I. Présentation

Dans ce tutoriel, nous allons voir comment activer la réinitialisation du mot de passe en libre-service pour vos utilisateurs Active Directory synchronisés sur Office 365, via Azure AD Connect. Ce tutoriel va permettre de configurer la fonctionnalité Self-Service Password Reset (SSPR) d'Azure AD.

En mettant en place Azure AD Connect comme nous l'avions vu dans un précédent tutoriel, vous pouvez synchroniser les utilisateurs de votre annuaire local vers Office 365, et donc par extension sur Azure AD.

• Tutoriel - Installation et configuration d'Azure AD Connect

Si la synchronisation du hachage des mots de passe est activée, lorsqu'un utilisateur change son mot de passe depuis son PC, ce mot de passe est synchronisé sur Office 365 et cela devient son mot de passe Cloud également. Par contre, si l'utilisateur oublie son mot de passe, c'est un peu plus compliqué... Il doit passer par le service informatique pour le réinitialiser, car il n'a plus accès à sa session et il n'a pas possibilité de le réinitialiser via Office 365 / Microsoft 365.

Grâce à la configuration de la fonctionnalité "Self-Service Password Reset" (SSPR), on va pouvoir changer la donne puisque l'utilisateur pourra réinitialiser son mot de passe en totale autonomie, via Office 365. Plus largement, l'utilisateur pourra changer son mot de passe via le portail libre-service, même s'il ne l'a pas perdu.

Note : dans cet article, je vous présente la fonction SSPR dans le cadre d'un scénario hybride, mais cette fonction est disponible également pour un tenant avec uniquement des utilisateurs Cloud.

II. Ce dont vous avez besoin

Pour suivre ce tutoriel, vous avez besoin d'un tenant Office 365 / Microsoft 365, avec au minimum un utilisateur couvert par une licence prenant en charge cette fonctionnalité (voir ci-dessous).

Au niveau de l'infrastructure, il suffira d'avoir un domaine Active Directory et l'outil Azure AD Connect en place. Je vais revenir sur la synchronisation de cet outil dans la suite de ce tutoriel.

La fonctionnalité "Self-Service Password Reset" nécessite d'avoir une licence compatible, c'est-à-dire qui intègre la fonction "Changement ou réinitialisation de mot de passe utilisateur hybride avec réécriture locale". C'est le cas des licences suivantes (qui intègrent aussi d'autres fonctionnalités) :

• Azure AD Premium P1
• Azure AD Premium P2
• Microsoft 365 Business Premium
• Microsoft 365 E3

Chaque utilisateur qui doit pouvoir utiliser la fonction de réinitialisation du mot de passe en libre-service doit être couvert par une licence. Si l'on se réfère aux bonnes pratiques de Microsoft, cette fonction doit être activée sur tous les utilisateurs. À titre indicatif, la licence Azure AD Premium P1 est facturée 5,10 € HT par utilisateur et par mois.

• Microsoft Docs - Licencing SSPR

Vous pouvez demander des licences d'essais via l'interface d'administration Office 365 (Facturation > Acheter des services).

III. Azure AD : configurer la réinitialisation libre-service

Avant d'adapter la configuration d'Azure AD Connect, nous devons configurer la fonctionnalité sur le portail Microsoft Azure. Accédez au portail Azure et connectez-vous avec un compte Administrateur général : portal.azure.com

Une fois sur la page d'accueil, cliquez sur "Azure Active Directory" et une fois sur la vue d'ensemble d'Azure Active Directory, cliquez sur "Réinitialisation du mot de passe" dans le menu de gauche.

Sous "Gérer", cliquez sur "Propriétés" afin de pouvoir activer la fonctionnalité "Réinitialisation du mot de passe en libre-service activée". Vous avez deux choix :

• Sélectionné : vous activez la fonctionnalité pour tous les utilisateurs membres d'un groupe spécifique
• Tout : vous avez la fonctionnalité pour tous vos utilisateurs (attention aux licences)

Pour ma part, j'utilise une licence d'essai alors je vais prendre "Sélectionné" et sélectionner un groupe : O365-SelftServicePasswordReset.

Il s'agit d'un groupe de sécurité présent dans mon annuaire Active Directory et synchronisé au travers d'Azure AD Connect. Ce groupe contient un membre : "Guy Mauve", ce sera mon cobaye pour tester la fonctionnalité. Ce compte dispose d'une licence Azure AD Premium P1.

En cliquant sur la section "Méthodes d'authentification", vous pouvez choisir les méthodes disponibles pour les utilisateurs afin de permettre la réinitialisation du mot de passe.

Grâce à l'option "Téléphone mobile", l'utilisateur recevra un code sur son téléphone et il devra le saisir à l'écran afin de pouvoir réinitialiser son mot de passe.

L'option "Nombre de méthodes à réinitialiser" signifie que l'utilisateur doit configurer au moins l'une des méthodes, puisque c'est positionné sur "1". Dans cet exemple, il doit définir au moins un e-mail ou un numéro de téléphone mobile comme méthode de secours pour recevoir le code.

Passons à la partie Azure AD Connect.

IV. Configurer Azure AD Connect pour la réinitialisation libre-service

Nous devons adapter, ou tout du moins vérifier la configuration d'Azure AD Connect, afin de s'assurer qu'elle permet d'utiliser la réinitialisation libre-service des mots de passe. En fait, lorsqu'un utilisateur va modifier son mot de passe via le portail libre-service, il faut que ce mot de passe soit réécrit dans l'Active Directory local. De cette façon, il pourra utiliser ce nouveau mot de passe pour se connecter sur son PC, en plus d'Office 365.

Connectez-vous sur le serveur où Azure AD Connect est installé et ouvrez la console du même nom. Cliquez sur le bouton "Configurer". Pendant ce temps, la synchronisation est suspendue.

À l'étape suivante, cliquez sur "Personnalisation des options de synchronisation" dans la liste d'éléments. Connectez-vous avec votre compte Administrateur général lorsque l'étape "Connexion à Azure AD" apparaît.

Avancez jusqu'à l'étape "Fonctionnalités facultatives". Ici, vous devez vous assurer que l'option "Réécriture du mot de passe" est cochée. En anglais, cette option se nomme "Password writeback".

Ensuite, il ne vous reste plus qu'à continuer jusqu'à la fin et c'est tout bon.

V. Azure AD : intégration on-premise du portail libre-service

Nous devons retourner sur le portail Azure, toujours au même endroit que toute à l'heure : Azure Active Directory > Réinitialisation du mot de passe.

Dans le menu de gauche, cliquez sur "Intégration locale". Le message "Votre client de réécriture local est opérationnel". Vérifiez que l'option "Réécrire des mots de passe dans votre répertoire local" est sur "Oui" afin que le mot de passe soit réécrit dans l'Active Directory.

Note : la seconde option positionnée sur "Non" permet de dire qu'un déverrouillage de compte doit toujours impliquer le changement du mot de passe.

La configuration est terminée, nous allons pouvoir tester.

VI. Office 365 : tester la fonction Self-Service Password Reset

Maintenant, je suis dans la peau de l'utilisateur "Guy Mauve" et j'ai oublié mon mot de passe. Je me retrouve face à la page de connexion d'Office 365 : que faire ? Est-ce que j'appelle le service informatique ? Non, car ils m'ont dit que je pouvais me débrouiller comme un grand... Je vais essayer pour voir.

Je commence par cliquer sur le lien "J'ai oublié mon mot de passe".

Ensuite, il faut saisir son adresse e-mail et remplir le captcha avant de pouvoir poursuivre.

L'option "Envoyer un SMS à mon téléphone mobile" s'affiche. Il faut saisir son numéro de téléphone et cliquez sur "Envoyer un SMS". Alors bien sûr, il ne faut pas saisir n'importe quel numéro de téléphone, mais celui associé à votre compte.

Dans l'exemple de "Guy Mauve" c'est le numéro de téléphone renseigné dans le compte Active Directory qui est remonté sur Office 365 et automatiquement utilisé par Microsoft. Si ce n'est pas fait, la réinitialisation ne fonctionnera pas puisqu'il n'y a aucune méthode de récupération utilisable (voir la suite de l'article pour plus d'explications).

Revenons à notre assistant... J'ai bien reçu un code par SMS, je le saisis et je clique sur "Suivant".

Désormais, il faut saisir un nouveau mot de passe par deux fois.

Voilà, le tour est joué ! Je viens de réinitialiser mon mot de passe moi-même, sans solliciter le service informatique ! C'est désormais mon nouveau mot de passe pour me connecter à Office 365 et à ma session Windows.

Vous vous demandez surement ce qu'il se passe suite à l'activation de la fonctionnalité SSPR auprès de vos utilisateurs ?

Sachez qu'à la prochaine connexion sur leur compte Office 365, un écran "Plus d'informations requises" s'affichera. Cela est nécessaire puisque pour utiliser la réinitialisation du mot de passe en libre-service, il faut que Microsoft ait connaissance soit d'un numéro de téléphone, soit d'un e-mail de secours (souvenez-vous de la configuration sur Azure). Si Microsoft n'a ni l'un ni l'autre, il vous le fera savoir de cette façon et l'utilisateur devra suivre les étapes afin de pouvoir utiliser cette nouvelle fonctionnalité.

En cliquant sur "Suivant", l'assistant "Protéger votre compte" s'affiche. Vous devez indiquer un numéro de téléphone sur lequel recevoir le code en cas de besoin. Si l'utilisateur préfère l'e-mail de secours, il doit cliquer sur "Je veux configurer une autre méthode" et choisir l'e-mail (la liste dépend des méthodes sélectionnées dans la configuration Azure).

Voilà, il ne vous reste plus qu'à communiquer auprès de vos utilisateurs ! Pour vous aider, Microsoft met à disposition sur son site des templates. Ils sont en anglais, mais vous pouvez les adapter. Voir cette page : SSPR Materials

Bonus : sachez qu'un utilisateur peut réinitialiser son mot de passe à tout moment en utilisant cette adresse fournie par Microsoft : https://aka.ms/sspr

The post Office 365 et ADDS : activer la réinitialisation du mot de passe en libre-service first appeared on IT-Connect.

Microsoft a confirmé l'existence d'un conflit entre Windows 11 et un pilote audio Intel, ce qui peut générer un écran bleu de la mort (BSoD) sur la machine locale.

Entre Windows 11 21H2 et le pilote audio Intel Smart Sound Technology (SST), ce n'est pas les grands amours... Puisqu'un conflit entre les deux et à l'origine d'écran bleu sur certaines machines. Intel SST fonctionne avec les derniers processeurs Intel Core, ainsi que les processeurs Intel Atom.

Sur son site, Microsoft précise que le fichier qui pose problème se nomme IntcAudioBus.sys, dans le cas où il est en version 10.29.0.5152 et supérieur, ou 10.30.0.5152 et supérieur. Pour résoudre ce problème, il n'y a pas énormément de solutions : il faut mettre à jour le pilote Intel Smart Sound Technology. Pour cela, il faut regarder sur le site du fabricant de votre matériel afin de voir si une mise à jour est disponible. Microsoft précise qu'il faut utiliser Intel SST 10.29.00.5714 et supérieur, ou Intel SST 10.30.00.5714 et supérieur pour se débarrasser de ce problème.

Si vous n'êtes pas encore sous Windows 11 et que vous utilisez Intel SST, il est indispensable de mettre à jour le pilote avant de lancer le processus de mise à niveau depuis Windows 10. Cela vous évitera une première crise de nerfs une fois arrivé sur Windows 11.

De son côté, Microsoft a bloqué les mises à niveau Windows 10 vers Windows 11 sur les machines où Intel SST n'est pas dans une version suffisante. Une fois que la mise à jour est effectuée, il peut y avoir un délai de 48h avant que la mise à niveau vers Windows 11 soit débloquée, mais vous pouvez toujours la lancer manuellement.

Source

The post Un pilote audio Intel génère des écrans bleus sur Windows 11 first appeared on IT-Connect.

Microsoft prépare un nouveau lecteur multimédia au sein de Windows 11, plus moderne et plus convivial, en remplacement de Groove Musique mais aussi de l'éternel Windows Media Player.

Le lecteur multimédia sera la prochaine application de Microsoft révisée et modernisée pour Windows 11, notamment pour remplacer Groove Musique. Ce dernier est apparu avec Windows 10 et il n'a jamais réellement séduit les utilisateurs, peut-être la faute à l'indétrônable et très polyvalent VLC Media Player. Je dirais aussi que les applications de streaming comme Spotify ou Deezer font forcément de l'ombre à ces applications, même si ça ne couvre pas la partie vidéo.

Depuis mardi, Microsoft a commencé à déployer ce nouveau lecteur multimédia via le Microsoft Store pour les membres du programme Windows Insiders, au sein du canal Dev. Une fois installé, il prend immédiatement la place de Groove Musique. Si vous souhaitez utiliser Windows Media Player, rassurez-vous : il est toujours disponible à partir du menu Démarrer dans la section "Outils Windows". Cela sera le cas pour l'instant, mais peut-être qu'il finira par être supprimé lorsque le nouveau Media Player sera suffisamment complet.

Comme on peut le voir sur la copie d'écran ci-dessous, le nouveau Media Player reprend les codes graphiques de l'interface de Windows 11.

Il est capable de lire les fichiers audio et vidéos de votre bibliothèque locale : les fichiers stockés en local sur votre PC et compatible Media Player apparaîtront au sein de la bibliothèque Media Player.

Du contenu additionnel peut-être ajouté, probablement à partir d'emplacements réseau. De toute façon, si vous aviez des playlists et des bibliothèques dans Groove Musique, elles seront migrées automatiquement dans Media Player. En complément, Media Player serait capable de récupérer des métadonnées comme l'illustration d'un album de musique pour avoir un rendu plus sympa.

Que pensez-vous de ce nouveau Media Player ?

Si vous êtes toujours sur Windows 10, je vous rappelle que Microsoft a publié hier Windows 10 21H2.

Source

The post Microsoft va déployer un nouveau lecteur multimédia pour Windows 11 first appeared on IT-Connect.

Depuis la semaine dernière, une nouvelle vague d'attaques touche les sites WordPress et elle aurait fait au moins 300 victimes jusqu'ici. Lorsque le site WordPress est hacké, une page s'affiche avec une demande de rançon de 0,1 bitcoin pour déchiffrer le contenu du site. Que se passe-t-il exactement ?

L'entreprise Sucuri a fait la découverte de cette nouvelle attaque à destination des sites WordPress, à la suite d'une sollicitation de la part d'un Webmaster victime de cette attaque.

Concrètement, certains webmasters ont eu la mauvaise surprise de découvrir une nouvelle page d'accueil sur leur site. En effet, le message "Site encrypted" s'affiche, accompagné par un compte à rebours de quelques jours et une adresse pour envoyer 0,1 Bitcoin afin de restaurer le site WordPress. Si l'on convertit cette somme en euros, cela correspond à un peu plus de 5 200 euros, ce qui n'est pas rien.

La bonne nouvelle, c'est que les équipes de chez Sucuri ont constaté que le site n'était pas chiffré ! À la place de ça, l'attaquant à simplement modifié le code d'un plug-in WordPress installé sur le site afin d'afficher la page d'alerte qui indique que le site est chiffré. En complément, l'ensemble des articles du site sont modifiés afin de définir l'état ("post_status") sur null, ce qui empêche l'affichage de l'article puisqu'il est dans un état inconnu.

En réalité, ce piratage  par un ransomware est une illusion dans le sens où le site n'est pas réellement chiffré, mais que le pirate cherche à tromper le Webmaster en l'incitant à payer la rançon de 0,1 Bitcoin. Sucuri estime qu'en supprimant le plug-in modifié par le pirate, en l'occurrence ici Directorist, et en exécutant une commande pour rectifier l'état des articles, le site peut revenir à son état normal.

En s'intéressant aux journaux du site, Sucuri a remarqué que le premier point où l'adresse IP de l'attaquant apparaissait était le panneau d'administration "wp-admin". On peut en déduire que l'attaquant s'est connecté en tant qu'admin sur le site, en réalisant une attaque par brute-force ou en achetant des identifiants via le dark web. Visiblement, l'attaquant n'a pas exploité une faille de sécurité dans un plug-in pour devenir admin du site. Quoi qu'il en soit, veillez à maintenir vos plug-ins et WordPress à jour.

Source

The post WordPress : des sites piratés, avec une demande de rançon à la clé ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment ajouter tous les utilisateurs de plusieurs OU (unités d'organisation) dans un groupe Active Directory à l'aide de PowerShell.

Pour ajouter tous les utilisateurs d'une unité d'organisation, c'est facile puisque l'on peut le faire via l'interface graphique. Par contre, si l'on veut prendre tous les utilisateurs de 5, 10 ou 20 unités d'organisation pour les ajouter dans un groupe, on peut toujours le faire via l'interface graphique, mais ça va être long (et pénible) car il faut le faire OU par OU. C'est d'autant plus chiant s'il y a de nouveaux utilisateurs régulièrement...

Heureusement, PowerShell va pouvoir nous aider à réaliser cette action plus facilement. On peut même imaginer une chose : enregistrer le bout de code dans un script PS1 et l'exécuter une fois par jour via une tâche planifiée afin d'ajouter les éventuels nouveaux utilisateurs à ce groupe. Plutôt sympa, non ?

Pour suivre ce tutoriel, vous avez seulement besoin d'un contrôleur de domaine Active Directory. Je vous rappelle également que vous pouvez suivre mon cours sur l'administration de l'Active Directory avec PowerShell pour approfondir le sujet, et que mon eBook est toujours disponible.

II. PowerShell : prendre les utilisateurs de plusieurs OU et les ajouter à un groupe

Ouvrez PowerShell ISE ou Visual Studio Code pour commencer le script. La première étape consiste à établir la liste des OU. Cette liste pourra évoluer dans le temps si vous le souhaitez.

Au sein de la variable $OU, nous allons stocker la liste des OUs, en précisant le distinguishedName (DN) à chaque fois. Pour ma part, j'ai deux OU nommées "Personnel" et "Admins", ce qui donne :

$OUList = @("OU=Personnel,DC=it-connect,DC=local",
            "OU=Admins,DC=it-connect,DC=local")

Je vous rappelle que pour récupérer cette valeur, vous pouvez passer l'éditeur d'attribut via les propriétés de l'OU.

Sinon, en PowerShell voici comment récupérer le DN d'une OU :

Get-ADOrganizationalUnit -Filter "Name -eq 'Personnel'" | Select-Object DistinguishedName

Remplacez le terme "Personnel" par le nom de votre OU. Attention, si vous avez plusieurs OU avec le même nom, elles seront toutes retournées : à vous de choisir la bonne en regardant le chemin du DN. Cette méthode pourra vous éviter un certain nombre de clics.

Une fois que la liste des OU est établie, nous devons récupérer les utilisateurs de ces différentes OU. Grâce à une boucle ForEach PowerShell, nous allons pouvoir parcourir chaque OU pour récupérer le SamAccountName des utilisateurs et constituer la liste dans la variable $UsersList.

Ce qui donne simplement :

$UsersList = Foreach($OU in $OUList){ Get-ADUser -Filter * -SearchBase $OU | Select-Object SamAccountName }

Si, potentiellement, vous avez des utilisateurs désactivés dans ces OUs, vous pouvez les exclure en prenant que les utilisateurs actifs grâce à un filtre, comme ceci :

$UsersList = Foreach($OU in $OUList){ Get-ADUser -Filter "Enabled -eq '$true'" -SearchBase $OU | Select-Object SamAccountName }

Maintenant que l'on a la liste des utilisateurs, j'ai envie de vous dire que le plus dur est fait. Il ne reste plus qu'à ajouter les utilisateurs à notre groupe. Dans cet exemple, mon groupe se nomme "Salariés".

Pour cela, on va utiliser la commande "Add-AdGroupMember" qui permet d'ajouter des utilisateurs à un groupe. On va préciser le nom du groupe et notre objet $UsersList qui contient les utilisateurs. La commande est toute simple, et pas plus compliquée que pour ajouter un seul utilisateur dans un groupe :

Add-AdGroupMember -Identity "Salariés" -Members $UsersList

Au final, notre script tiens sur quelques lignes :

# Constituer une liste d'OU dans laquelle piocher les utilisateurs
$OUList = @("OU=Personnel,DC=it-connect,DC=local",
            "OU=Admins,DC=it-connect,DC=local")

# Récupérer la liste des utilisateurs actifs des OUs ciblées
$UsersList = Foreach($OU in $OUList){ Get-ADUser -Filter "Enabled -eq '$true'" -SearchBase $OU | Select-Object SamAccountName }

# Ajouter tous les utilisateurs au groupe
Add-AdGroupMember -Identity "Salariés" -Members $UsersList

Si vous souhaitez que ce groupe soit actualisé tout seul, il faudra enregistrer ce bout de code dans un fichier PS1 et l'exécuter via une tâche planifiée.

• Tutoriel - Comment exécuter un script PowerShell avec une tâche planifiée ?

Par contre, si le contenu du groupe doit être maintenu à jour dans le temps et qu'il doit contenir seulement les utilisateurs de ces unités d'organisation, il faudrait purger le groupe avant d'ajouter tous les utilisateurs. Cela va permettre de s'assurer qu'il reflète bien le contenu des OUs. Pour cela, on va utiliser la commande Remove-ADGroupMember, comme ceci :

Remove-ADGroupMember "Salariés" -Members (Get-ADGroupMember "Salariés") -Confirm:$false

En toute logique, cette ligne doit être ajoutée avant l'ajout des utilisateurs dans le groupe. Ce qui donne :

# Constituer une liste d'OU dans laquelle piocher les utilisateurs
$OUList = @("OU=Personnel,DC=it-connect,DC=local",
            "OU=Admins,DC=it-connect,DC=local")

# Récupérer la liste des utilisateurs actifs des OUs ciblées
$UsersList = Foreach($OU in $OUList){ Get-ADUser -Filter "Enabled -eq '$true'" -SearchBase $OU | Select-Object SamAccountName }

# Purger le groupe
Remove-ADGroupMember "Salariés" -Members (Get-ADGroupMember "Salariés") -Confirm:$false

# Ajouter tous les utilisateurs au groupe
Add-AdGroupMember -Identity "Salariés" -Members $UsersList

Si vous avez une question, n'hésitez pas à publier un commentaire !

The post PowerShell : ajouter tous les utilisateurs de plusieurs OU à un groupe first appeared on IT-Connect.