Prise en main de l’évaluation à la demande Active Directory
L’évaluation Active Directory fournit une évaluation de votre environnement Active Directory constitué de contrôleurs de domaine exécutés en local, sur des machines virtuelles Azure ou sur des machines virtuelles Amazon Web Services (AWS). L’analyse génère une liste de problèmes à résoudre accompagnée de recommandations et de bonnes pratiques pour améliorer les performances de l’infrastructure et les fonctionnalités d’Active Directory, telles que le déploiement d’applications, les mises à jour logicielles et les systèmes d’exploitation. Les évaluations sont disponibles sur le Portail de services et vous permettent d’optimiser la disponibilité, la sécurité et les performances de vos investissements technologiques Microsoft. Ces évaluations utilisent Microsoft Azure Log Analytics, qui est conçu pour une gestion simplifiée de l’informatique et de la sécurité sur votre environnement.
Cette évaluation fournit des instructions actionnables spécifiques regroupées dans des domaines afin d’atténuer les risques pour votre environnement Active Directory et votre organisation.
L’évaluation Active Directory se concentre sur plusieurs piliers essentiels, entre autres :
- Processus opérationnels
- Réplication Active Directory
- Topologie du site et sous-réseaux
- Résolution de noms (DNS)
- Intégrité des contrôleurs de domaine
- Base de données Active Directory
- SYSVOL et intégrité des stratégies de groupe
- Informations sur les comptes et taille des jetons
- Informations sur le système d’exploitation et mise en réseau
- Configuration de l’horloge Windows
Exécution de l’évaluation Active Directory
Conditions préalables
Pour exploiter au maximum les évaluations à la demande disponibles sur le Portail de services, vous devez :
Avoir associé un abonnement Azure actif au Portail de services et ajouté l’évaluation AD. Pour plus d’informations, consultez l’article Prise en main des évaluations à la demande ou regardez la vidéo sur la liaison.
Avoir un compte de domaine (compte d’utilisateur ou de service géré) avec les droits suivants :
- Administrateur d’entreprise
- Accès d’administration à chaque contrôleur de domaine dans la forêt
- Accès d’administration à tous les serveurs DNS (Domain Name System) Microsoft auxquels les contrôleurs de domaine participent
- Accès d’administration sur l’ordinateur de collecte de données
- Privilèges d’ouverture de session en tant que tâche sur la machine de collecte de données
- Administrateur d’entreprise
Consultez le document Conditions préalables relatif à l’évaluation AD . Ce document décrit la documentation technique détaillée de l’évaluation AD et la préparation du serveur nécessaire à son exécution. Il explique également les différents types de données collectées par l’évaluation.
Remarque : en moyenne, il faut compter environ deux heures au départ pour configurer votre environnement afin d’exécuter une évaluation à la demande. Après avoir exécuté l’évaluation, vous pouvez consulter les données dans Azure Log Analytics. Vous disposerez ainsi d’une liste de recommandations classées par ordre de priorité et selon six domaines qui vous permettront de comprendre rapidement les niveaux de risque et l’intégrité de vos environnements, d’agir pour réduire les risques et d’améliorer l’intégrité globale de vos outils informatiques.
Configuration de l’évaluation d’AD sur la machine de collecte de données
Remarque : vous ne pourrez configurer correctement l’évaluation que si vous avez lié votre abonnement Azure au Services Hub et ajouté l’évaluation AD à partir de Intégrité informatique -> Évaluations à la demande dans le Services Hub.
Sur l’ordinateur de collecte de données, créez le dossier suivant : C :\OMS\AD (ou tout autre dossier autre que C:\ODA, qui est réservé par le système).
Ouvrez Powershell standard (pas ISE) en mode Administrateur et exécutez la commande de l’applet de commande ci-dessous :
Add-ADAssessmentTask -WorkingDirectory' command
WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment
Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data
Entrez les informations d’identification de compte d’utilisateur demandées répondant aux exigences mentionnées précédemment dans cet article.
La collecte de données est déclenchée par une tâche planifiée appelée ADAssessment dans l’heure qui suit l’exécution du script précédent, puis tous les 7 jours. Il est possible de configurer la tâche de manière à l’exécuter à une date/heure différente ou immédiatement à partir de la bibliothèque du Planificateur de tâches, dossier Microsoft, Operations Management Suite, AOI***, Évaluations, puis ADAssessment.
Pendant la collecte et l’analyse, les données sont temporairement stockées dans le dossier Répertoire de travail défini au moment de la configuration.
Au bout de quelques heures, les résultats de votre évaluation sont disponibles dans votre tableau de bord Log Analytics et Portail de services. Vous pouvez consulter les résultats en accédant au Services Hub -> Intégrité -> Évaluations, puis en cliquant sur « Afficher toutes les recommandations » en regard de l’évaluation active.
Si vous souhaitez qu’un ingénieur agréé Microsoft passe en revue les problèmes concernant votre environnement AD avec vous, renseignez-vous sur la fourniture menée par un CE distant ou sur site auprès de votre représentant Microsoft.
contrat Ingénieur distant Ingénieur sur site Premier Feuille de données distante AD Feuille de données sur site AD Unifié Feuille de données distante AD Feuille de données sur site AD