Microsoft
- Windows Server
- Création Cluster FAIL OVER
- Event Arrêt Redémarrage système
- SYSVOL non synchronisé
- Réparation BCD (BOOT CONFIGURATION DATA)
- Reset complet de WSUS
- Retention logs Task-Scheduler (planificateur de tâches)
- Serveur ne remonte pas dans WSUS
- WSUS Reset Windows Update Tool
- Limitation Shadowcopy
- Erreur Création Cluster
- Powershell / CMD
- Mail List
- Etat des lieux d'un service Windows
- Export Liste fichier
- Extract AD pc non connecté
- Suppression de dossier à partir d'un export
- AD extract exclusion
- Suppression user CSV
- Extract nom de dossier
- Crypt password + line to add on script
- O365 / EXCHANGE
- Tracking Mail
- Règle CC automatique
- Partage calendriers
- Liste de Diffusion
- Restaurer des mails supprimés d'une boîte aux lettres
- Blocage adresse IP office 365
- Azure
- Redimensionner disque sur VM Azure
- App Password (ADOC)
- Utilisateur Invité
- Powershell Azure : check IP disponible
- Renouvellement Certificat et Jeton Apple sur MDM
- MFA - Désactivation application Authenticator
- Active Directory
Windows Server
Création Cluster FAIL OVER
Nous devons d'abord installé les features sur les serveurs sur lesquels aura lieu le cluster
Pour ça lancer le Server Manager allez dans Manage > Add Roles and Features
Faire NEXT jusque Features, sélectionner clustering de basculement et Add Features
Faire NEXT puis cocher Restart si requis puis faire YES
Appuyer sur Install et attendre la fin de l'installation et le redémarrage
Une fois le redémarrage effectué, nous allons le configurer.
pour accéder à la gestion, nous allons dans server manager > outils > Failover Cluster Manager
Sélectionner Validate Configuration pour tester la connexion entre les serveurs
Rajouter les noms des serveurs (ne pas prendre en compte le nom PegaseHA serveur déjà configure)
puis faire suivant
Selectionner l'option Exécuter uniquement
Décocher les Espaces de stockage direct puis faire Suivant
Si il n'y a pas d'erreur faire terminer
Maintenant créons le cluster en sélectionnant créer le cluster, puis ajouter le nom du serveur
Définissez le nom de Votre cluster, puis ajouter l'adresse VIP qui vous servira pour le cluster dans Address
Faire Suivant jusqu’à la création du cluster.
Nous allons maintenant ajouter le 2e serveur, ouvrir votre cluster puis allez dans Nœuds et faire ajouter un nœud
Rajouter le 2e serveur et faire suivant jusqu’au bout
Si vous souhaitez changer votre Master, faites un clic droit sur le nom de votre cluster > autres actions > déplacer les ressources principales... > sélectionnez un nœud...
Sélectionnez le serveur sur lequel vous souhaiter basculer puis faites ok
Event Arrêt Redémarrage système
L'event ID Système 12 Kernel-General définit l'heure du démarrage du système :
L'event ID Système 1074 User32 définit le processus à l'origine de l'arrêt ou redémarrage du système :
En cas de crash, cet évènement n'est pas présent
SYSVOL non synchronisé
Get-Service -ComputerName $MachineName -Name "NtFrs" | Stop-Service ?
Set-Service -Computer $MachineName -Name "NtFrs" -StartupType "Disabled" ?
net stop ntfrs
repadmin /siteoptions /Site:Premier-Site-par-defaut +IS_AUTO_TOPOLOGY_DISABLED
Réplication de cette information de topologie
net start ntfrs
net start ntfrs
repadmin /siteoptions /Site:Premier-Site-par-defaut -IS_AUTO_TOPOLOGY_DISABLED
Réparation BCD (BOOT CONFIGURATION DATA)
UEFI boot : /EFI/Microsoft/Boot/BCD
BIOS boot : /boot/BCD sur la partition active
Avant de démarrer sur l'iso d'installation de Windows Server 2012:
réaliser un backup du BCD (Backup Boot Configuration Data)
bcdedit /export "emplacement à renseigner.bcd"
Lancer le boot de l'iso en mode réparation avec les lignes de commandes.
Lancer les commandes :
diskpart
list disk
select disk [numero_disk]
list partition
list volume
detail disk pour vérifier les disques actifs
identifier la lettre où est installé la partition windows (dans le cas de srvtech, il s'agissait du disque D)
sfc /SCANNOW /OFFBOOTDIR=D:\ /OFFWINDIR=D:\windows
bootrec /rebuildbcd
BOOTREC /FIXMBR
bootrec /fixboot
Commande la plus importante et la plus délicate : (/v : verbose)
Add a boot entry for your Windows partition
bcdboot D:\windows /v
bootsect.exe /nt60 all /force
sfc /SCANNOW /OFFBOOTDIR=D:\ /OFFWINDIR=D:\windows
Reset complet de WSUS
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientIdValidation /f
regsvr32 /s atl.dll
regsvr32 /s wucltui.dll
regsvr32 /s wups.dll
regsvr32 /s wuaueng.dll
regsvr32 /s wuapi.dll
regsvr32 /s msxml3.dll
regsvr32 /s mssip32.dll
regsvr32 /s initpki.dll
regsvr32 /s softpub.dll
net start wuauserv
wuauclt /resetauthorization /detectnow
Suite à ce reset, il peut être nécessaire de lancer 4 à 5 recherches avant de ne plus avoir d'erreur.
Stop-Service -Name BITS, wuauserv -Force Remove-ItemProperty -Name AccountDomainSid, PingID, SusClientId, SusClientIDValidation -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\ -ErrorAction SilentlyContinue Remove-Item "$env:SystemRoot\SoftwareDistribution\" -Recurse -Force -ErrorAction SilentlyContinue Start-Service -Name BITS, wuauserv wuauclt /resetauthorization /detectnow (New-Object -ComObject Microsoft.Update.AutoUpdate).DetectNow()
Retention logs Task-Scheduler (planificateur de tâches)
Serveur ne remonte pas dans WSUS
Certains serveurs ne remontent pas dans la console WSUS. Cependant la GPO est bien appliquée.
Cet anomalie est dû à une clef de registre qui est identique sur les différents serveurs.
La clef est SusClientId --> elle se trouve ici : HKLM\Software\Microsoft\Windows\Current Version\Windows update
Pour remédier au problème, sur le serveur à ajouter :
- Arrêter le service windows update
- Supprimer la clef SusClientId
- Exécuter
wuauclt.exe /resetauthorization /detectnow
Vérifier le lendemain que le serveur est bien remonté sur la console WSUS
Ce problème est dû au fait de cloner des VM ou d’utiliser des P2V. Pensez à lancer un sysprep à l'issue
Pensez à vérifier que les nouvelles machines que vous installez remontent bien dans WSUS.
Les machines remontent automatiquement dans la console après 24h maximum.
WSUS Reset Windows Update Tool
Outil de diagnostic (troubleshooting) pour réparer des problèmes liés à Windows Update.
Reset-Windows-Update-Tool aka wureset
https://github.com/wureset-tools
Lien de téléchargement :
https://wureset.com/downloads/
Features
The Reset Windows Update Tool provides the following features:
Resetting Windows Update components to their default settings
Deleting temporary files to free up disk space
Changing invalid values in the Windows Registry to ensure smooth operation
Scanning and repairing protected system files that may be corrupted using the "sfc /scannow" command
Detecting and repairing corruptions in the Windows system image
Cleaning up superseded components to optimize system performance and free up disk space
https://docs.wureset.com/diagnostic/
Limitation Shadowcopy
Clic droit sur le lecteur, propriétés, onglet shadow copies:
Temporairement mettre une limite
Powershell
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=1GB
vssadmin list shadowstorage
vssadmin delete shadows /for=c: /oldest
Erreur Création Cluster
ERROR THE COMPUTER “SERVERNAME.DOMAIN” IS JOINED TO A CLUSTER
Disable Cluster Services dans services.msc
Puis utiliser la Commande Clear-ClusterNode
Powershell / CMD
Mail List
import csv
import smtplib
from email.mime.text import MIMEText
# Define the email parameters
sender_email = 'your_email@example.com'
sender_password = 'your_email_password'
subject = 'Update your password'
message_template = '''\
Dear {name},
Please update your password for our service. You can do this by logging into your account and changing your password.
Thank you,
The Service Team
'''
# Read the CSV file and send an email to each user
with open('user_data.csv') as file:
reader = csv.reader(file)
next(reader) # Skip header row
for row in reader:
# Extract user data
name, email = row
# Create the email message
message = message_template.format(name=name)
email_message = MIMEText(message)
email_message['Subject'] = subject
email_message['From'] = sender_email
email_message['To'] = email
# Connect to the SMTP server and send the email
with smtplib.SMTP('smtp.gmail.com', 587) as server:
server.starttls()
server.login(sender_email, sender_password)
server.sendmail(sender_email, email, email_message.as_string())
print(f'Sent email to {name} ({email})')
Etat des lieux d'un service Windows
Listage de l'état d'un service sur l'ensemble des serveurs Windows d'un domaine
Le compte de la machine ne doit pas être désactivé et il doit répondre au ping
Dans ce cas, il s'agit du service 'spooler'
# Autor : JHAF
# Service à check
$Service = 'spooler'
# Horadatage pour CSV
$DateJour = Get-Date -Uformat %Y%m%d_%H%m
# Initialisation des variables en Array
$Report = @()
$Spoolers = @()
# Liste des serveurs Windows avec une compte actif
$Servers = Get-ADOrganizationalUnit -Filter * | ForEach-Object { Get-ADComputer -Filter 'operatingSystem -like "*Windows Server*" -and userAccountControl -notlike "4098"' -SearchBase "$_" -SearchScope OneLevel } | Select-Object DNSHostName, Name, SID
#$Servers | Out-GridView
# Test si les serveurs sont UP
foreach($Server in $Servers){
$pingtest = Test-Connection -ComputerName $Server.DNSHostName -Quiet -Count 1 -ErrorAction SilentlyContinue
if($pingtest){
#Write-Host $Server.DNSHostName " is reachable"
$Spoolers += Get-ADComputer -Identity $Server.Name | Select-Object DNSHostName, Name, SID
}
else{
#Write-Host $Server.DNSHostName " is not reachable"
}
}
#$Spoolers | Out-GridView
# Récupération des infos du service Spooler pour chaque serveur UP
foreach ($Spooler in $Spoolers) {
$Status = Get-Service -ComputerName $Spooler.Name -Name $Service | Select-Object MachineName, Name, Status
$Startup = Get-WmiObject -Computer $Spooler.Name -Class Win32_Service -Property StartMode -Filter "Name='$Service'"
$Report += [PSCustomObject]@{
MachineName = $Status.MachineName
Name = $Status.Name
Status = $Status.Status
StartMode = $Startup.StartMode
}
}
$Report | Out-GridView
#$Report | Export-Csv -Path C:\script\Audit\2022\1032\${DateJour}_Get-Spooler_Status.csv -NoTypeInformation -Encoding UTF8 -Delimiter ';'
Arrêt puis désactivation du démarrage auto d'un service sur l'ensemble des machines Windows listé dans un CSV
WinRM doit fonctionner depuis la machine qui lance le script (notamment les flux RPC doivent être ouverts)
Dans ce cas, il s'agit du service 'spooler'
# Horadatage pour CSV
$DateJour = Get-Date -Uformat %Y%m%d_%H%m
# Service à stop et check
$Service = 'spooler'
# Initialisation des variables en Array
$Report = @()
# Fichier CSV à faire à la main pour import
$SpoolersStop = Import-Csv C:\script\Audit\2022\1032\Stop-Spoolers.csv -Delimiter ';'
# Arrêt du service et Désactivation du démarrage auto
foreach ($Spooler in $SpoolersStop) {
Get-Service -ComputerName $Spooler.MachineName -Name "spooler" | Stop-Service
Set-Service -Computer $Spooler.MachineName -Name "spooler" -StartupType "Disabled"
}
# Récupération des infos du service Spooler pour chaque serveur UP
foreach ($Spooler in $Spoolers) {
$Status = Get-Service -ComputerName $Spooler.Name -Name $Service | Select-Object MachineName, Name, Status
$Startup = Get-WmiObject -Computer $Spooler.Name -Class Win32_Service -Property StartMode -Filter "Name='$Service'"
$Report += [PSCustomObject]@{
MachineName = $Status.MachineName
Name = $Status.Name
Status = $Status.Status
StartMode = $Startup.StartMode
}
}
#$Report | Out-GridView
$Report | Export-Csv -Path C:\script\Audit\2022\1032\${DateJour}_Stop-Spoolers_Check.csv -NoTypeInformation -Encoding UTF8 -Delimiter ';'
Export Liste fichier
$filepath = "E:\liste_fichiers_exe.csv"
Get-ChildItem -Path E:\ -Recurse -Filter *.exe | Select-Object FullName | Export-Csv -Path $filepath -NoTypeInformation
Extract AD pc non connecté
$DaysInactive = 60
$InactiveDate = (Get-Date).AddDays(-$DaysInactive)
$ExportFile = "C:\temp\InactiveComputers.csv"
$Computers = Get-ADComputer -Filter * -Properties LastLogonDate, Description
$InactiveComputers = $Computers | Where-Object { $_.LastLogonDate -lt $InactiveDate }
$InactiveComputerDataWithUser = foreach ($computer in $InactiveComputers) {
$computerName = $computer.Name
$description = $computer.Description
$lastLogon = $computer.LastLogonDate
$lastLogonUser = Get-ADUser -Filter "SamAccountName -eq '$($computer.SamAccountName)'" -Property SamAccountName |
Select-Object -ExpandProperty SamAccountName
[PSCustomObject]@{
ComputerName = $computerName
Description = $description
LastLogonDate = $lastLogon
User = $lastLogonUser
}
}
$ExportDescription = "List of inactive computers that have not logged on in the last $DaysInactive days."
$InactiveComputerDataWithUser | Export-Csv -Path $ExportFile -NoTypeInformation -Append
Add-Content -Path $ExportFile -Value "`nDescription: $ExportDescription"
Suppression de dossier à partir d'un export
$csvFilePath = "le fichier csv"
$folderNameColumn = "le nom de la colonne"
$directoryPath = "le chemin\"
# Read the CSV file
$csvData = Import-Csv -Path $csvFilePath
# Delete folders
$csvData | ForEach-Object {
$folderName = $_.$folderNameColumn
$folderPath = Join-Path -Path $directoryPath -ChildPath $folderName
if (Test-Path -Path $folderPath -PathType Container) {
try {
Remove-Item -Path $folderPath -Recurse -Force
Write-Host "Deleted folder: $folderName"
}
catch {
Write-Host "Failed to delete folder: $folderName - $_"
}
}
else {
Write-Host "Folder not found: $folderName"
}
}
AD extract exclusion
# Importer le module Active Directory
Import-Module ActiveDirectory
# Spécifier le chemin de sortie pour le fichier CSV
$cheminSortie = "C:\temp\utilisateurs.csv"
# Définir les filtres pour exclure les OU spécifiées
$ouExclues =
"OU=***,DC=domaine,DC=com",
"OU=***,DC=domaine,DC=com",
"OU=***,DC=domaine,DC=com"
# Récupérer tous les utilisateurs en excluant les OU spécifiées et inclure le nom canonique de l'OU
$utilisateurs = Get-ADUser -Filter * -Property EmailAddress |
Where-Object { $ouExclues -notcontains $_.DistinguishedName } |
Select-Object SamAccountName, GivenName, Surname, EmailAddress, Department,
@{Name="NomCanoniqueOU"; Expression={($_.DistinguishedName -split "(?<=^.*,OU=)")[1] -replace "(?<=^.*,OU=)(.*)", '$1'}}
# Exporter les résultats au format CSV
$utilisateurs | Export-Csv -Path $cheminSortie -NoTypeInformation
Suppression user CSV
# Importer le contenu du fichier CSV
$csvPath = "chemin_vers_le_fichier\fichier.csv"
$csvData = Import-Csv -Path $csvPath
# Parcourir chaque ligne du fichier CSV
foreach ($row in $csvData) {
$logon = $row.logon
# Vérifier si le compte existe dans Active Directory
if (Get-ADUser -Filter "SamAccountName -eq '$logon'") {
# Supprimer le compte Active Directory
Remove-ADUser -Identity $logon -Confirm:$false
Write-Host "Le compte $logon a été supprimé."
} else {
Write-Host "Le compte $logon n'a pas été trouvé dans Active Directory."
}
}
Extract nom de dossier
# Get the folder names
$directory = "C:\Path\to\Directory"
$folderNames = Get-ChildItem -Path $directory -Directory | Select-Object -ExpandProperty Name
# Specify the output file path
$outputFilename = "C:\Path\to\output.csv"
# Export the folder names to CSV
$folderNames | Export-Csv -Path $outputFilename -NoTypeInformation
Write-Host "Folder names exported to $outputFilename."
Crypt password + line to add on script
Nous devons d'abord transformer notre mot de passe en SecureString pour que celui-ci ne soit pas utilisé en clair
ConvertTo-SecureString -String "motdepasse" -AsPlainText -Force | ConvertFrom-SecureString
Une fois la clé obtenue, vous pouvez la mettre dans le fichier qui servira pour votre script
et ajouter les lignes ci dessous pour l'executer
$cryptPass = get-content "$(split-path $Script:MyInvocation.Mycommand.Path)\nomdufichier.txt" # cette commande permet d'executer le nom du fichier à lire, qui est supposé être dans le même répertoire que le script.
$SecPass = ConvertTo-SecureString -String $cryptPass #cette ligne permet de transformer en objet powershell le mdp Crypte
O365 / EXCHANGE
Tracking Mail
Search-Mailbox -Identity <mailbox> -SearchQuery 'From:"adresse mail" AND Sent:"today"'
Get-MessageTrackingLog -Server SERVERNAME -Start (Get-Date).Date -End (Get-Date).AddDays(1) -Sender "mail utilisateur" -ResultSize Unlimited | Select-Object Timestamp,Sender,Recipients,MessageSubject,EventId
$hub | %{Get-MessageTrackingLog -Server SERVER -Sender *@mail.fr -Recipients "*@mail.fr" -start "11/15/2022 00:00:00" -end "11/22/22 00:00:00" } | fl
$hub | %{Get-MessageTrackingLog -Server SERVER -Sender *@mail.fr -Recipients "*@mail.fr" -start "11/15/2022 00:00:00" -end "11/22/22 00:00:00" } | fl
Règle CC automatique
Cliquez sur Oui.
Désormais, chaque fois que vous envoyez un message, qu’il s’agisse d’un nouveau message, d’une réponse ou d’un message que vous transférez, les personnes ou les groupes que vous avez spécifiés dans la règle sont automatiquement ajoutés en tant que destinataires Cc. Vous ne voyez pas les noms des personnes ou des groupes dans la ligne Cc pendant la rédaction du message, mais tout destinataire de celui-ci peut les voir.
Partage calendriers
Pour permettre le partage de calendriers, cette option doit être activée pour les utilisateurs à autoriser la fonction de partage de leurs calendriers.
Une fois cette option activée, il est possible de partager leurs calendriers avec n’importe qui à l’intérieur ou à l’extérieur de l’organisation.
Les personnes externes recevront un lien URL pour visualiser le calendrier partagé. Les utilisateurs peuvent décider quand et ce qu’ils veulent partager avec le calendrier partagé.
Voici la configuration actuelle concernant le partage des calendriers sur votre Tenant M365.
Donc oui, les utilisateurs peuvent partager leurs calendriers avec des personnes externes.
La procédure de Microsoft décrite ainsi explique les fonctions de partage de calendrier pour Outlook sur le Web ou via l’application Outlook :
https://support.microsoft.com/fr-fr/office/partager-votre-calendrier-dans-outlook-sur-le-web-7ecef8ae-139c-40d9-bae2-a23977ee58d5
Liste de Diffusion
Pour information, dans le cas où une LDD comprend des destinataires externes qui ne reçoivent pas les emails (les destinataires internes recevant bien les mails)
Avec une erreur sur Exchange : 550 5.5.0 « Sender domain is empty »
il faut renseigner le champ ReportToOriginator à « True » sur le compte de la LDD
Si LDD O365 :
Set-DistributionGroup "<DistributionGroupName>" -ReportToOriginatorEnabled $true
Si LDD sur l’AD OnPremise synchronisé :
Restaurer des mails supprimés d'une boîte aux lettres
(Exemple) Lister les actions de suppression sur une boîte mail :
search-mailboxauditlog nom_boite@xxx.com -StartDate 24/02/2023 -EndDate 25/02/2023 -ShowDetails | select LogonUserDisplayname, Operation, SourceItemSubjectsList, SourceItemFolderPathNamesList, LastAccessed |Export-Csv -path "chemin_sauvegarde_du_csv" -NoTypeInformation -encoding UTF8 -Delimiter ';'
Commande pour restaurer les fichiers d'une période :
Restore-RecoverableItems -Identity nom_boite@xxx.com -FilterItemType IPM.Note -FilterStartTime "25/02/2023 12:00:00 AM" -FilterEndTime "25/02/2023 11:59:59 PM"
Lister les fichiers récupérables :
Get-RecoverableItems -Identity nom_boite@xxx.com -FilterItemType IPM.Note -FilterStartTime "25/02/2023 05:00:00 PM" -FilterEndTime "25/02/2023 6:00:00 PM" | Export-Csv -path "chemin_sauvegarde_du_csv -NoTypeInformation -encoding UTF8 -Delimiter ';'
Référence : https://o365info.com/restoring-deleted-mail-items-using-the-powershell-cmdlet-restore-recoverableitems-3-3/
Deuxième exemple pour procéder :
#Rechercher les actions effectuées sur la boîte email
search-mailboxauditlog snom_boite@xxx.com -StartDate 19/08/2023 -EndDate 21/09/2023 -ShowDetails | select LogonUserDisplayname, Operation, SourceItemSubjectsList, SourceItemFolderPathNamesList, LastAccessed |Export-Csv -path "chemin.csv" -NoTypeInformation -encoding UTF8 -Delimiter ';'
#Rechercher les éléments récupérables
Get-RecoverableItems -Identity nom_boite@xxx.com -FilterItemType IPM.Note -FilterStartTime "19/08/2023 00:00:00 AM" -FilterEndTime "21/09/2023 3:00:00 PM" | Export-Csv -path "chemin.csv" -NoTypeInformation -encoding UTF8 -Delimiter ';'
#Restaurer les éléments récupérables avec les filtres indiqués
Restore-RecoverableItems -Identity "nom_boite@xxx.com" -FilterItemType IPM.Note -SourceFolder RecoverableItems -FilterStartTime "5/9/2023 08:00:00 AM" -FilterEndTime "21/9/2023 10:00:00 AM" -LastParentFolderID 3080818B42A7F744A370ADD0B007547400000000010C -RestoreTargetFolder /Restauration_I230920_242
#Obtenir les dossiers dans la boîte de réception et retrouver le dossier de restauration
Get-MailboxFolderStatistics "nom_boite@xxx.com" | ft name,folderpath
Blocage adresse IP office 365
Se connecter à l’interface Admin.
Aller dans l’onglet Centres d’administration et cliquer sur Sécurité.
Aller dans Stratégies et règles.
Puis cliquer sur Stratégie de menace.
Cliquer ensuite sur Logiciel anti-courrier indésirable.
Dans le nouvel onglet, ouvrir Stratégie de filtrage des connexions et Modifier la stratégie.
Comment modifier la stratégie de filtrage de connexion ?
Cliquer sur modifier la stratégie de filtre de connexion
Ajouter l'adresse IP puis Enregistrer
Azure
Redimensionner disque sur VM Azure
Au préalable il est recommandé de vérifier dans quelle catégorie de taille se trouvera le disque après modifications, un changement de catégorie ou performance entraine une facturation différente pour le client.
App Password (ADOC)
Il faut activer la MFA pour le compte souhaité en allant sur la fiche utilisateur
Dans le Centre d'Administartion MS 365 > Utilisateurs Actifs
Cliquer sur l'utilisateur puis Gérer l'authentification multifacteur
Activer sur l'utilisateur
Appliquer sur l'utilisateur
Se connecter au Webmail
Des infos supplémentaires sont demandé dès la première connexion
Entrer votre numéro de tél pour la MFA
Entré le code d'authentification reçu par SMS
Copier le App Password dans le KeePass
Utilisateur Invité
Se connecter au Tenant et bien vérifier que c'est bien le bon
Dans Groups and Roles,
Bien sélectionner un groupe si besoin et/ou un Role si besoin
Dans cette exemple, l'utilisateur est un prestataire qui nous a confirmé qu'il a besoin de gérer les applications donc il est Application Admin.
Si on vous demande Global Admin, faire confirmer les besoins réels et validé par le DSI (ou équivalent) en lui expliquant les impacts
Le reste des champs est optionnel
Block sign in bloquera la connexion au tenant.
Les autres infos, si vous les avez renseignez les.
Powershell Azure : check IP disponible
Au besoin, pour savoir si une ip est disponible sur Azure :
Connect-AzAccount
Puis
Get-AzVirtualNetwork -Name NOMduVNET -ResourceGroupName RESSOURCEGROUP| Test-AzPrivateIPAddressAvailability -IPAddress IPàTESTER
Renouvellement Certificat et Jeton Apple sur MDM
MFA - Désactivation application Authenticator
Microsoft force actuellement les utilisateurs à enregistrer l'application Authenticator comme méthode d'authentification via des campagnes.
Voici les étapes à suivre pour désactiver (temporairement) cette méthode :
Se connecter sur Azure et accéder à la page Accueil > Sécurité | Authentification multifacteur.
Cliquer ensuite sur paramètres d'authentification multifacteur supplémentaires basés sur le cloud.
Sur la page qui s'ouvre, décocher la "Notification via l'application mobile" et valider en enregistrant :
Ensuite, se rendre sur la page "Accueil > Méthodes d'authentification" puis cliquer sur "Campagne d'inscription" et modifier.
Changer l'état sur "Désactivée" puis valider.
Active Directory
GPO STRATEGIES MDP
accédez à votre outil de gestion des stratégies de groupes, Group Policy Management, et rendez-vous sur les onglets Domains > Default Domain Policy
Computer Configuration > Policies > Windows Settings > Security Settings > Password Policy.
Autre interface
Modification des permissions du compte AD DS connector pour la synchronisation de hashage de mot de passe
Le module RSAT-AD-Tools est nécessaire pour exécuter les commandes.
Commande pour installer le module via powershell :
Install-WindowsFeatureRSAT-AD-Tools
Pour utiliser ADSyncConfig, chargez le module :
Import-Module"C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Vérifiez si les modules sont bien chargés :
Get-Command -ModuleAdSyncConfig
To set permissions for the AD DS Connector account when using Password Hash Synchronization, run:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName<String> -ADConnectorAccountDomain<String> [<CommonParameters>]
Dans notre cas, la commande suivante avait été lancée pour cxpm :
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName "zzAADConnect" -ADConnectorAccountDomain cxpm.local