Ivanti Patch Management : Gestion centralisée des correctifs pour plusieurs plateformes.
• ManageEngine Patch Manager Plus : Multi-plateforme et supporte une large gamme d’applications tierces.
• SolarWinds Patch Manager : Outil de gestion des correctifs pour environnements Windows et d’autres applications.

5. Azure Update Management

Azure Update Management est une autre option intéressante si vous avez des machines virtuelles (VM) dans Azure ou même des serveurs on-premises hybrides. Cette solution permet de gérer les mises à jour de systèmes d’exploitation sur des machines Windows et Linux via le cloud Azure.

Avantages :

• Gestion dans le cloud des environnements Windows et Linux.
• Peut être utilisé pour des infrastructures hybrides (Azure/on-premises).
• Intégré dans la suite de gestion Azure, facilitant l’automatisation et les rapports.

6. Azure ARC

Azure Arc permet d’étendre la gestion des services Azure à des serveurs physiques et virtuels, qu’ils soient hébergés on-premises ou dans d’autres clouds (AWS, Google Cloud, etc.) pour la gestion des mises à jour. Il offre un contrôle centralisé pour les politiques de mise à jour, la gestion des correctifs et la sécurité, similaire à ce que l’on trouve dans Azure, mais avec une portée beaucoup plus large.

Avec Azure ARC, vous pouvez gérer des machines Windows & Linux situées dans n’importe quel environnement, tout en utilisant des services comme Azure Update Management pour automatiser les mises à jour et les correctifs.

Avantages :

• Centralisation : Gérez des environnements multi-cloud et on-premises depuis un portail unique.
• Flexibilité : Compatible avec des systèmes hors Azure, facilitant la gestion unifiée des infrastructures hybrides.
• Sécurité et conformité : Assurez une application cohérente des correctifs et des stratégies de sécurité sur tous vos environnements.

En Conclusion

La fin de WSUS marque une transition vers des solutions de gestion de mises à jour plus modernes et flexibles, principalement basées sur le cloud. Microsoft Intune et Windows Update for Business sont des alternatives fortement recommandées par Microsoft, tandis que SCCM reste une option solide pour ceux qui préfèrent rester dans un environnement on-premises. Pour ceux qui souhaitent une solution plus spécialisée, des outils tiers comme Ivanti ou ManageEngine peuvent également être explorés. Azure ARC sera lui particulièrement intéressant si vous cherchez à unifier la gestion de vos infra multi-cloud ou hybrides en intégrant vos serveurs dans des workflows de gestion de mises à jour, permettant ainsi une fléxibilité et une potée étendues en comparaison à des solutions exclusivement cloud ou locales.

Hope this helps,

Préparez-vous pour le 14 octobre 2025…

Microsoft a récemment annoncé la fin de vie (End of Life – EOL) de deux de ses produits phares : Exchange Server 2016 et Exchange Server 2019. La date limite est fixée au 14 octobre 2025. Après cette date, Microsoft ne fournira plus de mises à jour de sécurité, de support technique, ni de correctifs pour ces versions. Pour les entreprises et organisations utilisant encore ces solutions, cette échéance marque un tournant important, nécessitant une planification proactive et une migration vers des solutions plus modernes et supportées.

Dans cet article, nous examinerons en détail ce que signifie la fin de vie de ces versions, les risques associés à rester sur une version non supportée, et les meilleures stratégies pour se préparer à cette transition.

Qu’est-ce que la fin de vie de Microsoft Exchange 2016 et 2019 ?

La fin de vie d’un produit Microsoft signifie que celui-ci ne bénéficiera plus de support officiel après une certaine date. Pour Exchange 2016 et 2019, cela implique qu’après le 14 octobre 2025 :

• Plus de mises à jour de sécurité.
• Plus de correctifs pour les problèmes techniques.
• Fin du support client pour ces versions.
• Aucune nouvelle fonctionnalité ou amélioration.

Cela expose les systèmes encore basés sur ces versions à des risques majeurs en matière de sécurité, de conformité, et de fiabilité.

Pourquoi est-il important de migrer avant la fin de vie ?

Rester sur une version non supportée d’Exchange Server expose votre organisation à plusieurs risques :

1. Sécurité : Sans mises à jour de sécurité, les serveurs deviennent vulnérables aux cyberattaques.
2. Conformité : De nombreuses réglementations exigent que les logiciels utilisés soient à jour et reçoivent des mises à jour de sécurité.
3. Support : En cas de problème critique, vous ne pourrez plus compter sur l’assistance de Microsoft.
4. Performance et fiabilité : Les performances de votre système risquent de se dégrader, et des incompatibilités avec d’autres logiciels récents pourraient apparaître.

Les options de migration : Quelles sont vos alternatives ?

1. Migration vers Microsoft Exchange Server 2022

Microsoft prévoit la sortie de Exchange Server 2022, qui sera la version supportée après 2025. Cette option permet de rester en environnement on-premises tout en bénéficiant des dernières mises à jour de sécurité et de fonctionnalités.

2. Migration vers Exchange Online (Microsoft 365)

Migrer vers Exchange Online dans la suite Microsoft 365 est une alternative qui permet de passer à une solution cloud. Cela élimine les besoins en infrastructure on-premises et offre plusieurs avantages :

• Mises à jour automatiques.
• Accès global : Via une simple connexion Internet.
• Scalabilité : Facilité d’adaptation des ressources en fonction des besoins.
• Fonctionnalités supplémentaires : Intégrations avec les autres services de Microsoft 365.

3. Déploiement Hybride

Pour les entreprises souhaitant conserver une partie de leur infrastructure sur site tout en tirant parti du cloud, un déploiement hybride est envisageable. Cette solution combine le meilleur des deux mondes : des boîtes aux lettres sur Exchange Server et Exchange Online.

Étapes pour préparer votre migration

La migration vers une nouvelle plateforme de messagerie demande une planification minutieuse. Voici les étapes recommandées pour une transition réussie :

1. Évaluation de l’infrastructure actuelle :
   • Audit des serveurs : Inventoriez vos serveurs Exchange, bases de données, et dépendances existantes.
   • Analyse des utilisateurs : Identifiez les besoins en mobilité et les volumes de données à migrer.
2. Choix de la solution cible :
   • Décidez si vous souhaitez migrer vers Exchange Server 2022, Exchange Online, ou une solution hybride.
3. Planification de la migration :
   • Testez la migration dans un environnement de test.
   • Formez vos équipes IT aux nouvelles technologies.
   • Communiquez avec les utilisateurs sur les changements à venir.
4. Exécution de la migration :
   • Sauvegardez vos données Exchange.
   • Effectuez une migration par étapes pour minimiser les interruptions de service.
5. Validation post-migration :
   • Vérifiez que toutes les boîtes aux lettres et données ont été migrées correctement.
   • Assurez-vous que tous les utilisateurs accèdent à leurs courriels sans problème.
6. Surveillance et support :
   • Surveillez les performances du système après la migration et offrez un support technique aux utilisateurs.

En Conclusion

La fin de vie de Microsoft Exchange 2016 et 2019 le 14 octobre 2025 représente à la fois un défi et une opportunité pour moderniser votre infrastructure de messagerie. Qu’il s’agisse de migrer vers une version plus récente d’Exchange Server ou de passer à une solution cloud avec Exchange Online, il est crucial de planifier cette transition dès maintenant pour éviter les interruptions de service et les risques de sécurité.

N’attendez pas la dernière minute pour agir. Le temps est venu de préparer votre infrastructure pour l’avenir.

Retrouvez également l’intégralité de l’article sur le blog : co-écrit avec Sebastien Deguines

Hi folks,

Mettre en place l’archivage dans Microsoft 365 revêt une importance cruciale pour plusieurs raisons. Tout d’abord, cela garantit une gestion efficace des données en permettant leur préservation à long terme, favorisant ainsi la conformité aux réglementations légales et aux normes de l’industrie. De plus, l’archivage contribue à libérer l’espace de stockage dans les boîtes aux lettres principales, optimisant ainsi les performances du système. En offrant une visibilité et un accès rapides aux données archivées, cette fonctionnalité facilite également la recherche et la récupération d’informations cruciales. En somme, l’archivage dans Microsoft 365 constitue une stratégie proactive pour assurer la sécurité, la conformité et la gestion efficiente des données au sein de votre environnement professionnel.

La solution la plus simple pour un archivage dans 365 est d’utiliser les options de rétention à travers des Tags.

Ces même Tags sont alors associé à une règle, que vous appliquerez aux boites en question, ou à l’ensemble des utilisateurs.

Dans le cas présent nous allons voir comment archiver une BAL de 95Gb afin de libérer de l’espace.

La première chose à faire est donc de créer votre tag

Ma règle est la suivante : Tout mail reçu agé de 1jours (oui c’est de la démo…) ira en archive

/!\ Les policies de type personnal sont laissées a la main de l’utilisateur, donc si votre policie doit etre appliquée à tout les utilisateurs (a qui la règle est appliqué (étape 3) alors choisissez default mode)

https://compliance.microsoft.com/exchangeinformationgovernance

La seconde est de créer la policie associée :

La création de la policie est simple, c’est un nom et un Tag (celui de l’étape 1)

Troisième étape : Associer la policie à une BAL en particulier

Ici nous allons choisir d’appliquer la règle Default 1 Day Archive à la boite de Bill.

Alors bien évidemment il est nécessaire que l’archivage soit actif sur la BAL de l’utilisateur, sinon, il ne ce passera rien …

Tout les éléments sont presque bons.

Noter que par défaut l’assistant de gestion des folders (la cmdlet qui organise le contenu des BALs) peut prendre jusqu’à 7 jours et ne s’exécutera que sur des BALs avec un volume > 100Mb (le chiffre est a vérifier) Puis faire de l’archivage pour 100Mb … c’est une question de gouvernance et donc un autre sujet.

Avant d’aller un peu plus loin, il faut comprendre l’archivage des BALs.

Par défaut vous disposez d’une boite de xGB 50 ou 100Gb en fonction de vos licences et d’une boite d’archive équivalente. Lors de l’archivage, la structure de votre BAL est conservée, folder, sous folder, etc. … pour être le réplicas de votre BAL primaire. Ce qui est plus simple pour les utilisateurs lors d’une recherche.

La partie extra storage arrive uniquement si vous activez l’option de “AutoExpandingArchiveEnabled” vous permettant alors d’aller jusqu’a 1,5Tb de storage additionnel, mais noté que si vous êtes à 1,5Tb de mails archivés la BAL s’arrêtera de fonctionner, et qu’avoir autant de mails suppose des problèmes de gestion et un mauvais usage de la BAL. Qui ouvrirai un fichier texte de 1Tb ?

Donc nous avons ici une boite mail de 95Gb et nous voulons la réduire avec de l’archivage, et bien let’s go, voici quelques cmdlet qui vont vous aider :

Vérifions déjà si la rétention est bien positionnée : get-mailbox bill@nokh.fr | fl *ret*

Parfait – la règle de Default 1 Day Archive est présente. Y’a plus qu’a … MAIS vérifier également que les autres paramètres de rétention soient à “FALSE” et principalement le “RententionHoldEnabled”

Si RetentionHoldEnabled a la valeur True, l’Assistant Dossier managé continue de traiter la stratégie de rétention MRM sur la boîte aux lettres (y compris l’application de balises de rétention aux éléments), mais elle n’expire pas dans les dossiers visibles par l’utilisateur (c’est-à-dire, dans les dossiers de la sous-arborescence IPM de la boîte aux lettres). Toutefois, l’Assistant Dossier managé continue de traiter les éléments du dossier Éléments récupérables, y compris la purge des éléments arrivés à expiration.

/!\ Par conséquent, définir ElcProcessingDisabled sur True est plus restrictif et a plus de conséquences que de définir la propriété RetentionHoldEnabled sur True.

L’option ElcProcessingDisabled est une autre propriété de boîte aux lettres liée au traitement d’une boîte aux lettres par l’Assistant Dossier managé (la valeur par défaut de cette propriété est False). Lorsque la propriété ElcProcessingDisabled est définie sur True (à l’aide de la Set-Mailbox -ElcProcessingDisabled $true commande ), elle empêche l’Assistant Dossier managé de traiter la boîte aux lettres. Ainsi, en plus de ne pas traiter la stratégie de rétention MRM, les autres fonctions effectuées par l’Assistant Dossier managé, telles que l’expiration des éléments dans le dossier Éléments récupérables en les marquant pour suppression définitive, ne seront pas effectuées.

Start-ManagedFolderAssistant bill@nokh.fr pour lancer les jobs d’archivage défini pour la boite de bill.

Si jamais cela ne fonctionne pas, vous pouvez passer par le ExchangeGUID

get-mailbox bill@nokh.fr | fl *guid*

Start-ManagedFolderAssistant <ExchangeGUID>

Alors parfois vous aurez besoin de savoir si le job c’est bien déroulé

$logProps = Export-MailboxDiagnosticLogs bill@nokh.fr -ExtendedProperties
$xmlprops = xml
$xmlprops.Properties.MailboxTable.Property | ? {$_.Name -like "ELC*"}

Ce qui va nous intéresser ici est le LastSuccessTimeStamp, permettant d’être 100% certain que le job est passé !

Un élément intéressant, mais surtout lié à PowerShell est de créer une routine d’export sous forme de report pour savoir quand est-ce que le job est passé pour la dernière fois pour les BAL disposant d’une archive, car je le rappel, meme si la MRM est configurée, mais que vous ne disposer pas d’archive active, … rien ne se passera.

Allez voici le résultat, vous constaterez que les structures sont conservés, et l’expérience utilisateur est conservée

Vous me direz, oui mais alors la différence avec le dossier archive ? Et bien aucun rapport avec de l’archivage, c’est un dossier … comme un autre

Tous les comptes ont accès à un dossier d’archivage. Pour les comptes Microsoft 365, Outlook.com et Exchange, le dossier d’archivage correspond à l’un des dossiers par défaut d’Outlook (par exemple, Boîte de réception, Éléments envoyés ou Éléments supprimés). Ce dossier ne peut pas être supprimé. Si vous utilisez Outlook avec un compte Exchange ou Exchange Online, les stratégies de dossier telles que les stratégies de rétention s’appliquent au dossier d’archivage.

L’utilisation du bouton Archiver pour déplacer des messages vers le dossier d’archivage ne réduit pas la taille de votre boîte aux lettres. Si vous devez réduire la taille de votre boîte aux lettres, vous pouvez utiliser l’archive en ligne dans Microsoft 365 pour les entreprises.

Stay tuned !

Cet article est une réflexion autour du sujet, et n’engage que mes opinions personnelles.

Avec l’apparition du graph depuis un certain temps, l’intégration de l’IA offre la possibilité d’accomplir des tâches plus rapidement, permettant de se concentrer sur l’essentiel.

L’Intelligence Artificielle se profile comme un acteur majeur dans l’évolution du monde professionnel. La question cruciale qui émerge est celle du déploiement rapide de cette technologie en entreprise. Certains soutiennent qu’une intégration rapide est la clé pour rester compétitif, tandis que d’autres appellent à la prudence, soulignant les défis associés à une adoption précipitée. Les deux points de vue se comprennent, mais à mon sens, s’il est nécessaire de rester compétitif rapidement, une intégration rapide doit être envisagée en conservant un interrupteur de secours.

Vers une métamorphose des méthodes de travail

Si l’IA était déployée massivement, les méthodes de travail telles que nous les connaissons seraient transformées. L’automatisation des tâches répétitives libérerait du temps permettant aux travailleurs de se concentrer sur des aspects plus créatifs et stratégiques de leur métier. Les systèmes autonomes pourraient optimiser les processus, améliorant ainsi l’efficacité opérationnelle. Par exemple, la génération de code, pour le moment trop imparfaite à ce jour, permet néanmoins d’accélérer certaine tâches simple.

Un autre exemple déjà embarqué dans votre vie professionnelle est l’intégration complète d’outils de productivité (je pense à la Plateforme User Experience de Microsoft qui est la plus aboutie)

La Collaboration Humain-Machine

La démocratisation de l’IA soulève la perspective d’une collaboration accrue entre l’homme et la machine. Les outils d’IA pourraient agir comme des partenaires, offrant des insights et des suggestions, créant ainsi un environnement de travail collaboratif et novateur. Un peu comme un bot et le PVA déjà largement répandue, donc en réalité l’aspect collaboratif humain/machine est déjà adressé, le fait de le mettre plus en avant est un simple “cap” à passer en terme d’adoption.

Cette collaboration peut-elle représenter un risque ?

Cependant, derrière le potentiel révolutionnaire se cachent des risques significatifs. La perte d’emplois due à l’automatisation suscite des inquiétudes, nécessitant une réflexion sur la reconversion professionnelle et le soutien aux travailleurs affectés. De plus, les préoccupations éthiques liées à la confidentialité des données et à la prise de décision autonome soulèvent des questions cruciales quant à la responsabilité. Il est donc important dans certain cas, de penser à un bouton d’arrêt d’urgence. Et surtout d’être en capacité de définir quels sont les contenus sensible auxquels la machine peut ou pas avoir accès.

Avant de plonger tête baisser dans l’IA, il est donc nécessaire au delà de parler d’interrupteur, de poser un cadre règlementaire qui tienne la route. Des directives claires sur l’utilisation éthique, la transparence des algorithmes et la protection des données sont essentielles pour assurer un déploiement responsable et éthique de l’IA. Ce qui rejoins la vitesse de déploiement, ou de mise en place de l’IA en entreprise.

Nous parlons de collaboration, mais au final, les utilisateurs sont ils vraiment prêt ? Et comment les accompagner dans cette nouvelle démarche ?

La réussite de l’intégration d’un nouvel outil dans un environnement professionnel dépend en grande partie de la qualité de l’accompagnement des utilisateurs avec de la communication, des sessions de formations interactives, des tutoriels, des guides, mais aussi un support technique qui ce doit d’être réactif au même titre que du gain de temps proposé par l’outil, tout en laissant la possibilité de soumettre son feedback, sans oublier les communautés d’ambassadeur de ces nouveau outils. Le rapport aux outils informatique pour beaucoup ce limite a un usage, mais si vous êtes lecteur de ce blog, évidemment vous faites déjà beaucoup plus dans vos métiers. En tout état de cause, l’accompagnement, le change management et les cas métiers d’application de l’IA devront être murement réfléchis avant d’être mis entre les mains des utilisateurs de la vie de tous les jours

Vers un équilibre

L’intégration de l’IA en entreprise ouvre donc une nouvelle ère d’opportunités et de défis. (Précision, Vitesse, gain de Temps, etc. …)

Un déploiement rapide nécessite une évaluation minutieuse des implications sociales, éthiques, économiques, technologique, financière, et sécuritaire bien entendu.

Avec un leadership éclairé, des réglementations adaptées et une attention particulière aux enjeux humains, l’IA est j’en suis convaincu le moteur d’une transformation positive dans le monde du travail.

Hope this helps

Have fun & stay tuned !

L’hybridation entre un serveur Exchange local et Exchange Online est une configuration courante pour les entreprises cherchant à combiner les avantages des services de messagerie OnPremise et Cloud. Cependant, il peut y avoir des raisons de supprimer cette hybridation, que ce soit pour consolider votre infrastructure, économiser des coûts ou pour d’autres raisons. Alors quelles sont les étapes nécessaires pour supprimer l’hybride en toute sécurité ?

Avant toutes choses, demandez vous quelles sont les raisons de conserver un serveur hybride, la conservation d’un serveur Exchange hybride, même après avoir migré vers Exchange Online, peut être justifiée pour plusieurs raisons :

1. Migration progressive : Si la migration vers Exchange Online ce fait de manière progressive, vous pouvez choisir de maintenir un serveur Exchange hybride pour coexister avec les boîtes aux lettres Exchange OnPremise. Cela permet une transition en douceur et la possibilité de migrer les boîtes aux lettres à leur propre rythme.
2. Gestion unifiée : Un serveur Exchange hybride permet d’avoir une gestion unifiée des boîtes aux lettres locales et cloud, simplifiant les tâches administratives.
3. Fonctionnalités hybrides : Exchange hybride offre certaines fonctionnalités avancées telles que le partage de calendrier entre boîtes aux lettres locales et cloud, ce qui peut être utile dans des scénarios spécifiques (emplacement des données, règles de conformité, etc. …).
4. Archivage et rétention : Si une entreprise utilise des fonctionnalités avancées d’archivage et de rétention, il peut être plus simple de les gérer avec un serveur Exchange hybride.
5. Applications dépendantes d’Exchange OnPremise : Si des applications ou des services internes dépendent d’un serveur Exchange local, la conservation d’un serveur hybride peut être nécessaire pour assurer leur fonctionnement.
6. Intégration avec d’autres services locaux : Si l’entreprise utilise d’autres services locaux qui nécessitent une intégration étroite avec Exchange, la conservation d’un serveur hybride peut être nécessaire également.
7. Réversibilité : En conservant un serveur Exchange hybride, vous gardez la possibilité de revenir en arrière et de réimporter des boîtes aux lettres d’Exchange Online vers le serveur local si cela devait devenir nécessaire.

Cependant, il est essentiel de noter que la conservation d’un serveur Exchange hybride peut également entraîner des coûts et de la complexité supplémentaire en termes de gestion et de maintenance. Il est important de peser soigneusement les avantages et les inconvénients pour décider si la conservation d’un serveur Exchange hybride est appropriée pour votre entreprise.

Si tout les éléments si dessus sont clair, alors voici les étapes à considérer :

Préparation et Planification

La première étape essentielle est une préparation minutieuse afin de s’assurer des services utilisés et des répercutions possibles. Il est donc naturel de commencer par une :

• Sauvegarde des données : Des sauvegardes complètes de toutes les données critiques, y compris les boîtes aux lettres, les règles de transport et autres paramètres dont vous pourriez avoir besoin.
• Communication avec les utilisateurs : Informez vos utilisateurs de tout impact potentiel sur leurs boîtes aux lettres, y compris les interruptions possibles pendant le processus.
• Vérifier les dépendances des publics folders, très souvent oubliées.

Routage du Courrier

• Redirigez le courrier sortant : Configurer votre serveur Exchange hybride pour rediriger le courrier sortant vers votre serveur Exchange Online.
• Redirigez le courrier entrant : Redirigez le courrier entrant destiné aux boîtes aux lettres Exchange locales vers les boîtes aux lettres Exchange Online.

Déplacement des Boîtes aux Lettres

• Si nécessaire, déplacez les boîtes aux lettres d’Exchange OnPremise vers Exchange Online. Pour les BAL restantes, optez pour des PST.
• Désactivation de la synchronisation de boîte aux lettres : Si vous utilisez Azure AD Connect pour synchroniser des comptes, vous devez envisager de désactiver cette synchronisation. Mais nous verrons cela plus tard.

Suppression de l’Hybride

• Utilisez l’Assistant de Configuration de l’hybride d’Exchange pour supprimer la configuration d’hybridation. Cette étape doit faire parti de votre plan d’atterrissage.
• N’oubliez pas la partie OAuth si nécessaire.

Mise à Jour des SCP et Enregistrements DNS

• Mettez à jour les enregistrements DNS pour acheminer le courrier correctement vers votre environnement Exchange local, en modifiant les enregistrements MX et autodiscover.
• Retirer les connecteurs d’envoie du serveur OnPremise
• Retirer les connecteurs depuis Office 365
• Supprimer les configurations de partage organisationnel

Tests et Validation

• Tester pour vous assurer que le courrier est acheminé correctement, que les boîtes aux lettres fonctionnent comme prévu, et que tous les utilisateurs ont accès à leurs données.

Suppression d’Exchange OnPremise

• Si nécessaire, vous pouvez supprimer les boîtes aux lettres Exchange OnPremise ainsi que les bases de données associées, ainsi que les boites qui sont sous monitoring. De toute manière le wizard vous indiquera si un élément est manquant et vous empêchera de supprimer tout éléments non décommissionnés proprement. . (Elément qui aura été sauvegardé dès la première étape).

Nettoyage et Vérification

• Supprimez les objets hybrides inutiles, tels que les objets de synchronisation Active Directory, et vérifiez que tout est correctement configuré dans votre environnement Exchange local.

Conclusion

La suppression de l’hybridation d’un serveur Exchange avec Exchange Online est une opération complexe, mais avec une planification minutieuse et des tests rigoureux, elle peut être réalisée avec succès.

Hope this helps, & stay Tuned

Hi folks,

J’espère que vous allez bien,

La sécurisation de la messagerie Exchange Online est cruciale pour les entreprises qui souhaitent protéger leurs communications sensibles et leurs données confidentielles. Dans cet article, nous passerons en revue les points indispensables à prendre en compte pour assurer une protection solide de votre environnement Exchange Online. Nous aborderons également les actions nécessaires dès le départ ainsi que celles qui peuvent être envisagées ultérieurement pour renforcer davantage la sécurité.

Points indispensables pour la sécurisation de la messagerie Exchange Online :

• Authentification forte : Mettez en place une authentification multi-facteurs (MFA) pour tous les utilisateurs afin d’ajouter une couche supplémentaire de sécurité lors de la connexion.
• Accès conditionnel : Mettre en place des règles d’accès conditionnelles est également quelque chose qui vous permettra en fonction des contextes de garder le contrôle de QUI QUOI OU COMMENT des accès.
• Gestion des droits d’accès : Définissez des autorisations et des rôles appropriés pour chaque utilisateur, en limitant l’accès aux fonctionnalités et aux données uniquement aux personnes autorisées.
  • Privilèges administratifs : Évitez d’accorder des privilèges administratifs excessifs. Limitez l’accès aux fonctionnalités d’administration aux seules personnes qui en ont besoin pour leurs tâches spécifiques. (PIM par exemple)
  • Groupes de sécurité : Utilisez des groupes de sécurité pour gérer les autorisations plutôt que d’accorder des autorisations individuelles, ce qui facilite la gestion des droits d’accès.

• Chiffrement des données : Activez le chiffrement (TLS) de bout en bout pour les e-mails sensibles, aussi bien en transit qu’au repos, afin de protéger les informations contre les attaques et les fuites éventuelles.
• Protection contre les menaces : Utilisez des solutions de sécurité avancées, telles que Microsoft Defender for Office 365, pour détecter et bloquer les attaques de phishing, les logiciels malveillants, les safe links, ransomware, et autres menaces.
• Gestion des journaux d’audit : Surveillez les activités des utilisateurs et des administrateurs en activant les journaux d’audit pour détecter rapidement toute activité suspecte ou non autorisée.
• Sensibilisation à la sécurité : Organisez régulièrement des formations de sensibilisation à la sécurité pour les utilisateurs, afin de les informer des meilleures pratiques et des risques potentiels liés à la messagerie.

Actions nécessaires dès le départ :

1. Configuration initiale sécurisée : Lors du déploiement d’Exchange Online, assurez-vous de suivre les bonnes pratiques de sécurité recommandées par Microsoft pour une configuration initiale solide.
   • Pour les éléments liés à l’identité des utilisateurs / administrateurs
   • Pour les éléments liés à la configuration du device, voir du device lui même
   • Pour les éléments liés à la donnée (notion de conformité des données par exemple)
2. Surveillance proactive : Mettez en place des outils de surveillance pour détecter les incidents de sécurité potentiels et les vulnérabilités, afin de réagir rapidement aux menaces émergentes. (XDR vous aidera sur ces types de sujets et va très loin dans l’aide à la prise de décision)

Actions intéressantes à envisager ultérieurement :

1. Intégration de solutions tierces : Explorez des solutions tierces pour compléter la sécurité de votre messagerie Exchange Online, telles que des outils de détection avancée des menaces et des solutions de gestion des droits d’accès. (XDR, CASB)
2. Analyse comportementale : Utilisez des outils d’analyse comportementale pour identifier les activités anormales ou suspectes dans les comptes d’utilisateurs, ce qui peut indiquer des compromissions potentielles.
3. Pare-feu applicatif : Mettez en place des pare-feux applicatifs pour contrôler le trafic entrant et sortant de votre environnement Exchange Online, renforçant ainsi la protection contre les attaques.

https://techcommunity.microsoft.com/t5/microsoft-defender-for-office/bg-p/MicrosoftDefenderforOffice365Blog/label-name/Email%20Protection%20Basics

La sécurisation de la messagerie Exchange Online est un impératif pour toutes les entreprises qui cherchent à protéger leurs données sensibles et à prévenir les attaques de plus en plus sophistiquées. En appliquant les points indispensables évoqués dans cet article et en prenant des mesures dès le départ, les entreprises peuvent créer une base solide. De plus, en envisageant des actions intéressantes ultérieurement, elles peuvent renforcer leur posture de sécurité et se prémunir contre les menaces émergentes. La messagerie est l’une des principales cibles, et il est essentiel de rester vigilants et proactifs pour faire face aux défis de la cybersécurité contre les menaces dans un environnement en constante évolution.

Hope this helps,

Hi folks,

Ahhh l’archivage, mais c’était un sujet quand j’étais OnPremise ça ? Où il fallait pousser les murs, compresser les backups, ce couper un bras à chaque demande d’espace de stockage de nos métiers ? (Un peu comme le manque de ports USB) Jongler entre les différents disques ? Mais siiii souviens toi, passe la nouvelle DA pour avoir encore du storage, et toujours encore plus. Voir cas extrême, les logs ? Oué bah supprime tout #BonSouvenir

Alors oui, le stockage peut coûter chèr surtout si vous avez beaucoup de volume. Sur du cloud nous avons tous tendance à penser que c’est un stockage no limit car les disques ne nous appartiennent pas. Et bien en fait pas tout à fait (pour le no limit hein). Que ce soit un besoin métier, ou bien stocker vos photos sur iCloud, DropBox, OneDrive l’espace est limité. Si si « sauvegarde impossible, manque d’espace » vous avez surement pu voir cela sur vos smart phone qui vous invite à choisir soit de passer de nouveau à la caisse, soit supprimer des photos (en rêve !) ou bien faire un compromis sur la qualité de storage de la photo/vidéo faite en 8k (oup’s teasing possible) Ceci dit avec un max de 25Tb pour un OneDrive normalement y’a la place et les options de synchronisation de fichiers sauverons la vie de votre disque

Avec 365 c’est pareil, il faut savoir que Microsoft fourni 1Tb + 10Gb par utilisateur par licence de type ‘E’. Et vous avez la possibilité d’ajouter du storage à environ 0,19$/Gb/month.

Pour être clair, prenons un exemple 1 000 utilisateurs. Vous disposez alors de 1Tb + 1 000 * 10Gb soit environ 11Tb de stockage pour votre tenant. La formule à garder dans un coin : (1000+x*10)/1024 pour l’avoir en Tb où x = nb de users. Fastoche !

Ahhhh mais c’est pour ça ‘aussi’ les quota dans 365 !! … Et oui, un peu comme les politiques de synchronisations des documents et les GPO possible de OneDrive (c’est pas le saint graal mais certaines sont intéressantes, après il ne faut pas oublier que pour OD4B c’est à la base un outil grand public #SkyDrive #Groove #Mesh)

Mais si vous consommer la totalité de l’espace aucun soucis car des solutions existes permettant d’ajouter de l’espace de stockage, mais aussi d’archiver les données (les déshydrater) en fonction de critères à définir bien entendu (dernier accès, type de fichier, etc. …), et surtout à l’emplacement de votre choix qui coutera moins chèr (comme sur du Blob Azure, ou du stockage S3, ou du SFTP, etc. …)

L’idée est de permettre à l’utilisateur de retrouver son contenu toujours disponible dans la recherche 365 et être en mesure de le réhydrater à la demande, soit depuis Teams, ou SharePoint, ou bien depuis une console SaaS (plutôt pour les admin/support) avec le plus d’autonomie possible pour éviter les surcharges de demande au support. Mais ça, c’est en fonction de la gouvernance appliquée, du niveau de confiance en vos utilisateurs, et de maturité cloud.

Mais ca va servir à quoi d’archiver ?

• Réduire l’espace utilisé pour les documents non vivant
• Conserver des données à jour sur vos espaces projets
• Éviter l’empilement de projet ‘obsolète’
• Faire un tri automatique sur la base de règles
• Réduire vos coûts de structure

Que peut on archiver ?

• VM Azure
• Données 365

Comment s’y prendre ?

Il est nécessaire de définir des critères d’archivage cela est généralement la date de dernier accès du document, ou bien une durée projet, une date de création de plus de x année. Tout cela passe par un atelier entre l’IT et le métier pour définir des règles. Une fois définies, elles sont alors mises en place afin d’automatiser le processus d’archivage, ou bien le faire à la demande (mais soyons clair, jamais je n’ai vu un utilisateur demander que faire de son document de 3ans plus à jour) … Ce n’est pas son stockage, il ne le paye pas, du coup ce n’est pas vraiment sa priorité.

Il y a donc quelques grandes étapes :

• Atelier d’identification des règles
• Mise en place des règles
• Test des règles
• Permettre la réhydratation des documents à la demande

A quel prix ?

Avec de l’azure blob, voici quelques exemple, bien entendu cela depend aussi de la durée de réservation sur 1 an ou 3 ans.
Tout les détails sont par ici :

https://azure.microsoft.com/fr-fr/pricing/details/storage/blobs/

Quels sont les produits permettant d’archiver ?
Sans faire de publicité tout dépends de l’usage, nous pouvons vous aider à trouver celui qui correspond à votre besoin / usage. N’hésitez pas !

Hi folks,

Voilà quelques années que j’utilise un outil de gestion de password, pour ne pas avoir à me les rappeler. Fautes de mémoire diront certains peut-être … quoique… Bref il existe plein d’outils sur le marché, mon choix était porté vers LastPass qui offre une application mobile permettant de retrouver les passwords mais aussi des challenges de sécurité permettant de savoir si le mot de passe est ou n’est pas potentiellement compromis. Bref c’est payant et étant sous MacOS depuis quelques temps, je me suis demandé si je pouvais exporter mes passwords LastPass et les envoyer dans iCloud avec KeyChain qui est totalement intégré aux différents naviguateur et dispose de l’apps mobile iPhone aussi tout en faisant des économies (celui de l’abonnement annuel de LastPass). Et oui Apple prends soin de votre porte monnaie aussi

J’aborderai plus tard la partie sécurité intégré qu’offre la puce biométrique du macbook pro et son processeur (on parlera alors de Secure Enclave ou de stockage dans des modèles mathématiques qui sont liés au matériel) Même modèle qui sont utilisés entre autre sur le FaceID de vos iPhone et l’intégration totale de bout en bout. Pour un peu de teasing voilà le résumé en image, mais parlons plutôt de l’aspect end user de la gestion des mots de passe

Je pense que le process est similaire avec d’autre gestionnaire de mots de passes.

• Exporter la base du gestionnaire depuis l’application (LastPass pour moi)

• L’importer depuis Safari pour mettre à jour le KeyChain

A voir à l’usage si je continuerai avec LastPass ou si je basculerai sous KeyChain 100% d’ici la fin de l’année. Vu que l’abonnement est par année

Stay tuned !

Hi folks,

J’espère que vous allez bien, dans cet article qui ne sera pas technique (enfin pas trop) l’idée est de vous faire un REX autour de l’intégration Microsoft 365 avec Apple.

Voilà maintenant quelques années que je suis passé totalement sous Apple, un peu comme tout le monde, d’abord le téléphone, puis l’iPad, puis la montre et pour finir le MacBook.

Pourquoi être passé sous Apple ?

Pour le téléphone, c’était principalement pour les applications, leur grandes diversités, et surtout un GPS précis (beaucoup plus que les ViaM….. ou TomT… de l’époque) puis aussi la possibilité d’utiliser Cydia entre autre (Waaa le nom qui sort du placard) Bon j’avoue que rapidement aussi, Apple ayant comblé mes besoins en termes de gestion de dossier j’ai arrêté Cydia, et n’utilise qu’uniquement l’iOS fourni, sécurisé, et à jour.

Pour la tablette, ahhh l’iPad 1 un device super léger, puissant (pour l’époque) aujourd’hui il est reclu au fond d’un tiroir pour un musé, mais il est bien vivant. C’est pas très très bien, mais ici c’est principalement les enfants qui utilise la tablette avec des applications éducatives et aussi quelques jeux (of course) d’ailleurs il faudrait que je pense au stylo (mémo pour moi) pour le tracer de lettre du dernier Au départ son usage était pour de la consultation de document, et un peu d’édition mais je ne suis pas très familier avec Ketnote, ni Pages, ni Numbers d’ailleurs (je les utilise très rarement les habitudes ayant la vie dure) heureusement la suite Office est dispo sous iPadOS et iOS aussi tout comme l’apps Azure permettant de démarrer entre autres quelques VMs et s’y connecter en RDP

Pour la montre, l’idée était de pouvoir allez courir (*ne pas rire*) sans avoir de téléphone dans la poche tout en étant joignable, mais aussi de disposer d’un moyen de paiement si nécessaire, c’était le début de la continuité, puis le côté ne le cachons pas, légèrement geeky sur les bords

Puis viens le laptop, le MacBook, puis le MacBook Pro. Au début l’idée était de tester l’OS ce que j’ai pu faire avec ma belle surface toujours en vie et doyenne sur mon bureau, même si le clavier commence à être fatiguée, elle est toujours présente, donc un OS émulé, qui m’a beaucoup séduit par sa facilité de gestion et d’accès, donc après la version émulée, place à la version en vrai. Une fois l’étape d’unboxing effectuée, une configuration assez rapide et hop en selle. La partie continuité elle aussi est vraiment bien, une page internet ouverte sur le mobile, hop on peut l’ouvrir sur le macbook et passer de l’un à l’autre. L’aspect épuré de la machine est super agréable, le touchpad OMG! rien que pour ça il faut essayer, c’est (pour moi) le saint graal, c’est fluide, c’est grand, c’est beau, c’est fonctionnel (okok sans entrer dans la zone de fan boy) Apple aurait peut être pu l’agrandir jusqu’au bord pour faire un peu tablette (mais c’est pas le but de la machine et pour ça il y a l’iPad)

Sans trop de rodéo, l’installation du pack office ce passe à merveille, et l’ensemble de mes outils collaboratifs eux fonctionnent au diapason. Un login, un password, un coup de MFA et 45min après tous mes documents ready to go. J’avoue que le plus dur à été de trouver les petites applications bien inutiles (donc indispensables) de gestion de pause, de copie d’écran améliorée, de VPNs et un peu de config pour faire du PowerShell histoire de piloter 365 quand même qui pour le coup est assez indispensable même si aujourd’hui tout cela passe dans du Windows 365 sur Azure en ce qui me concerne.

En termes de gestion du device, et bien Microsoft permet de piloter ‘un peu’ la partie Apple avec son MDM et Intune (aka EndPoint) cependant pour un usage avancé, il est nécessaire de disposer d’un Apple Business Manager pour la gestion des mises à jour par exemple.

Côté productivité, le pack office fonctionne parfaitement, de Word à OneDrive en passant par Teams (qu’il a fallu un peu tweaker pour préserver la carte graphique et la conso mémoire -soit désactiver l’accélération et les effets graphique inutile en ce qui me concerne-). Aujourd’hui Microsoft propose une suite *entièrement* compatible avec les architectures MacOS, iOS, et iPadOS et il n’est pas rare que j’utilise Teams sur mon téléphone, voir sur l’iPad lorsque je suis en déplacement. Idem pour la suite Office365 ou les applications 365 de la PowerPlateform (PowerApps, Automate, BI)

PowerAutomate fourni une réelle intégration à votre SI et vos plateformes métier, Automate lui pour les workflow métier (je ne compte même pas le nombre de fois où j’ai effectué des validations de divers choses avec – par exemple la génération automatique de document PDF à transmettre à l’équipe) – PowerBI lui fonctionne parfaitement (pour la partie PowerBI Studio c’est autre chose car, uniquement sous PC pour le moment) et la version en ligne demande à être améliorer en fonctionnalités.

Il y a quelques temps je me demandai si le fait de passer sous Mac changerai ma manière de travailler, aujourd’hui la réponse est non pas vraiment, il y a des choses que je fais mais de manière un peu différentes, plutôt par goût d’ailleurs, mais ma productivité n’en est pas impacté. Je pense à Outlook, je l’utilise uniquement en mode web (pourquoi ?) je trouve ça plus fluide sous web, consomme beaucoup moins de ressources, et question de goût, je ne suis pas trop fan de l’interface Outlook pour Mac.

Pour le reste que ce soit la version locale ou en ligne, absolument rien n’est handicapant pour travailler et collaborer sur un document à plusieurs, et il n’est pas rare de faire de la coédition avec moi sous Mac et des collègues sous Windows et d’autre sous MacOS aussi.

Après tout l’ensemble des fonctionnalités sont en ligne et l’application n’est que le moyen d’accès et de consommation de l’information avec des options

Est-ce que je ferai un retour vers Windows ?

Je ne dirai pas jamais, mais demain je me vois bien encore sous Mac pour la partie usage, et la surface, n’est jamais très loin en cas de besoin – surface ou W365 – en fonction des besoins.

Pour les parties serveurs, effectivement nombreux de mes clients sont toujours avec du Windows Server, et ce n’est pas problématique Cela permet aussi de faire une petite différence entre le monde client et le monde ESN si on peut dire. Mais ce n’est pas comparable l’usage d’un serveur n’a pas les même fins qu’un poste utilisateur.

Pour la partie utilisateur nous venons de le voir la partie expérience est assez similaire, on s’y retrouve, tout en y prenant goût (le goût de la nouveauté, ou de l’aventure dirons certains), ah oui, un autre élément, je n’ai pas à formater ma machine à chaque bidouille qui part en cacahuète éhéh

Pour la partie gestion IT, c’est un peu différent. Mais je vous rassure tout les éléments de sécurité autant pour le device que pour les données ou les utilisateurs sont biens disponibles.

Pour les données, dans 365, vous avez en fonction des licences toutes les mécaniques permettant de garantir la sécurité de vos données (étiquettes, classification, ATP, etc. …)

Pour la sécurité, côté 365 et accès à votre SI la partie MFA, Accès Conditionnel etc…. le tout couplé à du Apple Business Manager et EndPoint vous permettra de garantir un usage sécurisé des devices Mac (et pas que) pour vos utilisateurs. Si vous n’avez pas de ABM ‘Apple Business Manager’ il faudra alors déployer localement le Company Portal pour inscrire le device.

Aujourd’hui cela fera bientôt 4 ans que j’ai sauté le pas sous MacOS, je trouve l’expérience très concluante et honnêtement j’adore.

Et ‘cherry on the cake’, de plus en plus de client ce pose également la question de passer une partie de leur poste utilisateur sous MacOS, en termes d’usage, de métier, de gestion, de prix, d’image d’entreprise, d’investissement, etc. …

Hi Folks, j’espère que vous allez bien,

Vous avez sans doute mis en place Teams pour pouvoir continuer de travailler à distance, la réservation des salles de réunion étant devenu des salles virtuelles Teams pour la plupart des sociétés qui ont déployée la solution rapidement face à cette pandémie, voir peut-être trop rapidement pour diverses questions techniques, financières, voire organisationelles. Et vous souhaitez aujourd’hui pouvoir rapprocher les deux monde (OnPremise / Legacy et celui du Cloud)

Dans cet article je vais m’attacher au fait de pouvoir rapprocher une identité Online avec une identité Cloud, et y rattacher la boite mail.

Vous avez / allez créer des comptes directement dans le cloud, et porter vos applications soit via Azure soit via 365 ou encore du PowerPlateform en low code. Mais attention, car si vous aviez des comptes existant OnPremise, vous vous retrouverez à devoir gérer alors deux environnements (un en local avec une identité, et un en online avec une autre identité, avec ou pas le même UPN) C’est ici que les choses deviennent plus complexes.

Dans ce cas de figure vous avez le besoin de rapprocher vos identités onpremise avec celle online, cela reste possible via une mécanique de « Hard Matching » – What ?

Le concept est le suivant, une fois votre système de synchronisation d’identité en place, il vous faudra faire « matcher » les identités cloud avec celle online.

Partons donc du principe suivant :

• Vous disposez d’un AD non synchronisé
• Vous disposez d’un Office365 avec des comptes créés à la main ou pas directement dans le Cloud
• Donc ici vous avez 2 systèmes différents qu’il va falloir rapprocher (tant au niveau identité, que messagerie – tant qu’à faire autant profiter )

En d’autres termes, comment passer d’un compte full cloud à un compte synchronisé ? Voyons cela ensemble

1. Création d’une OU non synchronisée
2. Ajout du compte utilisateur avec le même UPN que dans 365 (s’il n’existe pas, s’il existe passer cette étape)
3. Exporter ensuite le GUID de l’utilisateur AD pour le transformer en ImmutableID (C’est ici que la magie opère)
   • ldifde -f c:\export.txt -r "(Userprincipalname=username@domain.com)" -l "objectGuid, userPrincipalName"
4. Définissez ensuite l’ImmutableID de votre utilisateur dans 365
   • Set-MsolUser -UserPrincipalName username@domain.com -ImmutableId <ImmutableID>DRhSCJyOPAdhzoiunR8Z4Q==
5. Déplacer votre utilisateurs dans une OU synchronisée, ou bien modifier Azure AD Connect afin de synchroniser l’OU qui contient vos utilisateurs

Votre utilisateur full cloud, est maintenant synchronisé avec votre AD local.

Oké, mais les boites aux lettres sont toujours séparées … effectivement, donc pour les migrer en cloud il y a plusieurs options, et nous allons nous attacher ici sur la synchronisation via une hybridation ce qui pourrait vous poser le plus de soucis.

Mais pourquoi est-il nécessaire de faire un reset de la BAL Online ?

Je prends comme hypothèse que l’hybridation de votre Exchange est conforme aux recommandations de l’éditeur, c’est à dire, que les connecteurs sont publiés (entrant et sortant), que les proxyaddress sont bien positionnées pour chaque utilisateur (attention à la différence entre SMTP et smtp) et que les mécanismes de coexistence sont bien en place et bien appliqués

Car rappelons le, vous avez une BAL OnPremise et une BAL Online et vous ne pourrez pas les synchroniser car la BAL Online est déjà existante. C’est la différence entre un UserMailbox et un MailUser. Ici nous recherchons à avoir cela dans 365 :

Pour avoir cela, il est nécessaire que votre utilisateur synchronisé ne soit pas de ce type :

Mais plutôt de ce type là :

Une fois que vous êtes de nouveau dans ce cas de figure, la victoire est proche

Vous aurez deux cas de figures :

• Conserver la BAL Online
  • via export PST et le centre de protection 365 (c’est long et lourd)
  • via l’utilisateur (well pourquoi pas)
  • via un outil de backup / restore (type Cloud Backup de AvePoint, Veeam, ou autres)
• Ne pas conserver la BAL Online
  • Plus rapide (mais perte des infos de la BALs)

Ici je vais choisir de conserver les infos de la BAL 365 pour les restorer par la suite, puis faire un reset de la BAL Online, la synchroniser (ce qui deviendra alors possible), puis restorer le contenu de la BAL Online avec le backup dont je dispose, pour ne pas avoir de perte d’information.

Voici donc la timeline des actions, pour mieux situer

Il est possible que les actions de Clear ne fonctionne pas, si tel est le cas, je vous invite à vérifier que vous ne disposez d’aucunes adhérences au niveau conformité des boites aux lettres, notamment au niveau de la rétention des données. Si ces dernières sont actives, vous ne pourrez alors pas faire de clear de la BAL et d’autres alternatives seront alors à considérer.

Hope this helps,

Stay tuned & safe

Hi folks,

Chaque semaine, vous entendez parler d’accronyme, pas forcément évident de savoir à quoi rattacher les MFA, PIM, PAM, MIM, MAM, MDM, etc. … Donc pas trop de technique pour l’instant mais du jargon

Je vous propose un petit tour de définition qui peut-être utile

MFA – Multi-Factor Authentication

Un classique, c’est de la double authentification permettant au système de s’assurer que vous êtes bien qui vous dites être (oui oui relire plusieurs fois cette phrase aide). Cela permet d’identifier une personne, un device, une application voir une localisation. C’est une combinaison de facteur permettant un trust et vérifier qui vous êtes.

Le MFA, peut-être un code SMS, un code application, PIN, une clé biométrique, voir une clé de password (FIDO par exemple). La combinaison de votre login password et de cette seconde clé forme le MFA.

PIM – Privileged Identity Management

PIM est utilisé pour attribuer, activer et approuver des identités privilégiées dans Azure AD. PIM fournit une activation de rôle basée sur le temps et l’approbation pour rédire les risques d’autorisations d’accès aux ressources sensibles.

Par exemple : Le support doit avoir accès aux informations de votre tenant, OK mais que pour 10mn. Au dela le système coupe les accès.

Les principales fonctions de PIM :

• Accès privilégié just-in-time à Azure AD et aux ressources Azure.
• Accès limité dans le temps aux ressources.
• Processus d’approbation pour activer les rôles privilégiés (admin par ex.)
• Forcer le MFA
• Justification des demandes d’accès (un peu comme dans SharePoint quand vous n’avez pas accès).
• Notifier lorsque les rôles sont activés.
• Participer aux revus d’accès internes / externes lors d’audit.

PAM – Privileged Access Management

Souvent on confond les PIM et PAM (POUM est toujours pas là #ahah)

PAM permet de gérer les identités de manière locale (OnPremise) PAM est un morceau de PIM qiu utilise MIM.

PAM vous sera utile pour :

• Rendre plus difficile l’accès à l’administration, au réseau et à des comptes avec de grand privilèges pour un hacker.
• Ajouter une protection aux groupes privilégiés qui contrôlent l’accès aux ordinateurs joints à un domaine et aux applications sur ces ordinateurs.
• Fournir une surveillance, et des contrôles afin de voir/suivre qui sont leurs administrateurs (avec de grands privilèges) et ce qu’ils font.

PAM vous permettra de mieux comprendre comment les comptes administrateurs sont utilisés.

MIM – Microsoft Identity Manager

MIM, c’est quoi dans tout ce truc là ? Microsoft Identity Manager

Il va vous aider à gérer les utilisateurs et les environnements hybrides. MIM vous simplifiera la gestion du cycle de vie des identités grâce à des flux de travail automatisés, des règles métier et une intégration aux plates-formes.

MIM permet d’appliquer les droits AD aux utilisateurs pour des applications locales. Azure AD Connect peut ensuite rendre ces utilisateurs et autorisations disponibles dans Azure AD pour Office 365 et les applications hébergées dans le cloud.

Petit récap ?

• PIM est une fonctionnalité permettant de gérer les identités dans Azure AD.
• PAM est une fonctionnalité locale permettant de gérer les identités dans Active Directory.
• MIM aide à gérer les utilisateurs, les informations d’identification, les stratégies et l’accès local.

MAM – Mobile Application Management

MAM est un élément important car si les entreprises ne peuvent gérer que les identités, mais pas les applications, elles passent à côté d’un aspect clé de la protection des données.

MAM est connecté à une fonctionnalité Microsoft appelée Microsoft Intune et est une suite de fonctionnalités de gestion permettant de publier, d’envoyer, de configurer, de sécuriser, de surveiller et de mettre à jour des applications mobiles pour les utilisateurs.

MAM fonctionne avec ou sans enrollment de l’appareil, ce qui signifie que les organisations peuvent protéger les données sensibles sur presque tous les appareils à l’aide de MAM-WE (without enrollment). Si les entreprises activent l’authentification multifactorielle, elles peuvent vérifier quel est l’utilisateur sur l’appareil. MAM permet de gérer les applications auxquelles l’utilisateur peut avoir accès.

Si vous ajoutez la fonctionnalité Gestion des appareils mobiles ou MDM d’Intune, vous pouvez forcer l’inscription des appareils, puis utiliser MAM pour gérer les applications.

Hope this helps !

Stay tuned & safe

Hi folks,

DSC vous allez me dire… oui … et donc ?

Première chose, DSC stands for : Desired State Configuration.

C’est du SaaS Management Platform, Comment savoir que votre tenant Microsoft est configuré comme vous souhaitez ? Le comparer, faire des remontés de configurations automatiques, et pourquoi pas forcer les configurations sur la base d’un blueprint, etc. …

Cet outil communautaire va vous permettre d’exporter la configuration d’un ensemble de brique M365 comme Exchane, Teams, SharePoint, OneDrive, la sécurité, la conformité, la power plateforme, planner, et même Intune !

Le principe est de pouvoir définir comment votre tenant doit être configuré, et déployer ces configurations. Vous aurez la possibilité également d’exporter les données, et analyser les écarts de configuration vis-à-vis de votre gouvernance.

Je ne vais pas entrer dans tous les détails car tout est super bien expliqué par ici :  What is Microsoft365DSC? – Microsoft365DSC – Your Cloud Configuration

Donc plutôt qu’un long billet, je vous propose de le tester 

Step 1 : Télécharger le module par ici : PowerShell Gallery | Microsoft365DSC 1.21.1124.2 et installer le module

Install-Module Microsoft365DSC

Step 2 : Enregistrer une Application dans Azure AD, au niveau des permissions du module, vous pouvez regarder ce qui est nécessaire avec la cmdlet   :

Get-M365DSCCompiledPermissionList

Vous avez la possibilité également de filtrer les permissions par module par exemple :

Get-M365DSCCompiledPermissionList -RessourceNameList @(‘<ressourcename>’)

La liste des ressources est ici : Resources List · microsoft/Microsoft365DSC Wiki · GitHub

Vous allez me dire, oulala la liste est super longue, … well un GUI existe pour sélectionner et générer la commande à exécuter par ici : Microsoft365DSC – Configuration-as-Code for the Cloud ou bien avec le cmdlet

Export-M365DSCConfiguration -LaunchWebUI

Vous sélectionner ce que vous souhaitez, puis cliquer sur générer en haut 

Ensuite un petit copier / coller dans une invite PShell et GO

Ce n’est pas nécessairement une bonne idée de prendre tous les modules opur faire un rapport énorme… pensez que lors de vos configurations, c’est principalement module par module, donc « piochez » dans la liste avec parcimonie 

Une fois la commande terminée, vous obtenez un fichier de configuration au format PS1.

A noté qu’il est possible que la connexion au graph ne fonctionne pas comme attendu, c’est alors une question de permissions. Cela se résous avec

connect-mggraph -scopes "Application.Read.All","Application.ReadWrite.All","Directory.AccessAsUser.All","Directory.Read.All","DeviceManagementApps.Read.All","DeviceManagementApps.ReadWrite.All","DeviceManagementManagedDevices.Read.All","DeviceManagementManagedDevices.ReadWrite.All","DeviceManagementServiceConfig.Read.All","DeviceManagementServiceConfig.ReadWrite.All","Directory.ReadWrite.All","Group.Read.All","Group.ReadWrite.All","GroupMember.Read.All","Policy.Read.All","RoleManagement.Read.Directory","RoleManagement.ReadWrite.Directory","User.Read.All","User.ReadBasic.All","User.ReadWrite.All","Organization.Read.All","Organization.ReadWrite.All","User.Read","Policy.ReadWrite.ApplicationConfiguration","DeviceManagementConfiguration.Read.All","Application.Read.All","Application.ReadWrite.All","Directory.AccessAsUser.All","Directory.Read.All","Directory.ReadWrite.All","DeviceManagementApps.Read.All","DeviceManagementApps.ReadWrite.All","DeviceManagementManagedDevices.Read.All","DeviceManagementManagedDevices.ReadWrite.All","DeviceManagementServiceConfig.Read.All","DeviceManagementServiceConfig.ReadWrite.All","Group.Read.All","Group.ReadWrite.All","GroupMember.Read.All","Policy.Read.All","Policy.ReadWrite.ConditionalAccess","RoleManagement.Read.Directory","RoleManagement.ReadWrite.Directory","User.Read.All","User.ReadBasic.All","User.ReadWrite.All","Organization.Read.All","Organization.ReadWrite.All","User.Read","Policy.ReadWrite.ApplicationConfiguration","DeviceManagementConfiguration.ReadWrite.All"

Step 3 : Exporter la configuration du fichier PS1, en quelque chose de plus humain avec la commande suivante :

New-M365DSCReportFromConfiguration 

D’ici vous faites le choix d’exporter votre fichier ps1 soit en html soit en excel avec la commande suivante

New-M365DSCReportFromConfiguration  -type Excel/HTML -ConfigurationPath c:/DSC/InitialConfig.ps1 -outputpath c:/dsc/report.html (ou report.xlsx)

ATTENTION Update Fev2022 :

Si la commande précédente ne vous permet pas de générer le rapport et que ce dernier est vide :

• Mettez à jour les commandes DSC avec :
  1. Update-Module M365DSCDependencies
  2. Update-M365DSCDependencies -Force
• ou bien réinstaller le module
• Utiliser la commande suivante pour Excel :

New-M365DSCConfigrationToExcel -ConfigurationPath .\M365tenantconfig.ps1 -OutputPath .\report -verbose

3. Utiliser la commande suivante pour le HTML:

New-M365DSCConfigrationToHTML -ConfigurationPath .\M365tenantconfig.ps1 -OutputPath .\report -verbose

Et voici le report :

Vous pouvez également comparez des configurations avec :

New-M365DSCDeltaReport -Source 'C:\DSC\UpdatedConfig.ps1' -Destination 'C:\DSC\InitialConfig.ps1' -OutputPath 'C:\dsc\Delta.html'

Pour aller plus loin, je vous invite à consulter le lien suivant : How to install – Microsoft365DSC – Your Cloud Configuration

Dans des uses cases plus avancés, il est possible de monitorer votre tenant en faisant remonter différentes informations à travers un portail de compliance par exemple.

Un exemple d’implémentation par ici : Monitor the Compliance of your Office 365 Configuration with Azure DevOPS and DSC – Crawl, Walk, Run, Automate (nikcharlebois.com)

Si vous faites le choix d’y dédier un agent avec une VM Azure par exemple, vous pouvez faire remonter la ou les configurations toutes les 20mn etc. … et obtenir ce type de rapport (ici pour de la compliance dans Teams)