Накопившееся


Читатели блога время от времени писали мне и спрашивали а чо,чо там, и вообще где разоблачения.  Докладываю- разоблачения возвращаются.

Первый номер в нашем сегодняшнем выпуске займут новые возможности Azure AD Connect.

Вот уже более пяти лет атрибут UserAccountControl  не реплицировался в облако ни под каким видом, причиняя адскую боль тем парням, кто поскупился или доверчиво послушав фетвы вендора, мол ADFS не нужен, ставьте себе PTA и все будет круто и таки не ставил ADFS  как первичный контур аутентификации. Ну не ставил и не ставил, не все же замечали что если учетка включена но истекла (account expired), то облако плевать хотело на это и все равно пропускало аутентифицироваться пользователя. Можете сами взглянуть какие лучи добра в комментариях сваливаются на голову МС за этот прекрасный дизайн. Предлагаются варианты, пробегаться самолично скриптом по таким гражданам и принимать меры (писать ТП письмо с отчетом, блокировать такие объекты и так далее). Будем надеяться что проблему как-нибудь да поправят, но для успокоения тех, кто заволновался и уже не может спать, можно напилить правило, которое будет отключать истекшие учетки.

Но в октябре запилили отличную штуку, которая спасет всех, даже тех кто спасаться почему-то не хочет, или ни о какой такой безопасности и не думал.

Под капотом истории лежит тот факт, что атрибут истечения пароля не имеет булевого значения, а вычисляется по битовой маске. Вычисляется поле на основе атрибута pwdLastSet и срока истечения парольной политики, которая применена к пользователю. Именно поэтому как пишут сотрудники Майкрософт, нету у нас методов против Кости Сапрыкина чтобы решить эту задачу просто, быстро и красиво используя AAD Connect.

Но мы можем воспользоваться новыми возможностями AAD Connect, вышедшими в октябре. Они пока в предварительной версии но все же работают. Нам потребуется создать политику паролей в Azure AD, соответствующую земной инфраструктуре, для этого:

Set-MsolDirSyncFeature -feature EnforceCloudPasswordPolicyForPasswordSyncedUsers $true

Set-ADSyncAADCompanyFeature -ForcePasswordResetOnLogonFeature $true

включим параметр EnforceCloudPasswordPolicyForPasswordSyncedUsers и

и установим политику паролей для пользователя с DisablePasswordExpiration в None.

Вручную это же сделать можно для отдельных пользователей (сервисных уз например) вот так:

Set-AzureADUser -ObjectID -PasswordPolicies “DisablePasswordExpiration”

ForcePasswordResetOnLogonFeature другая боль, которая в названии в принципе сама все объясняет. Ранее приходилось или сторонние способы использовать или опять же использовать ADFS, позволяющий провернуть подобную штуку. Теперь можно и без него, если нужно то включайте, проверено, работает.

Далее поговорим о других возможностях AD,  которые вышли и заслуживают внимания облачных парней.

Это

Staged mode

Combined registration

Bastion

Serial Console

Azure Policy

Azure Lock

Front Door

Policy и Бастион и Парадный вход- платные, так что прежде чем вреднять подумаем и как уважаемые кроты, пощелкаем на счетах. В общем и целом, все вещи по ссылкам интересные и полезные. Но т.к. блог не пересказ технета. то читателю предлагается самостоятельно пощелкать по ссылкам и полистать страницы. Возможно кто-то узнает сегодня что-то новое, всем спасибо, берегите себя. Отдельным товарищам, которые болеют и температурят пожелаем скорейшего выздоровления.

 

One Reply to “Накопившееся”

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.