Microsoft 365 Backup

Une des grandes annonces du dernier Ignite portait sur l’introduction d’une solution native de sauvegarde 365, appelée Microsoft 365 Backup. Attendue depuis de nombreuses années et faisant la part belle aux solutions tierces, voyons ce que ce nouveau venu propose puisque la préversion publique est ouverte depuis maintenant une semaine.

Oui, Microsoft 365 Backup est en préversion depuis une semaine et son déploiement se fait progressivement sur l’ensemble des tenants du Cloud Public de Microsoft. Cette approche est d’ailleurs similaire à celle utilisée lors du déploiement de Microsoft 365 Archive, dont je vous invite à lire l’article ici. Aucune date de GA n’a encore été annoncée si ce n’est pour 2024.

Quelles sont les termes et conditions de Microsoft 365 Backup ?

Le lien officiel Microsoft est disponible juste ici. On peut résumer les points suivants :

  • Fonctionnalités en préversion
  • Microsoft 365 Backup permet de sauvegarder des objets des services suivants :
    • des comptes OneDrive
    • des sites SharePoint
    • des boîtes mails Exchange Online
  • Nécessite une souscription Azure
  • Tarif à la consommation (PAYG) actuel de 0,15 $/Go/Mois

Microsoft a déjà à disposition une première FAQ.

Quelles sont les limites de la préversion de Microsoft 365 Backup ?

Le lien officiel Microsoft est disponible juste . On peut résumer les points suivants :

  • Performances potentiellement dégradées
  • Une seule police de sauvegarde par service :
    • OneDrive
    • SharePoint
    • Exchange Online
  • Limitations renforcées pour éviter l’engorgement des ressources Microsoft

Combien coûte Microsoft 365 Backup ?

Une sauvegarde IT est rarement gratuite, elle peut même vite représenter des coûts très importants. Pour Microsoft 365 Backup, le seul prix actuel connu est celui de la préversion, à savoir $0.15/Go de données sauvegardées.

Le volume total de données sauvegardées est la somme des boîtes Outlook protégées, des sites SharePoint protégés et des comptes OneDrive protégés.

Pour vous aider à estimer vos coûts, Microsoft a mis un disposition un Calculateur dédié à Microsoft 365 Backup sous format Excel. Vous pouvez alimenter cette feuille Excel en lisant cette notice et en vous basant sur les usages de votre tenant :

Il est à noter que la volume total dépendra également de la rétention de données anciennes sauvegardées. Autrement dit, une grosse boite mail supprimée continuera d’impacter les sauvegardes et donc les coûts sur plusieurs mois.

Existe-t-il des limitations à la sauvegarde / restauration ?

Actuellement, chacun des 3 services dispose des limites suivantes :

  • SharePoint :
    • Fréquences des sauvegardes (< 14 jours) : toutes les 15 minutes
    • Fréquences des sauvegardes (> 14 jours) : toutes les semaines
    • Durée de rétention : 1 année
    • Tâches de restauration actives (max) : 25
    • Sites en cours de restauration dans le cadre de tâches de restauration actives (max) : 1000
    • Nombre total de sites restaurés (actifs et achevés) aujourd’hui (max) : 10000
  • Exchange :
    • Fréquences des sauvegardes : toutes les 10 minutes
    • Durée de rétention : 1 année
    • Tâches de restauration actives (max) : 25
    • Boîtes aux lettres d’utilisateurs restaurées dans le cadre de tâches de restauration actives (max) : 1000
    • Nombre total de boîtes aux lettres restaurées (actives et terminées) aujourd’hui (max) : 10000
  • OneDrive :
    • Fréquences des sauvegardes (< 14 jours) : toutes les 15 minutes
    • Fréquences des sauvegardes (> 14 jours) : toutes les semaines
    • Durée de rétention : 1 année
    • Tâches de restauration actives (max) : 25
    • Comptes en cours de restauration dans les tâches de restauration actives (max) : 1000
    • Nombre total de comptes restaurés (actifs et terminés) (max) : 10000

Pourrons-nous suivre les coûts de Microsoft 365 Backup ?

Mon hypothèse est que les coûts seront visibles de la même manière que les autres ressources Azure, via le Cost Management :

Comme toujours je vous propose de réaliser un petit exercice sur le sujet :

Commençons par un bref rappel des prérequis.

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice sur Microsoft 365 Backup, il vous faudra disposer de :

  • Un tenant Microsoft
  • Une souscription Azure valide

Dans mon cas, j’ai utilisé un tenant Microsoft 365 disposant de licences Microsoft 365 E5 issues de la plate-forme CDX. J’y ai ensuite rajouté une souscription Azure MSDN.

Etape I – Préparation de l’environnement Azure :

Avant de pouvoir tester cette fonctionnalité, il est nécessaire de créer un groupe de ressources sur votre souscription Azure pour y stocker les sauvegardes 365.

Une fois la validation Azure réussie, lancez la création, puis attendez environ 1 minute :

Et c’est tout, rien de plus n’est nécessaire du côté d’Azure ! La suite va se passer du côté de Microsoft 365.

Etape II – Activation de la fonction de sauvegarde :

Recherchez la rubrique suivante, puis cliquez dessus :

Commencez par cliquez ici pour configurer Syntex, alias SharePoint Premium :

Sélectionnez la souscription Azure de votre choix :

Reprenez le groupe de ressources Azure créé précédemment, puis choisissez la localisation des sauvegardes :

Cochez la case des conditions d’utilisation et de facturation, puis cliquez sur Sauvegardez :

Attendez environ 1 minute que Microsoft finalise la configuration de votre tenant :

La notification suivante apparaît alors sur ce même onglet :

Cliquez ensuite sur ce lien pour visualiser la liste des services disponibles :

Vérifiez que la fonction de sauvegarde est bien présente, puis cliquez dessus :

Activez la fonction de sauvegarde comme ceci :

Confirmez votre choix après avoir lu au besoin les termes et conditions du service :

La mise en route est maintenant terminée, il ne nous reste plus qu’à configurer les polices de sauvegarde en cliquant ici :

Commençons par le service Exchange.

Etape III – Police de sauvegarde Exchange :

Retrouvez toutes les polices de sauvegarde 365 depuis cette page disponible sur la console d’administration :

Cliquez-ici pour configurer la police de sauvegarde d’Exchange :

Cliquez sur Suivant :

Intégrés les comptes Outlook à protéger, puis cliquez sur Suivant :

Prenez en compte la politique de sauvegarde non modifiable, puis cliquez ici pour créer la police :

Attendez quelques secondes pour finaliser la création de la police :

La police est maintenant créée, attendez quelques minutes la mise en application de celle-ci sur votre tenant :

Quelques minutes plus tard, le statut est passé sur actif, cliquez-ici pour voir les options :

Il est possible de mettre en pause la police, cliquez-ici pour rajouter un compte Exchange :

Constatez le nouveau traitement une fois un autre compte exchange rajouté :

Continuons avec la police de sauvegarde SharePoint.

Etape IV – Police de sauvegarde SharePoint :

Cliquez-ici pour configurer la police de sauvegarde SharePoint :

Cliquez sur Suivant :

Intégrés les sites SharePoint à protéger, puis cliquez sur Suivant :

Prenez en compte la politique de sauvegarde non modifiable, puis cliquez ici pour créer la police :

Attendez quelques secondes pour finaliser la création de la police :

La police est maintenant créée, cliquez-ici pour revenir sur la page précédente :

Attendez quelques minutes la mise en application de celle-ci sur votre tenant :

Terminons par la police de sauvegarde OneDrive.

Etape V – Police de sauvegarde OneDrive :

Cliquez-ici pour configurer la police de sauvegarde OneDrive :

Cliquez sur Suivant :

Intégrés les comptes OneDrive à protéger, puis cliquez sur Suivant :

Prenez en compte la politique de sauvegarde non modifiable, puis cliquez ici pour créer la police :

Attendez quelques secondes pour finaliser la création de la police :

La police est maintenant créée, cliquez-ici pour revenir sur la page précédente :

La police est maintenant créée, attendez quelques minutes la mise en application de celle-ci sur votre tenant :

Commençons les tests de restauration.

Etape VI – Restauration de mails Outlook :

Commençons par supprimer quelques mails depuis Outlook stockés dans la boite de réception :

Supprimez ces mêmes mails Outlook depuis la corbeille :

Supprimez enfin ces mêmes mails Outlook depuis la seconde corbeille :

Attendez au minimum 10 minutes

Retournez sur la page Microsoft 365 Backup du portail d’administration 365, puis cliquez-ici pour entamer la restauration :

Conservez le choix du service à restaurer, puis cliquez sur Suivant :

Choisissez les objets à restaurer parmi la liste disponible, puis cliquez sur Suivant :

Définissez le fuseau horaire et la sauvegarde la plus proche, puis cliquez sur Suivant :

Affinez votre sauvegarde en cliquant ici :

Choisissez un point de restauration antérieur à l’évènement, puis cliquez sur Sauvegarder :

Cliquez sur Suivant :

Choisissez la méthode de restauration, puis cliquez sur Suivant :

Cliquez-ici pour démarrer le travail de restauration :

La tâche de restauration est prise en compte, cliquez-ici pour revenir sur la page précédente :

Il ne reste plus qu’à patienter :

Quelques minutes plus tard, le statut de la restauration a changé :

Le dossier est bien visible côté utilisateur et ce dernier contient bien les mails précédemment supprimés :

Continuons avec la restauration SharePoint.

Etape VII – Restauration de sites SharePoint :

Retournez sur la page Microsoft 365 Backup du portail d’administration 365, puis cliquez-ici pour entamer la restauration :

Conservez le choix du service à restaurer, puis cliquez sur Suivant :

Choisissez les objets à restaurer parmi la liste disponible, puis cliquez sur Suivant :

Définissez le fuseau horaire et la sauvegarde la plus proche, puis cliquez sur Suivant :

Affinez si besoin votre sauvegarde en cliquant ici :

Choisissez la méthode de restauration, puis cliquez sur Suivant :

Cliquez-ici pour démarrer le travail de restauration :

La tâche de restauration est prise en compte, cliquez-ici pour revenir sur la page précédente :

Il ne reste plus qu’à patienter :

Quelques minutes plus tard, le statut de la restauration a changé :

Un tour dans la console d’administration SharePoint nous affiche le nouveau site restauré :

Le site SharePoint est bien accessible depuis son URL en mode lecture seule :

Dans cette méthode, il ne restera qu’aux utilisateurs de récupérer le contenu voulu.

Terminons avec la restauration OneDrive.

Etape VIII – Restauration de comptes OneDrive :

Retournez sur la page Microsoft 365 Backup du portail d’administration 365, puis cliquez-ici pour entamer la restauration :

Conservez le choix du service à restaurer, puis cliquez sur Suivant :

Choisissez les objets à restaurer parmi la liste disponible, puis cliquez sur Suivant :

Définissez le fuseau horaire et la sauvegarde la plus proche, puis cliquez sur Suivant :

Affinez si besoin votre sauvegarde en cliquant ici :

Choisissez la méthode de restauration, puis cliquez sur Suivant :

Cliquez-ici pour démarrer le travail de restauration :

La tâche de restauration est prise en compte, cliquez-ici pour revenir sur la page précédente :

Il ne reste plus qu’à patienter :

Quelques minutes plus tard, le statut de la restauration a changé :

Un clic sur cette ligne ne semble pas encore afficher l’URL du site OneDrive recréé :

Je suis passé par le script PowerShell suivant pour obtenir l’URL du site restauré :

$TenantUrl = Read-Host "Enter the SharePoint admin center URL"
$LogFile = [Environment]::GetFolderPath("Desktop") + "\OneDriveSites.log"
Connect-SPOService -Url $TenantUrl
Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" | Select -ExpandProperty Url | Out-File $LogFile -Force
Write-Host "Done! File saved as $($LogFile)."

L’URL du nouveau site était donc écrite comme ceci :

https://XXXX.sharepoint.com/personal/YYYYYYYR0

Le nouveau site OneDrive était bien accessible et présentant le même contenu :

Cette seconde commande PowerShell permet de supprimer le site restauré :

Remove-SPOSite -Identity "https://XXXXX-my.sharepoint.com/personal/YYYYYYYR0" -NoWait

Conclusion

Cette nouvelle approche simplifiée de la sauvegarde de données 365 devraient faciliter la vie à pas mal de monde, que ce soient les utilisateurs ou les équipes IT. Même si les options sont encore assez limitées dans cette préversion, nul doute que d’autres vont être proposées afin d’être aussi compétitif que les leaders du marché 😎

Microsoft 365 Archive 💾

Oubliez Syntex, appelez-le maintenant SharePoint Premium ! Plein de nouvelles fonctionnalités ont été annoncées durant cette année folle, et se finalement sont concrétisées durant le Microsoft Ignite de 2023. Office 365 n’est d’ailleurs pas en reste avec Copilot, Archivage ou encore Sauvegarde.

Dans cette article, je vous propose de parler de l’archivage de site SharePoint Online. Fonctionnalité sans aucun doute très attendue depuis un certain temps !

Mais avant de tester l’archivage sur un tenant de test, je vous propose de parcourir quelques notions importantes.

Quelles sont les limites d’espace de SharePoint Online ?

L’espace disponible dédié aux sites SharePoint Online est facilement consultable depuis la console d’administration du même nom :

Le volume total va dépendre du nombre de licences 365 présentes sur le tenant. Une page d’information Microsoft est disponible juste ici.

Que doit-on faire si l’espace de SharePoint Online est entièrement consommé ?

Une fois l’espace SharePoint Online entièrement consommé jusqu’à l’os, trois options s’offraient alors à vous :

Une licence d’espace comme celle ci-dessus apporte seulement 1 Go de donnée SharePoint Online supplémentaire, pour un mois ou une année, selon la période d’engagement souscrite.

Le prix public de celle-ci est environ 0.20 €, ce qui n’est pas donné quand on parle très souvent de To de données.

Qu’est-ce que SharePoint Premium ?

Le terme de SharePoint Premium a été officialisé durant le Microsoft Ignite 2023 :

Aujourd’hui, nous sommes ravis de présenter le nouveau SharePoint Premium, notre plateforme avancée de gestion de contenu et d’expériences et notre prochaine évolution pour Syntex. SharePoint Premium apporte l’IA, l’automatisation et une sécurité accrue à vos expériences de contenu, au traitement et à la gouvernance.

Avec SharePoint Premium, nous ferons la transition entre les services déjà publiés dans le cadre de Syntex, y compris SharePoint Advanced Management, pour rejoindre la famille croissante des services SharePoint, ainsi que de toutes nouvelles expériences de contenu.

Microsoft Tech Community

Qu’est-ce que Microsoft 365 Archive ?

SharePoint Online est devenu un outil indispensable dans la collaboration entre employés. Comme toute donnée, l’archivage de données anciennes est souvent nécessaire pour plusieurs raisons (légale, fiscale, IT, …)

C’est ici qu’intervient Microsoft 365 Archive :

Microsoft 365 Archive offre un stockage économique pour les sites SharePoint inactifs.

Votre organization peut avoir besoin de conserver des données inactives ou vieillissantes pendant de longues périodes au cas où vous devrez les récupérer ultérieurement.

Microsoft 365 Archive vous permet de conserver ces données inactives en les déplaçant dans un niveau de stockage froid (archive) dans SharePoint. Toutes les données archivées avec Microsoft 365 Archive auront les mêmes normes de recherche, de sécurité et de conformité appliquées automatiquement à un coût beaucoup plus réduit.

Microsoft Learn

Un site SharePoint Online archivé reste-t-il accessible aux utilisateurs ?

Non, les sites archivés ne sont pas accessibles aux utilisateurs et aux administrateurs durant cet état. Il est nécessaire de retirer l’état d’archivage sur le site concerné pour le rendre à nouveau consultable.

Combien coûte l’archivage SharePoint Online ?

Selon la documentation Microsoft, Syntex (SharePoint Premium) est facturé à la consommation (PAYG). Cette consommation sera liée à la souscription Azure renseignée lors de la configuration.

La grille tarifaire de Microsoft 365 Archive est actuellement disponible sous la forme suivante :

  • Microsoft 365 Archive ne sera facturé qu’à partir du moment où l’espace total des sites archivés et non archivés dépasse la limite de quota de stockage SharePoint online incluse ou allouée sous licence.
  • Si Microsoft 365 Archive est facturé, le prix sera de 0,05 $/Go/mois.
  • Si un site SharePoint Online est réhydraté après sept jours d’archivage, le prix sera de 0,60 $/Go réhydraté.

Pourrons-nous suivre les coûts de Microsoft 365 Archive ?

Mon hypothèse est que le coût seront visibles de la même manière que les autres ressources Azure, via le Cost Management :

Comme toujours je vous propose de réaliser un petit exercice sur le sujet :

Commençons par un bref rappel des prérequis.

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice sur Microsoft 365 Archive, il vous faudra disposer de :

  • Un tenant Microsoft
  • Une souscription Azure valide

Dans mon cas, j’ai utilisé un tenant Microsoft 365 disposant de licences Microsoft 365 E5 issues de la plate-forme CDX. J’y ai ensuite rajouté une souscription Azure MSDN.

Etape I – Préparation de l’environnement Azure :

Avant de pouvoir tester cette fonctionnalité, toujours en préversion, il est nécessaire de créer un groupe de ressources sur votre souscription Azure pour y stocker les sites SharePoint archivés.

Pour cela, rendez-vous dans le portail Azure, créez un nouveau groupe de ressources dans la région Azure de votre choix, puis lancez la validation :

Une fois la validation Azure réussie, lancez la création, puis attendez environ 1 minute :

Et c’est tout, rien de plus n’est nécessaire du côté d’Azure ! La suite va se passer du côté de Microsoft 365.

Etape II – Activation de la fonction d’archivage :

Avant de configurer la fonction d’archivage des sites SharePoint, rendez-vous dans la console d’administration pour constater l’absence de menu relatif à l’archivage :

Retournez sur la console d’administration de 365 par ce lien, puis cliquez sur le menu suivant :

Recherchez la rubrique suivante, puis cliquez dessus :

Commencez par cliquez ici pour configurer Syntex, alias SharePoint Premium :

Sélectionnez la souscription Azure de votre choix :

Reprenez le groupe de ressources Azure créé précédemment, puis choisissez la localisation des archives SharePoint Online :

Cochez la case des conditions d’utilisation et de facturation, puis cliquez sur Sauvegardez :

Attendez environ 1 minute que Microsoft finalise la configuration de votre tenant :

La notification suivante apparaît alors sur ce même onglet :

Cliquez ensuite sur ce lien pour visualiser la liste des services disponibles :

Vérifiez que la fonction d’Archivage est bien présente. Celle-ci est encore en préversion chez Microsoft à l’heure où ces lignes sont écrites :

Activez la fonction d’archivage comme ceci :

Confirmez votre choix après avoir lu au besoin les termes et conditions du service :

Le service d’archivage est bien actif, il est toujours possible de désactiver cette fonctionnalité par le bouton présent en bas de l’onglet :

La configuration côté Microsoft 365 est maintenant terminée, il ne nous reste plus qu’à tester la fonction d’archivage sur un site SharePoint Online.

Etape III – Test de la fonction d’archivage :

Retournez dans la console d’administration SharePoint Online afin de constater l’apparition d’un nouveau sous-menu consacré aux sites archivés :

Microsoft vous affiche l’espace disponible restant sur votre environnement SharePoint Online. Celui-ci dépend des licences 365 présentes sur votre tenant :

Dans la liste des sites actifs, choisissez l’un d’entre eux, puis cliquez sur la fonction Archiver :

Microsoft vous informe de l’espace actuellement alloué au site, cliquez à nouveau sur Archiver :

Microsoft vous informe des éléments qui seront archivés et d’autres qui le ne seront pas. Cliquez ici pour confirmer votre choix :

Peu de temps après, la console SharePoint Online vous informe du succès de l’archivage du site.

Toujours sur la console SharePoint Online, rendez-vous dans la liste des sites archivés :

Cliquez sur le site SharePoint Online archivé, puis cliquez sur son URL pour l’ouvrir dans un nouvel onglet :

Constatez l’apparition du message suivant au lieu de l’affichage habituel de votre site SharePoint Online :

Malgré la petite taille de mon site en exemple, notez l’absence d’actualisation du compteur d’espace SharePoint Online :

Attendez plusieurs heures avant de voir le changement s’y refléter.

Sur le portail Azure, une nouvelle ressource appelée Syntex est présente en tant qu’élément caché :

De retour sur la console SharePoint Online, il est possible de réactiver le site précédemment archivé par la fonction suivante :

Microsoft nous informe de l’absence de coût lié à notre situation récente d’archivage, cliquez sur Réactivez :

Attendez environ 1 minute que Microsoft réhydrate le site précédemment archivé :

Actualisez la page principale de votre site SharePoint Online afin d’y constater la bonne réapparition du site :

Conclusion :

On peut dire que cette fonctionnalité d’archivage SharePoint Online était attendue depuis très très longtemps ! Sa simplicité de mise en place est un véritable atout, ainsi que le prix du stockage Azure en comparaison du prix stockage live de SharePoint.

Il ne restera plus qu’à définir la politique interne pour les sites dont l’accès direct n’est plus nécessaire. A titre préventif, je recommanderai les points de sécurité suivants :

  • Création d’une souscription Azure uniquement dédiée à l’archivage des sites SharePoint.
  • Mise en place de droits RBAC restreints sur la souscription Azure.
  • Ajout de verrous de suppression sur le groupe de ressources ou la souscription Azure :

Bon archivage 😎

Défendez votre Business

A l’ère des environnements Cloud ou hybride, la façon dont on consomme la donnée a complètement changé. Maintenant, tout est question de mobilité, d’accessibilité et de collaboration. Mais cette ouverture s’accompagne aussi de risques dont les origines, humaines ou logicielles, sont intrinsèques.

Microsoft, et comme d’autres acteurs du marché, s’efforce depuis plusieurs années d’y remédier via sa suite Microsoft 365 Defender. Dans cet article, nous allons nous intéresser à une licence apparue fin 2021 : Microsoft Defender for Business.

Avant de rentrer dans le vif du sujet, je vous propose de revenir sur plusieurs grands aspects relatifs à la sécurité, dont certains font déjà l’objet d’articles sur ce blog :

A quoi servent les couches de sécurité ?

Quel que soit l’environnement IT, le principe des couches sécurité s’applique.

Comme un oignon, chaque couche de sécurité apporte des mesures, passives ou actives, empêchant ou retardant l’accès à la donnée, élément critique de l’entreprise :

Une architecture Cloud n’échappe pas non plus à cette règle, il est naif de penser que les solutions d’hébergement publics sont toutes à 100% protégées par le fournisseur. Les mesures et l’intelligence dédiée à la sécurité y sont certes plus avancées, mais plusieurs couches nécessiteront obligatoirement votre contribution.

Qu’est-ce que Microsoft 365 Defender ?

Voici comment Microsoft le définit :

Microsoft 365 Defender est une suite de défense d’entreprise pré-et post-violation unifiée qui coordonne en natif la détection, la prévention, les examens et la réponse sur les points de terminaison, les identités, les messages électroniques et les applications pour fournir une protection intégrée contre les attaques sophistiquées.

Microsoft Learn

Pour simplifier au maximum, Microsoft Defender vous propose des services de sécurité dans 4 grands domaines :

Sécurité I – Identités avec Defender for Identity :

Solution de sécurité basée sur le cloud qui tire parti de votre AD local signaux pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre votre organisation.

Sécurité II – Périphériques grâce Defender for Endpoint :

Plateforme unifiée pour la protection préventive, curative, ainsi pour que des méthodes d’investigation et de réponse automatisées sur les postes et les serveurs.

Sécurité III – Applications avec Defender for Cloud Apps et Defender for Office 365 :

Defender pour Office 365 protège votre organisation contre les menaces malveillantes posées par les messages électroniques, les liens (URL) et via les outils de collaboration.

Microsoft Defender for Cloud Apps est une solution multi-SaaS complète qui offre une visibilité approfondie, des contrôles de données forts et une protection renforcée contre les menaces à vos applications cloud.

Sécurité IV – Données avec Microsoft Purview :

Famille de solutions en matière de gouvernance, de risques et de conformité des données qui peuvent aider votre organisation à régir, protéger et gérer l’ensemble de votre patrimoine de données.

Microsoft Azure

La donnée est la valeur la plus importante pour une entreprise. Que celle-ci porte sur des secrets industriels, des informations clients ou des mesures financières, il est toujours nécessaire de l’appréhender selon ces 3 grands principes :

Les données ne sont pas créées de manière égale. Certaines données sont plus sensibles et nécessitent un niveau de protection et de contrôle plus fort que d’autres types.

Quand est-ce que Microsoft 365 Defender for Business rentre en scène ?

Les petites et moyennes entreprises sont-elles-aussi soumises aux mêmes risques que certaines multinationales. La solution gérant la sécurité des postes ne doit surtout pas être dégradée :

Au-delà de toutes les fonctionnalités proposées par cette licence, voici pourquoi je la trouve intéressante pour les SMB dans la gestion de la sécurité des postes et des serveurs :

  • Simplification dans la gestion et dans le processus l’onboarding
  • Intégration avec Microsoft Intune
  • Recommandations de sécurité activées dès le départ
  • Tableau de bord orienté vers l’action aidant à hiérarchiser les tâches
  • Centralisation des environnements avec Microsoft 365 Lighthouse
  • Découverte continue en mode temps réel
  • Intégration dans la licence Microsoft 365 Business Premium
  • Defender for Business servers en add-on

Afin de tester la protection des périphériques grâce à cette licence, je vous propose de créer un environnement de démonstration sur Azure.

Pour cela, nous utiliserons des machines virtuelles en Windows 11 issues d’Azure Virtual Desktop. Ces machines seront alors jointes à Azure AD, Intune, puis Microsoft 365 Defender.

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice sur Microsoft Defender for Business, il vous faudra disposer de :

  • Un tenant Microsoft
  • Un ou plusieurs licences Microsoft 365 Business Premium
  • Une souscription Azure valide

Etape I – Vérification de l’environnement de départ :

Avant de commencer le déploiement de ressources Azure, consultez les licences présentes sur votre tenant par ce lien :

Consultez également les périphériques déjà chargés dans votre Azure AD par ce lien :

Faites-en également de même avec votre souscription Azure :

Vérifiez la présence des licences dans le portail de Microsoft 365 Defender :

Une fois l’environnement prêt à l’emploi, rendez-vous sur la page du portail Azure pour créer vos ressources de test :

Etape II – Création de l’environnement Azure Virtual Desktop

Commencez par créer un réseau virtuel Azure :

Choisissez un nom et une région Azure à votre environnement :

Une fois la validation passée, lancez la création de votre réseau virtuel :

Quelques secondes plus tard, recherchez le composant Azure Virtual Desktop, puis lancez la création d’un pool d’hôtes :

Renseignez les informations nécessaires, reprenez la même région Azure, puis cliquez sur Suivant :

Ajoutez ou plusieurs machines virtuelles à votre environnement AVD :

Renseignez les informations réseaux :

Choisissez une jointure à Azure Active Directory et activez l’enrôlement à Intune, puis cliquez sur Suivant :

Ajoutez un espace de travail AVD, puis lancez la validation :

Une fois la validation terminée, lancez la création des ressources Azure, puis attendez :

Environ 15 minutes plus tard, constater la bonne création des ressources, puis cliquez-ici :

Modifiez l’option suivante dans les propriétés RDP de votre pool d’hôtes, puis sauvegardez :

Cliquez ensuite sur le groupe d’applications créé par défaut :

Ajoutez ici vos utilisateurs de test présents dans votre Azure AD :

Sélectionnez un ou plusieurs utilisateurs, puis cliquez sur Sélectionner :

Recherchez le groupe de ressources Azure, puis cliquez-ici pour ajouter un rôle RBAC :

Choisissez le rôle suivant, puis passez au second onglet :

Sélectionnez à nouveau les utilisateurs de test AVD :

Retournez sur le portail Azure AD pour constater la bonne apparition des VMs AVD :

Faites la même vérification sur le portail Intune :

Votre environnement IT est enfin prêt. Nous allons maintenant utiliser le portail Defender.

Afin de mettre en route Microsoft Defender for Business, il est nécessaire de commencer par une étape de configuration, côté Intune et côté Defender .

Etape III – Configuration de Microsoft 365 Defender for Business :

Pour cela cliquez-ici pour vous rendre sur le portail Defender, puis lancez le démarrage de la configuration :

Quelques minutes plus tard, cliquez-ici pour démarrer la configuration :

Assignez des utilisateurs de votre tenant aux deux rôles suivants :

  • Administrateur de sécurité : autorisés à gérer les fonctionnalités liées à la sécurité dans les portails Microsoft 365 Defender, Azure Active Directory Identity Protection, Azure Active Directory Authentication, Azure Information Protection et Microsoft Purview
  • Lecteur Sécurité : accès en lecture seule au niveau global à la fonctionnalité liée à la sécurité, notamment à toutes les informations dans le portail Microsoft 365 Defender, Azure Active Directory, Identity Protection, Privileged Identity Management, mais également les rapports sur les connexions Azure Active Directory et les journaux d’audit, ainsi que dans le portail de conformité Microsoft Purview.

Cliquez ensuite sur Continuer :

Définissez une ou plusieurs adresses emails afin de recevoir des notifications concernant les incidents et les vulnérabilités :

Choisissiez la méthode d’enrôlement des périphériques à Defender. Dans mon cas, je choisi l’intégration automatique via Intune :

Validez votre configuration si tout est OK pour vous :

Attendez environ 5 minutes pour que Microsoft finalise la configuration :

Le message suivant doit alors apparaître :

Le processus de mise en oeuvre est terminé ! Plutôt rapide non ?

Avant de voir les périphériques apparaitre, profitons-en pour faire le tour de certains paramétrages.

Etape IV – Paramétrages disponibles :

Cliquez-ici pour ouvrir activer la fonctionnalité de Live Response de Defender :

Activez si vous le souhaitez les fonctionnalités encore en préversion, puis cliquer sur Sauvegarder.

Profitez-en pour élargir le périmètre de Defender en permettant aux paramètres de sécurité d’Intune d’être appliqués par Microsoft Defender for Endpoint (MDE) aux appareils qui ne sont pas encore inscrits à Intune :

Configurez également et facilement un filtrage web grâce à un blocage de catégories :

Nommez votre police de filtrage web :

Ajoutez une ou plusieurs catégories à bloquer :

Validez la création en sauvegardant votre police :

Retournez sur le portail pour vérifier la bonne connection entre Intune et Microsoft Defender for Endpoint, validez l’option suivante, puis cliquer sur Sauvegarder :

Retournez sur votre portail Defender pour constater la présence de vos machines AVD.

Note : Il est possible que cela prenne environ 30 minutes pour voir les VMs AVD apparaître.

Comme la configuration de base est terminée et que les VMs sont remontées, nous allons pouvoir tester la bonne remontée des alertes et incidents dans Microsoft 365 Defender.

Etape V – Alerte / incident de test :

Récupérez le script PowerShell disponible sur le portail Defender :

Téléchargez le client Azure Virtual Desktop via cette page Microsoft, installez-le, lancez-le, puis cliquez-ici pour ajouter vos accès AVD de test :

Ajoutez vos 4 utilisateurs de test paramétré pour utiliser AVD :

Renseignez les mots de passe pour chacun d’eux :

Cliquez sur une session AVD et renseignez à nouveau le mot de passe utilisateur :

Acceptez la configuration SSO entre votre Azure AD et votre VM AVD :

Ouvrez le programme de ligne de commande Windows en mode Administrateur :

Renseignez le compte de l’administrateur local saisi dans Azure :

Collez le script récupéré précédemment, puis lancez-le :

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'

Quelques minutes plus tard, toujours dans la page de configuration, constatez la validation du test de détection :

Vérifiez la boite de messagerie renseignée lors de la configuration de Microsoft 365 Defender for Business :

Dans la page d’incident, vous devriez voir votre premier cas, issu de votre script de test :

Cliquez dessus, parcourez les différents onglets, puis cliquez ici :

Une fois analysé, changez le statut de votre incident pour le clôturer :

Jusqu’à présent, nous n’avons pas modifié la politique de configuration concernant la sécurité des postes. Comme nos machines virtuelles AVD de test sont présentes dans Intune et dans Microsoft 365 Defender, nous devons choisir le lieu de configuration.

Etape VI – Configuration de polices de sécurité via Defender :

Rappelez-vous dans mon exemple que mon environnement ne contenait aucun poste dans ma console Intune. Je n’avais donc encore rien configuré. Cela ne sera pas forcément le cas dans un environnement déjà en place.

Microsoft recommande la mise en place de la gestion des polices de sécurité via Microsoft Defender 365. Cela rendra l’outil plus performant et facilitera la tâche des personnes spécifiquement dédiées à la sécurité des postes.

Dans le menu suivant, cliquez comme ceci :

Prenez le temps de bien lire l’avertissement de Microsoft :

Validez si vous êtes toujours d’accord avec cette gestion :

Environ une minute plus tard, la configuration des périphériques est disponible sur deux points :

  • Protection Next-Gen
  • Firewall

Celles-ci sont déjà sont déjà configurés et installés sur tous les périphériques. Cliquez sur l’une d’entre-elles pour comprendre sa configuration :

Faites-en de même avec la seconde :

Retournez sur le portail Intune pour constater d’éventuels changements.

Section Antivirus :

Section Firewall :

Section EDR :

Section des profils de configuration :

De retour sur le portail Defender, constatez la bonne application des 2 configurations à vos machines virtuelles Azure Virtual Desktop :

Etape VI – Tests de fonctionnalités de Defender :

Afin de voir comment se comporte Defender for business, je vous conseille d’attendre quelques heures, le temps que toutes les configurations soient bien appliquées aux VMs AVD.

Commencez par le filtrage web en recherchant un jeu sur votre moteur de recherche favori :

Cliquez sur un résultat de la liste :

Environ une seconde plus tard, constatez le blocage par la fenêtre suivante :

Il ne vous reste rien qu’à tester d’autres fonctionnalités depuis le portail Defender !

Etape VII – Quelques fonctions Defender

Comme les fonctionnalités sont nombreuses sur Defender, je trouve intéressant de vous en sélectionner quelques-unes liées aux périphériques et accompagnées de copies d’écran.

  • Incidents & Alertes
  • Tableaux de bord & Analyses
  • Actions sur le périphérique

Incidents & Alertes :

Tableaux de bord & Analyses :

Actions sur le périphérique :

Bloquer un processus considéré comme suspicieux :

Restreindre le lancement d’application non signée :

Lancer un scan antivirus sur le périphérique :

Démarrer une session de Live Response :

Isoler un périphérique du réseau :

Conclusion :

Après seulement quelques temps passé sur le portail de Microsoft 365 Defender, on ne peut que constater la facilité de mise en oeuvre de la solution sur des périphériques. L’intégration avec Intune, Azure AD et les autres mesures de sécurité créé un ensemble cohérent.

On comprend aisément le bénéfice à passer à Microsoft 365 Business Premium.

Cette imbrication permet sans aucun doute une prise en main facile et rapide au sein de nombreuses entreprises SMB.

Voici enfin quelques liens pour vous aider :

Un esprit zen sur les licences Microsoft 365

Beaucoup d’entre-nous sommes régulièrement confrontés à l’univers des licences du Cloud Microsoft dans le cadre de projets IT. Bien souvent, l’adjectif de jungle revient quand on aborde ce point.

Microsoft ne nous facilite pas la tâche non plus par les évolutions constantes de leurs programmes (ex. CSP / NCE), de leurs familles de produits, de leur nom, de leurs services mais aussi de leur prix !

Cela paraît surestimé mais il s’agit ici d’un vrai travail de recherche et de maintien à jour des connaissances, en permanence. Cet effort n’est pas uniquement valable pour Microsoft, mais il touche bien l’ensemble des éditeurs de solutions professionnelles.

Pour m’en sortir, j’utilise toutes les semaines un site, et pourtant je n’y avais pas encore fait le moindre article dessus …

Un grand merci à Aaron Dinnage pour son précieux travail sur le monde des licences du Cloud Microsoft. L’adresse de son site est donc https://m365maps.com/

De prime abord assez austère, on remarque très vite que son site est organisé par familles de licence et cela rend la recherche rapide et ciblée. La grande idée de son site repose sur sa facilité de comparaison entre les plans de licence d’un même produit.

Fonction I : Affichage des services disponibles sur une licence Microsoft

Prenons en premier exemple la licence Microsoft 365 Business Basic. Voici la page officielle de Microsoft concernant cette licence :

Et maintenant voici la page d’informations que propose Aaron sur son site pour ce même produit :

A ce stade, je ne pense pas qu’un commentaire soit nécessaire quant à la différence d’informations apprises. Pour aller plus loin, chaque icône représentant un service dispose d’un lien web vers la documentation Microsoft.

Voici la page web ouverte quand je clique sur SharePoint Online Plan 1 :

Notre second exemple est la licence Microsoft 365 Business Premium. Cette dernière est très intéressante pour beaucoup de projets. Microsoft y combine un grand nombre de services pour Office 365, la sécurité ou encore des fonctionnalités additionnelles pour le poste Windows.

Voici la page officielle de Microsoft :

Et voici la page web disponible sur le site d’Aaron pour cette même licence :

Même certaines fonctionnalités en préversion y sont affichées.

Evidement, cela ne ferme pas non plus systématiquement la porte à des lectures additionnelles sur la documentation Microsoft, comme par exemple :

Fonction II : Comparaison des plans de licences

Un second besoin lui aussi régulier porte sur la comparaison des plans de licence entre eux. Prenons l’exemple des plans de licence disponibles pour Azure Active Directory.

Là encore, voici la page web la plus lisible que j’ai trouvée sur le site de Microsoft :

Cette page est déjà pratique, mais ce n’est pas toujours aussi clair pour toutes les autres produits.

Et voici la page dédiée à Azure AD qu’Aaron a mise sur son site :

On est d’accord, seules les licences payantes y figurent.
Mais aucun doute que cette représentation graphique est plus efficace !

Notre second exemple porte sur les différents plans de licence disponibles pour Microsoft 365 Business : Basic / Standard / Premium.

Dans ce second exemple, Microsoft propose aussi des tableaux intéressants, mais pouvant manquer de synthèse entre les plans et pouvant influer sur la décision d’achat :

Pour ma part, je trouve que la fonction Full, disponible sur le site d’Aaron, apporte une meilleure clarté :

La couleur plus claire, visible sur plusieurs cases, montre les différences avec les plans inférieurs.

Il devient alors beaucoup plus évident de comprendre rapidement les différences entre les plans.

Fonction III : Mise à disposition d’une matrice

Dans d’autres cas, l’utilisation d’une matrice est pratique pour comparer plusieurs familles de produits. Voici en exemple de ce qui est disponible pour la famille Microsoft 365 :

Côté Microsoft :

Côté Aaron :

Le but ici n’est pas de comparer celui qui en affichera le plus, mais bien de disposer d’une information fiable, mise régulièrement à jour et disponible facilement.

Conclusion

En quelques mots, un très bel outil qui me simplifie la vie ???? Quoi de mieux dans la vie que cela pour rester zen au travail ?

Microsoft New Commerce Experience (NCE)

Aujourd’hui, je m’écarte un peu d’Azure pour vous parler d’un changement global chez Microsoft, appelé New Commerce Expérience et impactant la vente de leurs services Cloud. Le but de cet article est de vous rappeler quelques notions clefs et les principaux impacts de NCE.

Microsoft a introduit une nouvelle expérience de commerce pour les clients achetant et gérant leurs licences Cloud dans le cadre de son programme CSP (Cloud Solution Provider). Il s’agit d’une démarche que Microsoft déjà a commencée en 2019, et est toujours en cours en ce début d’année 2022.

Qu’est-ce que le programme CSP ?

Pour faire simple, Microsoft travaille de différentes manières pour vendre leurs produits aux clients finaux. Dans le schéma ci-dessous, on retrouve une liste de programmes existants pour acquérir des droits de licence sur des produits Microsoft :

Le programme CSP est conçu pour permettre aux partenaires de revendre les services Cloud de Microsoft. L’objectif du programme de CSP est donc de créer un modèle de revendeurs pour fournir des services aux petites et moyennes entreprises (PME). Deux modèles sont possibles via le programme CSP : indirect ou indirect.

Les partenaires directs gèrent eux-mêmes tous les aspects de la relation avec le client
Dans le modèle indirect, les fournisseurs indirects soutiennent les revendeurs indirects qui, à leur tour, vendent, et soutiennent les clients.

Qu’est-ce que la New Commerce Experience ?

L’image affichée plus haut met en évidence la complexité et la multitude de scénarios possibles pour acheter des licences de produits Microsoft. Il était donc temps de simplifier cette approche, comme le veut la New Commerce Experience :

Cette simplification d’achat met aussi en avant l’utilisation d’une seule plateforme centrale pour les partenaires Microsoft, le Partner Center :

Pourquoi parler de NCE maintenant ?

Let's simplify the changes in the new commerce experience - US Partner  Community Blog - Microsoft

Comme indiqué dans l’image ci-dessus, Microsoft a commencé le lancement d’offres NCE par Azure, et a rajouté l’achat de licences perpétuelles dans le programme CSP. Dans le cas d’Azure, la bascule vers NCE (appelé aussi Azure Plan) a permis, par exemple, l’activation du Cost Management :

Microsoft s’attaque donc maintenant aux licences associées aux utilisateurs :

  • Microsoft 365
  • Dynamics 365
  • Power Platform
  • Windows 365

Tandis que le bouleversement de la NCE fut mineur pour les utilisateurs d’Azure, cela est moins vrai pour Modern Work Place. En effet les règles du jeu des licences utilisateurs changent grandement avec NCE. Nous en reparlerons un peu plus loin dans cette article.

Quel est le planning NCE pour Modern Work Place ?

Le programme CSP repose donc sur le planning NCE suivant pour 2022. Comme on peut le voir Microsoft concentre ses évolutions sur 3 axes :

  • Mise en place de promotions incitatives NCE jusqu’à juin 2022
  • Renforcement des règles liées à un achat NCE en mars et juillet 2022
  • Réduction des marges arrières pour les souscriptions non transférées sur NCE en 2023

Pourquoi Microsoft augmente ses prix ?

Depuis le lancement de 365, Microsoft a rajouté plus de 24 applications (Microsoft Teams, Power Apps, Power BI, Power Automate, Stream, Planner, Visio, OneDrive, Yammer et Whiteboard …), mais aussi un nombre incalculable de nouvelles fonctionnalités.

Le 1er mars 2022, Microsoft appliquera donc une hausse de prix sur les licences suivantes :

  • Microsoft 365 Business Basic (de 5 à 6 $)
  • Microsoft 365 Business Premium (de 20 à 22 $)
  • Office 365 E1 (de 8 à 10 $)
  • Office 365 E3 (de 20 à 23 $)
  • Office 365 E5 (de 35 à 38 $)
  • Microsoft 365 E3 (de 32 à 36 $)

Nous n’avons pas encore les chiffres précis en Euros ou en CHF, je ne manquerai pas de les rajouter dès que cela sera disponible.

Quelle est la meilleure période pour migrer les licences vers NCE ?

Maintenant ! Aucunement l’idée de vous faire faire un achat précipité, mais plusieurs arguments me permettent d’en arriver à cette conclusion :

  • La promotion NCE sur les différents engagements (mensuel / annuel) s’arrête au 1er juillet 2022
  • Le blocage du prix sur la période d’engagement permet de reporter la hausse de certains produits 365 prévue pour mars 2022
  • Les différents verrous prévus par Microsoft sur les achats en 2022 risque de compliquer la gestion et le renouvellement des licences en fonction de l’évolution des besoins.

Tout est donc rose avec NCE ?

Historiquement :

Dans le cadre du programme CSP, Microsoft offrait aux partenaires une très grande souplesse dans la gestion des licences durant la période d’engagement. Cette flexibilité était très appréciée car le provisionnement des licences utilisateurs suivait alors de près l’évolution des besoins du client.

Avec NCE :

Microsoft laisse une fenêtre de 72 heures après l’achat pour annuler un abonnement NCE. Si l’abonnement n’est pas annulé dans cette fenêtre de 72 heures, le client devra payer le reste de la durée de l’abonnement. Autrement dit : un mois, un an, ou même 3 ans !

Si un client souhaite réduire le nombre de licences, l’abonnement doit être modifié dans les 72 heures de la date d’anniversaire. Si cette fenêtre est dépassée, la modification à la baisse ne sera prise en compte qu’au prochain anniversaire. Autrement dit : le mois prochain, l’année prochaine, ou même dans 3 ans !

En revanche, les clients peuvent toujours augmenter le nombre de sièges et changer la licence pour une autre de niveau supérieur, même après cette période de 72 heures.

On serait alors tenté de prendre toutes les licences sur un abonnement mensuel pour plus de liberté. Ce choix logique est possible, mais le prix pour cet engagement de courte durée est 20% plus cher que pour le même avec un engagement annuel.

Dernière précision, un engagement annuel ou pluriannuel est payable en une seule fois au début de l’engagement, ou tous les mois de ladite période d’engagement.

Peut-on prendre des licences avec engagement mensuel ET annuel ?

C’est aussi possible ! Et cela est même fortement conseillé dans certains secteurs, avec une saisonnalité des besoins informatiques.

Que faut-il retenir sur NCE ?

Voici les principaux points à garder en tête pour bien comprendre les enjeux de NCE :

  • Ce nouveau mode d’achat licence est déjà en place depuis le 10 janvier de cette année
  • La bascule des licences vers NCE est transparente pour les utilisateurs car ce changement n’impacte pas l’assignation
  • La durée d’engagement est un maintenant point majeur dans la décision d’achat. Tant pour le client, que pour le partenaire qui fournit le service
  • Toute baisse du nombre ou changement de licences NCE n’est possible qu’aux dates anniversaires
  • Les partenaires restent redevables des licences NCE prises auprès de Microsoft, même si leurs clients ne sont plus en capacité d’honorer les paiements
  • Les licences mensuelles sont fortement conseillées pour les besoins ponctuels
  • La fenêtre de 72 heures est la SEULE porte de sortie d’un engagement NCE avant le terme d’engagement

Conclusion

Pas de panique ! Bien que ce changement bouleverse nos habitudes d’achat chez Microsoft, il ne pas oublier que cela est déjà la norme dans le monde des licences par abonnement.

Mon dernier conseil : en tant que partenaire, assurez-vous de communiquer le plus en amont possible avec vos clients, pour que ces derniers considèrent les meilleures options possibles.