none
Gestion des mots de passe en mode Hybride RRS feed

  • Question

  • Bonjour à tous,

    Je dois piloter un projet de migration de 3000 BALS vers office 365. Ci-joint l'infra en place:

    - 3 DC windows 2008 R2; 2 CAS et 2 MBX (Exchange 2010 SP3 avec le rollup 12)

    - Des 2 populations d'utilisateurs

    - La première dont les mots de passe n'expire jamais et l'utilisateur ne peut pas changer de pwd car il match avec des applications métiers

    -Puis la deuxième populations dont le password n'expire jamais mais qui peut être changer par les administrateurs on prems

    -Tout ceci est géré par des GPO distinct. (pour infos les utilisateurs sont dans des OU différents)

    -Mes questions aujourd'hui sont les suivantes:

    1:serait-il possible de générer un mot de passe pour les nouveaux comptes que je vais créer (conseil d'application)

    2: Est-possible possible de permettre à la deuxième ou une autre population de modifier leur mdp depuis le cloud sans impacter les comptes dont les mots de passe ne doivent pas changer?

    3: ou permettre à cette population de modifier leur mpd à la première connexion depuis office 365.

    Merci pour votre aide

    Cordialement

    Axel

    mardi 16 octobre 2018 14:02

Réponses

  • Bonjour,

    Effectivement la valeur est à 0 mais ne fonctionne pas.

    Je souhaite changer les mdp du compte local migré vers office 365. (compte AD on prem et messagerie sur le cloud)

    J'ai fait un autre test: j'ai crée un compte en local sans le migré j'arrive bien à changer de mdp via owa.

    Une fois que je compte est migré sur le cloud et je voidrais changer le mdp il me sort une erreur fatale. Ms tenant n'arrive pas  à me trouver la solution.

    Vous pensez que quelque chose me bloque via les serveurs ADFS?

    Merci pour votre aide

    cdt


    • Marqué comme réponse Axel ATAYI vendredi 16 novembre 2018 08:55
    • Non marqué comme réponse Axel ATAYI vendredi 16 novembre 2018 08:55
    • Marqué comme réponse Axel ATAYI vendredi 16 novembre 2018 08:56
    • Modifié Axel ATAYI lundi 19 novembre 2018 13:39
    jeudi 15 novembre 2018 09:33

Toutes les réponses

  • Bonjour

    Pour simplifier et centraliser la gestion du mot de passe dans une infrastructure hybride , il est recommandé d'utiliser l'outil ADconnect pour synchroniser les mots de passe des comptes AD on-prem vers le cloud et créer des stratégies de mot de passe différentes selon le type de compte dans votre annuaire active directory.

    Une GPO attachée à une OU ne permet pas de gérer la strétégie de mot de passe des comptes du domaine, mais plutôt les comptes utilisateurs locaux des machines dans cette OU seront impactés.

    Pour créer plusieurs stratégie de mot de passe sur votre domaine active directory , il faut passer par PSO, qui vous permet de créer plusieurs stratégie de mot de passe pour un ou un groupe d'utilisateurs.

    How-to create passoword policy through GPO

    Laisser l'option "mot de passe n'expire jamais "n'est pas recommandé au niveau de le sécurité pour les comptes utilisateurs par contre pour les comptes de services il faut le garder cochée pour ne pas impacter le service de production.

    Je vous recommande créer des stratégie de mot de passe selon le type de compte:

    • Compte de service : mot de passe n'expire jamais
    • Compte utilisateurs : appliquer une stratégie de mot de passe pour chaque population via PSO



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 17 octobre 2018 10:57
  • Je suppose que tu as des comptes avec l'option "l'utilisateur ne peut pas changer le mot de passe" d'activer.

    Comme expliqué par Thameur la stratégie de mot de passe par défaut du domaine dépend est définit au niveau du domaine et pas des OU. PAr défaut il s'agit de celle définit par la Default Domain Policy. Un peu de lecture :

    http://www.pbarth.fr/node/146

    Si tu veux des stratégies de mot de passe différentes ce n'est pas dans les GPO mais avec PSO (voir réponse de Thameur). Un autre article :

    http://www.pbarth.fr/node/147

    Encore comme expliqué par Thameur, l'outil Azure AD Connect permet de synchroniser les comptes locaux avec Azure AD. L'outil permet également la synchronisation d'attribut utile au déploiement d'un mode hybride d'Exchange.

    Tu crée les comptes dans Azure ou tu synchronise ? Tu parles de générer un mot de passe aléatoire ?

    Il y a plusieurs mode pour la synchro des comptes avec Azure AD Connect ,selon l’objectif que tu veux obtenir :

    - synchronisation des comptes et des mots de passe, il est possible d'activer l'écriture différé du mot de passe qui permet de réinitialiser le mot de passe depuis le portail Azure ou Office 365 et de mettre à jour le mdp local.

    https://docs.microsoft.com/fr-fr/azure/active-directory/authentication/tutorial-enable-writeback

    - l'utilisation de l'authentification directe (Pass-through Authentication) et de SSO,dans ce cas il n'est pas utile de synchroniser le mot de passe vers Azure (même si c'est recommandé). Un connecteur sur ton serveur de synchro reçoit les demandes d'Azure et valide l'authentification. C'est une alternative plus légère à la troisième option

    http://www.pbarth.fr/node/233- La mise en oeuvre d'une solution de fédération d'identité AD FS.

    https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-azure-adfs


    Sinon pour tes applications tu t'es renseigné sur la possibilité d'utiliser du SSO afin de t'appuyer sur l'authentification de l'AD et permettre de mettre en place stratégie de mot de passe sécurisé ? Car un mot de passe qui n'expire pas n'apporte pas beaucoup de sécurité.  

    La complexité du mot de passe permet d'allonger la durée pour le corrompre, elle n'empêche pas de le casser.

    Tu as mis en place une stratégie de verrouillage des comptes en parallèles ?

    Tu souhaites synchroniser tes comptes dans le cloud avec des mot de passe qui ne changent jamais ?

    Ne prends pas cela comme une critique personnel , l'important est que tu puisses réfléchir à l'objectif que tu souhaites atteindre et d'avoir des avis différents afin d'ouvrir un maximum les possibilités et trouver celle qui te convient.

    mercredi 17 octobre 2018 13:11
  • Bonjour Thameur,

    Merci de ton retour détaillé. Nous avons bien dans l'infrastructure l'outil ADconnect pour synchroniser les mots de passe des comptes AD on-prem vers le cloud .

    Je vais utiliser PSO pour les stratégies de mots de passe.

    Cordialement
    mercredi 17 octobre 2018 13:44
  • Bonjour Philippe,

    Loin de la de prendre ta réponse pour une critique personnel. On est tous sur cette plateforme pour s'entraider.

    Je vais passer par PSO pour la stratégie de mot de passe.

    les comptes sont crées en local et synchronisés par Azure AD connect. l'option d’écriture n'a pas été activée dans notre infra .

    En parlant des de génération de MDP, etant donné que je vais créer 3000 comptes nominatifs, je demandais si vous connaissez un outil pour générer des password.

    La partie SSO via les serveurs ADFS sont également en place.

    En gros pour mon projet pas besoin de passer en Azure AD premium, je vais créer des stratégies vis PSO pour permettre aux  nouveaux comptes de pouvoir modifier leur MDP.

    Merci à vous

    mercredi 17 octobre 2018 13:54
  • J'utilises Powershell pour créer les comptes. Tu peux créer des mot de passes aléatoire, mais il faut tout de même enregistrer et notifier l'utilisateur.


    mercredi 17 octobre 2018 14:23
  • Bonjour ,

    Je reviens sur la plate forme pour un dernier point bloquant.

    Pour rappel: nous sommes en mode hybride/ OWA pour les utilisateurs via o365/ Licence AD Azure P2/réécriture du mot de passe active sur AD Azure connect / SSRP activé sur Azure et stratégie activée

    les droits suivants ont été également appliqués:

    • In the Applies to drop-down list, select Descendant User objects.
    • Under Permissions, select the boxes for the following options:
      • Change password
      • Reset password
    • Under Properties, select the boxes for the following options:
      • Write lockoutTime
      • Write pwdLastSet
    • Select Apply/OK to apply the changes and exit any open dialog boxesCordialement

    Pour info nous sommes en ADFS 2.0 nous ne pouvons pas migrer de suite en 2012.

    Incident: A date , avec les options paramétrées, j'ai la possibilité de modifier le mot de passe via owa mais une fois qu'on clique sur appliqueé j'ai ce message d'erreur:

    J'ai ouvert un case sur le tenant office:  qui me recommande de mettre the Minimum Password Age is set to 0 on your DC. C'est deja le cas sur notre DC.

    Avez vous une idée svp?


    • Modifié Axel ATAYI mercredi 14 novembre 2018 22:00
    • Marqué comme réponse Axel ATAYI mercredi 14 novembre 2018 22:00
    • Non marqué comme réponse Axel ATAYI mercredi 14 novembre 2018 22:00
    mercredi 14 novembre 2018 14:54
  • Bonjour Cette valeur est recommandé pour être capable à changer le mot de passe à tout moment. Si cette valeur est différente de 0. Vous serez capable de changer le mot de passe qu’après la valeur indiqué minimum password âge. Vous désirer changer le mot de passe du compte AD ou le compte azur ad? Pour le compte local essayer de vous connecter en local au lieu d’utiliser le portail azure.ou office 365.

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 15 novembre 2018 08:57
  • Bonjour,

    Effectivement la valeur est à 0 mais ne fonctionne pas.

    Je souhaite changer les mdp du compte local migré vers office 365. (compte AD on prem et messagerie sur le cloud)

    J'ai fait un autre test: j'ai crée un compte en local sans le migré j'arrive bien à changer de mdp via owa.

    Une fois que je compte est migré sur le cloud et je voidrais changer le mdp il me sort une erreur fatale. Ms tenant n'arrive pas  à me trouver la solution.

    Vous pensez que quelque chose me bloque via les serveurs ADFS?

    Merci pour votre aide

    cdt


    • Marqué comme réponse Axel ATAYI vendredi 16 novembre 2018 08:55
    • Non marqué comme réponse Axel ATAYI vendredi 16 novembre 2018 08:55
    • Marqué comme réponse Axel ATAYI vendredi 16 novembre 2018 08:56
    • Modifié Axel ATAYI lundi 19 novembre 2018 13:39
    jeudi 15 novembre 2018 09:33