Microsoft

• Windows Server
• Création Cluster FAIL OVER
• Event Arrêt Redémarrage système
• SYSVOL non synchronisé
• Réparation BCD (BOOT CONFIGURATION DATA)
• Reset complet de WSUS
• Retention logs Task-Scheduler (planificateur de tâches)
• Serveur ne remonte pas dans WSUS
• WSUS Reset Windows Update Tool
• Limitation Shadowcopy
• Erreur Création Cluster
• Powershell / CMD
• Mail List
• Etat des lieux d'un service Windows
• Export Liste fichier
• Extract AD pc non connecté
• Suppression de dossier à partir d'un export
• AD extract exclusion
• Suppression user CSV
• Extract nom de dossier
• Crypt password + line to add on script
• O365 / EXCHANGE
• Tracking Mail
• Règle CC automatique
• Partage calendriers
• Liste de Diffusion
• Restaurer des mails supprimés d'une boîte aux lettres
• Blocage adresse IP office 365
• Azure
• Redimensionner disque sur VM Azure
• App Password (ADOC)
• Utilisateur Invité
• Powershell Azure : check IP disponible
• Renouvellement Certificat et Jeton Apple sur MDM
• MFA - Désactivation application Authenticator
• Active Directory
• GPO STRATEGIES MDP
• Modification des permissions du compte AD DS connector pour la synchronisation de hashage de mot de passe

Windows Server

Création Cluster FAIL OVER

Nous devons d'abord installé les features sur les serveurs sur lesquels aura lieu le cluster
Pour ça lancer le Server Manager allez dans Manage > Add Roles and Features

Faire NEXT jusque Features, sélectionner clustering de basculement et Add Features
Faire NEXT puis cocher Restart si requis puis faire YES

Appuyer sur Install et attendre la fin de l'installation et le redémarrage

Une fois le redémarrage effectué, nous allons le configurer.
pour accéder à la gestion, nous allons dans server manager > outils > Failover Cluster Manager

Sélectionner Validate Configuration pour tester la connexion entre les serveurs

Rajouter les noms des serveurs (ne pas prendre en compte le nom PegaseHA serveur déjà configure)
puis faire suivant

Selectionner l'option Exécuter uniquement

Décocher les Espaces de stockage direct puis faire Suivant

Faire Suivant

Si il n'y a pas d'erreur faire terminer

Maintenant créons le cluster en sélectionnant créer le cluster, puis ajouter le nom du serveur

Sélectionner No

Définissez le nom de Votre cluster, puis ajouter l'adresse VIP qui vous servira pour le cluster dans Address

Faire Suivant jusqu’à la création du cluster.
Nous allons maintenant ajouter le 2e serveur, ouvrir votre cluster puis allez dans Nœuds et faire ajouter un nœud 

Rajouter le 2e serveur et faire suivant jusqu’au bout

Le cluster est fonctionnel.

Si vous souhaitez changer votre Master, faites un clic droit sur le nom de votre cluster > autres actions > déplacer les ressources principales... > sélectionnez un nœud...

Sélectionnez le serveur sur lequel vous souhaiter basculer puis faites ok

Event Arrêt Redémarrage système

L'event ID Système 12 Kernel-General  définit l'heure du démarrage du système :

L'event ID Système 1074 User32 définit le processus à l'origine de l'arrêt ou redémarrage du système :
En cas de crash, cet évènement n'est pas présent

 

SYSVOL non synchronisé

Get-Service -ComputerName $MachineName -Name "NtFrs" | Stop-Service ?
Set-Service -Computer $MachineName -Name "NtFrs" -StartupType "Disabled" ?

net stop ntfrs

repadmin /siteoptions /Site:Premier-Site-par-defaut +IS_AUTO_TOPOLOGY_DISABLED 

net start ntfrs

net start ntfrs 

repadmin /siteoptions /Site:Premier-Site-par-defaut -IS_AUTO_TOPOLOGY_DISABLED

Réparation BCD (BOOT CONFIGURATION DATA)

UEFI boot : /EFI/Microsoft/Boot/BCD
BIOS boot : /boot/BCD sur la partition active

Avant de démarrer sur l'iso d'installation de Windows Server 2012:

réaliser un backup du BCD (Backup Boot Configuration Data)

bcdedit /export "emplacement à renseigner.bcd"

Lancer le boot de l'iso en mode réparation avec les lignes de commandes.
Lancer les commandes :

diskpart
list disk
select disk [numero_disk]
list partition
list volume
detail disk pour vérifier les disques actifs

identifier la lettre où est installé la partition windows (dans le cas de srvtech, il s'agissait du disque D)

sfc /SCANNOW /OFFBOOTDIR=D:\ /OFFWINDIR=D:\windows

bootrec /rebuildbcd

BOOTREC /FIXMBR

bootrec /fixboot

Commande la plus importante et la plus délicate : (/v : verbose)
Add a boot entry for your Windows partition

bcdboot D:\windows /v

bootsect.exe /nt60 all /force

sfc /SCANNOW /OFFBOOTDIR=D:\ /OFFWINDIR=D:\windows

Reset complet de WSUS

REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientIdValidation /f
regsvr32 /s atl.dll
regsvr32 /s wucltui.dll
regsvr32 /s wups.dll
regsvr32 /s wuaueng.dll
regsvr32 /s wuapi.dll
regsvr32 /s msxml3.dll
regsvr32 /s mssip32.dll
regsvr32 /s initpki.dll
regsvr32 /s softpub.dll
net start wuauserv
wuauclt /resetauthorization /detectnow

Suite à ce reset, il peut être nécessaire de lancer 4 à 5 recherches avant de ne plus avoir d'erreur.

Stop-Service -Name BITS, wuauserv -Force Remove-ItemProperty -Name AccountDomainSid, PingID, SusClientId, SusClientIDValidation -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\ -ErrorAction SilentlyContinue Remove-Item "$env:SystemRoot\SoftwareDistribution\" -Recurse -Force -ErrorAction SilentlyContinue Start-Service -Name BITS, wuauserv wuauclt /resetauthorization /detectnow (New-Object -ComObject Microsoft.Update.AutoUpdate).DetectNow()

Retention logs Task-Scheduler (planificateur de tâches)

Serveur ne remonte pas dans WSUS

Certains serveurs ne remontent pas dans la console WSUS. Cependant la GPO est bien appliquée.

Cet anomalie est dû à une clef de registre qui est identique sur les différents serveurs. 

La clef est SusClientId --> elle se trouve ici : HKLM\Software\Microsoft\Windows\Current Version\Windows update

Pour remédier au problème, sur le serveur à ajouter :

- Arrêter le service windows update
- Supprimer la clef SusClientId
- Exécuter 

wuauclt.exe /resetauthorization /detectnow

Vérifier le lendemain que le serveur est bien remonté sur la console WSUS

Ce problème est dû au fait de cloner des VM ou d’utiliser des P2V. Pensez à lancer un sysprep à l'issue

Pensez à vérifier que les nouvelles machines que vous installez remontent bien dans WSUS.

Les machines remontent automatiquement dans la console  après 24h maximum.

WSUS Reset Windows Update Tool

Outil de diagnostic (troubleshooting) pour réparer des problèmes liés à Windows Update.

Reset-Windows-Update-Tool aka wureset
https://github.com/wureset-tools

Lien de téléchargement :
https://wureset.com/downloads/

Features

The Reset Windows Update Tool provides the following features:

Resetting Windows Update components to their default settings
Deleting temporary files to free up disk space
Changing invalid values in the Windows Registry to ensure smooth operation
Scanning and repairing protected system files that may be corrupted using the "sfc /scannow" command
Detecting and repairing corruptions in the Windows system image
Cleaning up superseded components to optimize system performance and free up disk space

https://docs.wureset.com/diagnostic/

Limitation Shadowcopy

Clic droit sur le lecteur, propriétés, onglet shadow copies:

Temporairement mettre une limite 

Powershell

vssadmin resize shadowstorage /for=C: /on=C: /maxsize=1GB

vssadmin list shadowstorage

vssadmin delete shadows /for=c: /oldest

Erreur Création Cluster

ERROR THE COMPUTER “SERVERNAME.DOMAIN” IS JOINED TO A CLUSTER

Disable Cluster Services dans services.msc
Puis utiliser la Commande Clear-ClusterNode

 

Powershell / CMD

Mail List

 

import csv
import smtplib
from email.mime.text import MIMEText
 
# Define the email parameters
sender_email = 'your_email@example.com'
sender_password = 'your_email_password'
subject = 'Update your password'
message_template = '''\
Dear {name},
 
Please update your password for our service. You can do this by logging into your account and changing your password.
 
Thank you,
The Service Team
'''
 
# Read the CSV file and send an email to each user
with open('user_data.csv') as file:
    reader = csv.reader(file)
    next(reader)  # Skip header row
    for row in reader:
        # Extract user data
        name, email = row
        # Create the email message
        message = message_template.format(name=name)
        email_message = MIMEText(message)
        email_message['Subject'] = subject
        email_message['From'] = sender_email
        email_message['To'] = email
        # Connect to the SMTP server and send the email
        with smtplib.SMTP('smtp.gmail.com', 587) as server:
            server.starttls()
            server.login(sender_email, sender_password)
            server.sendmail(sender_email, email, email_message.as_string())
        print(f'Sent email to {name} ({email})')

Etat des lieux d'un service Windows

Listage de l'état d'un service sur l'ensemble des serveurs Windows d'un domaine
Le compte de la machine ne doit pas être désactivé et il doit répondre au ping
Dans ce cas, il s'agit du service 'spooler'

# Autor : JHAF

# Service à check
$Service = 'spooler'

# Horadatage pour CSV
$DateJour = Get-Date -Uformat %Y%m%d_%H%m

# Initialisation des variables en Array
$Report = @()
$Spoolers = @()

# Liste des serveurs Windows avec une compte actif
$Servers = Get-ADOrganizationalUnit -Filter * | ForEach-Object { Get-ADComputer -Filter 'operatingSystem -like "*Windows Server*" -and userAccountControl -notlike "4098"' -SearchBase "$_" -SearchScope OneLevel } | Select-Object DNSHostName, Name, SID
#$Servers | Out-GridView

# Test si les serveurs sont UP
foreach($Server in $Servers){
    
    $pingtest = Test-Connection -ComputerName $Server.DNSHostName -Quiet -Count 1 -ErrorAction SilentlyContinue
    if($pingtest){
        #Write-Host $Server.DNSHostName " is reachable"
        $Spoolers += Get-ADComputer -Identity $Server.Name | Select-Object DNSHostName, Name, SID
     }
     else{
        #Write-Host $Server.DNSHostName " is not reachable"
     }
     
}
#$Spoolers | Out-GridView

# Récupération des infos du service Spooler pour chaque serveur UP
foreach ($Spooler in $Spoolers) {
    $Status = Get-Service -ComputerName $Spooler.Name -Name $Service | Select-Object MachineName, Name, Status
    $Startup = Get-WmiObject -Computer $Spooler.Name -Class Win32_Service -Property StartMode -Filter "Name='$Service'"
    $Report += [PSCustomObject]@{
        MachineName = $Status.MachineName
        Name        = $Status.Name
        Status      = $Status.Status
        StartMode   = $Startup.StartMode
    }
}
$Report | Out-GridView
#$Report | Export-Csv -Path C:\script\Audit\2022\1032\${DateJour}_Get-Spooler_Status.csv -NoTypeInformation -Encoding UTF8 -Delimiter ';'

Arrêt puis désactivation du démarrage auto d'un service sur l'ensemble des machines Windows listé dans un CSV
WinRM doit fonctionner depuis la machine qui lance le script (notamment les flux RPC doivent être ouverts)
Dans ce cas, il s'agit du service 'spooler'

 

# Horadatage pour CSV
$DateJour = Get-Date -Uformat %Y%m%d_%H%m

# Service à stop et check
$Service = 'spooler'

# Initialisation des variables en Array
$Report = @()

# Fichier CSV à faire à la main pour import
$SpoolersStop = Import-Csv C:\script\Audit\2022\1032\Stop-Spoolers.csv -Delimiter ';'

# Arrêt du service et Désactivation du démarrage auto
foreach ($Spooler in $SpoolersStop) {
    Get-Service -ComputerName $Spooler.MachineName -Name "spooler" | Stop-Service
    Set-Service -Computer $Spooler.MachineName -Name "spooler" -StartupType "Disabled"
}

# Récupération des infos du service Spooler pour chaque serveur UP
foreach ($Spooler in $Spoolers) {
    $Status = Get-Service -ComputerName $Spooler.Name -Name $Service | Select-Object MachineName, Name, Status
    $Startup = Get-WmiObject -Computer $Spooler.Name -Class Win32_Service -Property StartMode -Filter "Name='$Service'"
    $Report += [PSCustomObject]@{
        MachineName = $Status.MachineName
        Name        = $Status.Name
        Status      = $Status.Status
        StartMode   = $Startup.StartMode
    }
}
#$Report | Out-GridView
$Report | Export-Csv -Path C:\script\Audit\2022\1032\${DateJour}_Stop-Spoolers_Check.csv -NoTypeInformation -Encoding UTF8 -Delimiter ';'

Export Liste fichier

 

$filepath = "E:\liste_fichiers_exe.csv"
 Get-ChildItem -Path E:\ -Recurse -Filter *.exe | Select-Object FullName | Export-Csv -Path $filepath -NoTypeInformation

Extract AD pc non connecté

$DaysInactive = 60  
$InactiveDate = (Get-Date).AddDays(-$DaysInactive)
$ExportFile = "C:\temp\InactiveComputers.csv"


$Computers = Get-ADComputer -Filter * -Properties LastLogonDate, Description


$InactiveComputers = $Computers | Where-Object { $_.LastLogonDate -lt $InactiveDate }

$InactiveComputerDataWithUser = foreach ($computer in $InactiveComputers) {
    $computerName = $computer.Name
    $description = $computer.Description

    $lastLogon = $computer.LastLogonDate
    $lastLogonUser = Get-ADUser -Filter "SamAccountName -eq '$($computer.SamAccountName)'" -Property SamAccountName |
        Select-Object -ExpandProperty SamAccountName

    [PSCustomObject]@{
        ComputerName = $computerName
        Description = $description
        LastLogonDate = $lastLogon
        User = $lastLogonUser
    }
}

$ExportDescription = "List of inactive computers that have not logged on in the last $DaysInactive days."
$InactiveComputerDataWithUser | Export-Csv -Path $ExportFile -NoTypeInformation -Append
Add-Content -Path $ExportFile -Value "`nDescription: $ExportDescription"

Suppression de dossier à partir d'un export

 

$csvFilePath = "le fichier csv"
$folderNameColumn = "le nom de la colonne"
$directoryPath = "le chemin\"

# Read the CSV file
$csvData = Import-Csv -Path $csvFilePath

# Delete folders
$csvData | ForEach-Object {
    $folderName = $_.$folderNameColumn
    $folderPath = Join-Path -Path $directoryPath -ChildPath $folderName

    if (Test-Path -Path $folderPath -PathType Container) {
        try {
            Remove-Item -Path $folderPath -Recurse -Force
            Write-Host "Deleted folder: $folderName"
        }
        catch {
            Write-Host "Failed to delete folder: $folderName - $_"
        }
    }
    else {
        Write-Host "Folder not found: $folderName"
    }
}

AD extract exclusion

 

# Importer le module Active Directory
Import-Module ActiveDirectory

# Spécifier le chemin de sortie pour le fichier CSV
$cheminSortie = "C:\temp\utilisateurs.csv"

# Définir les filtres pour exclure les OU spécifiées
$ouExclues = 
             "OU=***,DC=domaine,DC=com",
             "OU=***,DC=domaine,DC=com",
             "OU=***,DC=domaine,DC=com"

# Récupérer tous les utilisateurs en excluant les OU spécifiées et inclure le nom canonique de l'OU
$utilisateurs = Get-ADUser -Filter * -Property EmailAddress |
                Where-Object { $ouExclues -notcontains $_.DistinguishedName } |
                Select-Object SamAccountName, GivenName, Surname, EmailAddress, Department,
                              @{Name="NomCanoniqueOU"; Expression={($_.DistinguishedName -split "(?<=^.*,OU=)")[1] -replace "(?<=^.*,OU=)(.*)", '$1'}}

# Exporter les résultats au format CSV
$utilisateurs | Export-Csv -Path $cheminSortie -NoTypeInformation

Suppression user CSV

 

# Importer le contenu du fichier CSV
$csvPath = "chemin_vers_le_fichier\fichier.csv"
$csvData = Import-Csv -Path $csvPath
 
# Parcourir chaque ligne du fichier CSV
foreach ($row in $csvData) {
    $logon = $row.logon
 
    # Vérifier si le compte existe dans Active Directory
    if (Get-ADUser -Filter "SamAccountName -eq '$logon'") {
        # Supprimer le compte Active Directory
        Remove-ADUser -Identity $logon -Confirm:$false
        Write-Host "Le compte $logon a été supprimé."
    } else {
        Write-Host "Le compte $logon n'a pas été trouvé dans Active Directory."
    }
}

Extract nom de dossier

 

# Get the folder names
$directory = "C:\Path\to\Directory"
$folderNames = Get-ChildItem -Path $directory -Directory | Select-Object -ExpandProperty Name
 
# Specify the output file path
$outputFilename = "C:\Path\to\output.csv"
 
# Export the folder names to CSV
$folderNames | Export-Csv -Path $outputFilename -NoTypeInformation
 
Write-Host "Folder names exported to $outputFilename."

Crypt password + line to add on script

Nous devons d'abord transformer notre mot de passe en SecureString pour que celui-ci ne soit pas utilisé en clair

 

ConvertTo-SecureString -String "motdepasse" -AsPlainText -Force | ConvertFrom-SecureString

Une fois la clé obtenue, vous pouvez la mettre dans le fichier qui servira pour votre script
et ajouter les lignes ci dessous pour l'executer

$cryptPass = get-content "$(split-path $Script:MyInvocation.Mycommand.Path)\nomdufichier.txt" # cette commande permet d'executer le nom du fichier à lire, qui est supposé être dans le même répertoire que le script.
$SecPass = ConvertTo-SecureString -String $cryptPass #cette ligne permet de transformer en objet powershell le mdp Crypte

 

O365 / EXCHANGE

Tracking Mail

Search-Mailbox -Identity <mailbox> -SearchQuery 'From:"adresse mail" AND Sent:"today"'

Get-MessageTrackingLog -Server SERVERNAME -Start (Get-Date).Date -End (Get-Date).AddDays(1) -Sender "mail utilisateur" -ResultSize Unlimited | Select-Object Timestamp,Sender,Recipients,MessageSubject,EventId

$hub | %{Get-MessageTrackingLog -Server SERVER -Sender *@mail.fr -Recipients "*@mail.fr" -start "11/15/2022 00:00:00" -end "11/22/22 00:00:00" } | fl

$hub | %{Get-MessageTrackingLog -Server SERVER -Sender *@mail.fr -Recipients "*@mail.fr" -start "11/15/2022 00:00:00" -end "11/22/22 00:00:00" } | fl

Règle CC automatique

Partage calendriers

Pour permettre le partage de calendriers, cette option doit être activée pour les utilisateurs à autoriser la fonction de partage de leurs calendriers.
Une fois cette option activée, il est possible de partager leurs calendriers avec n’importe qui à l’intérieur ou à l’extérieur de l’organisation.

Les personnes externes recevront un lien URL pour visualiser le calendrier partagé. Les utilisateurs peuvent décider quand et ce qu’ils veulent partager avec le calendrier partagé.

Voici la configuration actuelle concernant le partage des calendriers sur votre Tenant M365.
Donc oui, les utilisateurs peuvent partager leurs calendriers avec des personnes externes.

La procédure de Microsoft décrite ainsi explique les fonctions de partage de calendrier pour Outlook sur le Web ou via l’application Outlook :
https://support.microsoft.com/fr-fr/office/partager-votre-calendrier-dans-outlook-sur-le-web-7ecef8ae-139c-40d9-bae2-a23977ee58d5

Liste de Diffusion

Pour information, dans le cas où une LDD comprend des destinataires externes qui ne reçoivent pas les emails (les destinataires internes recevant bien les mails)
Avec une erreur sur Exchange : 550 5.5.0 « Sender domain is empty »

il faut renseigner le champ ReportToOriginator à « True » sur le compte de la LDD

Si LDD O365 :

Set-DistributionGroup "<DistributionGroupName>" -ReportToOriginatorEnabled $true

 
Si LDD sur l’AD OnPremise synchronisé :

Restaurer des mails supprimés d'une boîte aux lettres

(Exemple) Lister les actions de suppression sur une boîte mail :

search-mailboxauditlog nom_boite@xxx.com -StartDate 24/02/2023 -EndDate 25/02/2023 -ShowDetails | select LogonUserDisplayname, Operation, SourceItemSubjectsList, SourceItemFolderPathNamesList, LastAccessed |Export-Csv -path "chemin_sauvegarde_du_csv" -NoTypeInformation -encoding UTF8 -Delimiter ';'

Commande pour restaurer les fichiers d'une période :

Restore-RecoverableItems -Identity nom_boite@xxx.com -FilterItemType IPM.Note -FilterStartTime "25/02/2023 12:00:00 AM" -FilterEndTime "25/02/2023 11:59:59 PM"

Lister les fichiers récupérables :

Get-RecoverableItems -Identity nom_boite@xxx.com -FilterItemType IPM.Note -FilterStartTime "25/02/2023 05:00:00 PM" -FilterEndTime "25/02/2023 6:00:00 PM" | Export-Csv -path "chemin_sauvegarde_du_csv -NoTypeInformation -encoding UTF8 -Delimiter ';'

Référence : https://o365info.com/restoring-deleted-mail-items-using-the-powershell-cmdlet-restore-recoverableitems-3-3/

Deuxième exemple pour procéder :

#Rechercher les actions effectuées sur la boîte email

search-mailboxauditlog snom_boite@xxx.com -StartDate 19/08/2023 -EndDate 21/09/2023 -ShowDetails | select LogonUserDisplayname, Operation, SourceItemSubjectsList, SourceItemFolderPathNamesList, LastAccessed |Export-Csv -path "chemin.csv" -NoTypeInformation -encoding UTF8 -Delimiter ';'

#Rechercher les éléments récupérables

Get-RecoverableItems -Identity nom_boite@xxx.com -FilterItemType IPM.Note -FilterStartTime "19/08/2023 00:00:00 AM" -FilterEndTime "21/09/2023 3:00:00 PM" | Export-Csv -path "chemin.csv" -NoTypeInformation -encoding UTF8 -Delimiter ';'

#Restaurer les éléments récupérables avec les filtres indiqués

Restore-RecoverableItems -Identity "nom_boite@xxx.com" -FilterItemType IPM.Note -SourceFolder RecoverableItems -FilterStartTime "5/9/2023 08:00:00 AM" -FilterEndTime "21/9/2023 10:00:00 AM" -LastParentFolderID 3080818B42A7F744A370ADD0B007547400000000010C -RestoreTargetFolder /Restauration_I230920_242

#Obtenir les dossiers dans la boîte de réception et retrouver le dossier de restauration

Get-MailboxFolderStatistics "nom_boite@xxx.com" | ft name,folderpath

Blocage adresse IP office 365

Se connecter à l’interface Admin.

Aller dans l’onglet Centres d’administration et cliquer sur Sécurité.

Aller dans Stratégies et règles.

Puis cliquer sur Stratégie de menace.

Cliquer ensuite sur Logiciel anti-courrier indésirable.

Dans le nouvel onglet, ouvrir Stratégie de filtrage des connexions et Modifier la stratégie.

Comment modifier la stratégie de filtrage de connexion ?

Cliquer sur modifier la stratégie de filtre de connexion

Ajouter l'adresse IP puis Enregistrer

Azure

Redimensionner disque sur VM Azure

Au préalable il est recommandé de vérifier dans quelle catégorie de taille se trouvera le disque après modifications, un changement de catégorie ou performance entraine une facturation différente pour le client.

App Password (ADOC)

Il faut activer la MFA pour le compte souhaité en allant sur la fiche utilisateur

Dans le Centre d'Administartion MS 365 > Utilisateurs Actifs
Cliquer sur l'utilisateur puis Gérer l'authentification multifacteur

Activer sur l'utilisateur

Appliquer sur l'utilisateur

Se connecter au Webmail
Des infos supplémentaires sont demandé dès la première connexion

Entrer votre numéro de tél pour la MFA
Entré le code d'authentification reçu par SMS
Copier le App Password dans le KeePass

Utilisateur Invité

Se connecter au Tenant et bien vérifier que c'est bien le bon

Aller dans Azure B2C

Puis User

Cliquer sur New Guest User

Remplir les champs encadrés

Dans Groups and Roles,
Bien sélectionner un groupe si besoin et/ou un Role si besoin
Dans cette exemple, l'utilisateur est un prestataire qui nous a confirmé qu'il a besoin de gérer les applications donc il est Application Admin.

Si on vous demande Global Admin, faire confirmer les besoins réels et validé par le DSI (ou équivalent) en lui expliquant les impacts

Le reste des champs est optionnel

Block sign in bloquera la connexion au tenant.
Les autres infos, si vous les avez renseignez les.

Powershell Azure : check IP disponible

Au besoin, pour savoir si une ip est disponible sur Azure :

Connect-AzAccount

Puis

Get-AzVirtualNetwork -Name NOMduVNET -ResourceGroupName RESSOURCEGROUP| Test-AzPrivateIPAddressAvailability -IPAddress IPàTESTER

Renouvellement Certificat et Jeton Apple sur MDM

MFA - Désactivation application Authenticator

Microsoft force actuellement les utilisateurs à enregistrer l'application Authenticator comme méthode d'authentification via des campagnes.
Voici les étapes à suivre pour désactiver (temporairement) cette méthode :

Se connecter sur Azure et accéder à la page Accueil > Sécurité | Authentification multifacteur.
Cliquer ensuite sur paramètres d'authentification multifacteur supplémentaires basés sur le cloud.

Sur la page qui s'ouvre, décocher la "Notification via l'application mobile" et valider en enregistrant :

Ensuite, se rendre sur la page "Accueil > Méthodes d'authentification" puis cliquer sur "Campagne d'inscription" et modifier.
Changer l'état sur "Désactivée" puis valider.

Active Directory

GPO STRATEGIES MDP

accédez à votre outil de gestion des stratégies de groupes, Group Policy Management, et rendez-vous sur les onglets Domains > Default Domain Policy

Computer Configuration > Policies > Windows Settings > Security Settings > Password Policy.

Autre interface

Modification des permissions du compte AD DS connector pour la synchronisation de hashage de mot de passe

Le module RSAT-AD-Tools est nécessaire pour exécuter les commandes.

Commande pour installer le module via powershell :

Install-WindowsFeatureRSAT-AD-Tools 

Pour utiliser ADSyncConfig, chargez le module :

Import-Module"C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

Vérifiez si les modules sont bien chargés :

Get-Command -ModuleAdSyncConfig  

To set permissions for the AD DS Connector account when using Password Hash Synchronization, run:

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName<String> -ADConnectorAccountDomain<String> [<CommonParameters>]

Dans notre cas, la commande suivante avait été lancée pour cxpm :

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName "zzAADConnect" -ADConnectorAccountDomain cxpm.local

https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-configure-ad-ds-connector-account