Avant de parler de Modern Authentication, parlons de Basic Authentication.

La Basic Authentication signifie simplement que l’application envoie un nom d’utilisateur et un mot de passe à chaque requête, et que ces informations d’identification sont également souvent stockées ou enregistrées sur l’appareil.

Qu’est-ce que cela implique ?

• Le Username et le Password vont passer sur le réseau à chaque tentative de connexion avec un encodage en Base64 et sans sécurité additionnel (MFA non supporté)
• La Basic Authentication ne va pas implémenter des mécanismes anti-bruteforce
• Nous n’avons pas forcément de processus de déconnexion avec la Basic Authentication du au stockage des identifiants, le password peut subir un délai lors d’une demande de reset.

D’accord. Et donc, concernant la Modern Authentication ?

Entre Outlook 2010 et 2013 un protocole va apparaitre avec les RFC 6749 et RFC 6750 : OAuth 2.0. Préparé depuis quelques années, ce protocole va permettre d’autoriser un site web à porter l’authentification de notre application. On va commencer à parler de délégation d’autorisation.

Le schéma est un peu imbuvable à première vu mais les choses à retenir sont principalement :

• L’application va rediriger l’utilisateur vers un provider d’identité qui va être Azure AD pour nous.
• On va s’identifier à Azure AD qui va nous donner un token. Celui-ci va pouvoir être validé par l’application et on sera authentifié.

On va pouvoir avoir du MFA ou encore du Microsoft Defender for Cloud Apps qui prend en charge différents modes de déploiement, y compris la collecte de journaux, les connecteurs API et du reverse proxy.

Oui mais Clément en quoi ça me concerne avec Office 365 ?

Au début, cela commence par un petit article : https://learn.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/deprecation-of-basic-authentication-exchange-online

Il dit simplement : Nous supprimons la possibilité d’utiliser l’authentification de base dans Exchange Online pour Exchange ActiveSync (EAS), POP, IMAP, PowerShell distant, services Web Exchange (EWS), carnet d’adresses en mode hors connexion (OAB), découverte automatique, Outlook pour Windows et Outlook pour Mac. Nous désactivons également l’authentification SMTP dans tous les tenant dans lesquels elle n’est pas utilisée.

Et du coup, j’ai un petit script PowerShell qui tournait toutes les semaines pour me sortir la volumétrie de mes boites mails. Ce bon vieux script que personne n’a actualisé depuis 5 ans commence généralement par ça :

$UserCredential = Get-Credential
Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/PowerShell-LiveID/ -Credential $o365cred -Authentication Basic -AllowRedirection
Import-PSSession $Session -DisableNameChecking

Il va aussi généralement terminé par ça :

Send-MailMessage  -SmtpServer smtp.office365.com -Port 587 -From 'User01 <user01@fabrikam.com>' -To 'ITGroup <itdept@fabrikam.com>' -Cc 'User02 <user02@fabrikam.com>' -Bcc 'ITMgr <itmgr@fabrikam.com>' -Subject "Reporting Volumétrie BAL" -Body $body  -Attachments $Attachements -Credential $mycreds -UseSsl

Et donc, avec la désactivation du PowerShell Distant je fais comment ? Parce qu’au final le script ne fonctionnera plus le 1^er Janvier. On va voir ensemble comment se connecter en Modern Authentication afin de remettre notre reporting sur pied.

La première chose à faire c’est de télécharger les nouveaux modules PowerShell Exchange et Graph :

Install-Module -Name ExchangeOnlineManagement
Install-Module -Name Microsoft.Graph

Une fois cela fait, on va pouvoir commencer à travailler avec. Si vous avez un compte administrateur Exchange vous pouvez faire un Connect-ExchangeOnline et vous aurez la fenêtre d’authentification classique qui va vous permettre de rentrer vos credentials et de vous connecter. Celle-ci en plus supporte le MFA.

Mais du coup comment faire une app qui peut supporter le Connect-ExchangeOnline sans que j’aille à rentrer mes credentials à chaque fois ?

La méthode la plus simple se trouve être celle du certificat applicatif.  Pour se faire on va commencer par créer une app qui va recevoir les connections de notre script afin de faire tourner le reporting.

https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/RegisteredApps

On va lui donner un nom et laisser seulement les comptes de cette organisation.

Une fois créée, on va prendre soin de noter l’Application ID, qui lui va nous servir dans notre script. On fera de même pour le Tenant ID

On va ensuite créer un certificat, soit avec une autorité, soit auto-signé, voir avec Azure directement. On l’upload dans notre application et on va garder le thumbprint de celui-ci. On prendra soin aussi d’installer le certificat sur notre machine de script.

Est-ce qu’on a fini ? Non, parce qu’accéder à une application qui n’a aucun droit n’est pas forcément utile. En allant dans la blade API Permissions, on va pouvoir donner des droits à notre app afin qu’elle puisse faire ce qu’elle a besoin, par exemple le droit Microsoft Graph Mail.send pour que notre rapport arrive bien dans notre boite mail.

On va souvent vous demander, droits délégués ou app permissions. Pour notre script c’est un important d’avoir de l’app permissions parce qu’on ne passe pas par des credentials mais par un certificat. Cela sera aussi le cas si vous utiliser un secret pour récupérer votre token.

Voici quelques articles qui vous serviront quand vous serviront quand vous aurez besoin de configurer des autorisations API pour de l’IMAP/POP ou de l’EWS :

https://learn.microsoft.com/en-us/exchange/client-developer/exchange-web-services/how-to-authenticate-an-ews-application-by-using-oauth#configure-for-app-only-authentication

https://learn.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth

On va aller chercher aussi les droits Exchange qu’on a besoin pour sortir les volumétries des mailboxes :

Une fois les API sélectionnées, pensez à Grant Admin Consent afin de valider les autorisations que vous donnez.

Ensuite, rendez-vous dans « Rôles et administrateurs » et sélectionner votre rôle Exchange Administrator

Ajoutez le droit à votre application et vous verrez qu’il apparaitra en tant que service principal dans les utilisateurs auxquels vous avez mis les droits.

Cet article pourra vous aider à affiner vos droits :

https://learn.microsoft.com/fr-fr/powershell/exchange/app-only-auth-powershell-v2?view=exchange-ps

Une fois cela fait. On va pouvoir construire notre commande PowerShell pour se connecter :

$CertificateThumbprint="XXX"$AppId=“XXX”
$TenantId="XXX"
$org = "contoso.onmicrosoft.com"
  Connect-ExchangeOnline -AppId $AppId -Organization $org -CertificateThumbprint $CertificateThumbprint
  Connect-MgGraph -AppId $AppId -TenantId $TenantId -CertificateThumbprint $CertificateThumbprint

Faites vos tests afin de valider que la connexion s’effectue bien.

Dans le principe, notre ancienne commande :

Send-MailMessage  -SmtpServer smtp.office365.com -Port 587 -From 'User01 <user01@fabrikam.com>' -To 'ITGroup <itdept@fabrikam.com>' -Cc 'User02 <user02@fabrikam.com>' -Bcc 'ITMgr <itmgr@fabrikam.com>' -Subject "Reporting Volumétrie BAL" -Body $body  -Attachments $Attachements -Credential $mycreds -UseSsl

Va venir être remplacé par celle-ci quand on va envoyer des mails :

Send-MgUserMail -UserId $userId -BodyParameter $params

Elle se construit de paramètres d’envoi de mail tel que : Headers, Subject, body, Attachement, to, cc. On aura aussi le UserID qui sera notre Sender.

On va voir ensemble comment la construire avec l’exemple de la volumétrie :

   # ===================================================================================================# MAIN # ==================================================================================================

  #prerequis
  #Install-Module Microsoft.Graph
  #Install-Module ExchangeOnlineManagement

     write-Host "### START ###"

# ---------- Connecting to Exchange ----------

$CertificateThumbprint="XXX"
$AppId="XXX"
$TenantId="XXX"
$org="contoso.onmicrosoft.com"

Connect-ExchangeOnline -AppId $AppId -Organization $org -CertificateThumbprint $CertificateThumbprint

Connect-MgGraph -AppId $AppId -TenantId $TenantId -CertificateThumbprint $CertificateThumbprint

# ---------- Creation du CSV d'export ----------

$c_ScriptPath=try{Split-Path -Path $MyInvocation.MyCommand.Path -Parent}catch{$c_ScriptPath=Convert-Path (Get-Location -PSProvider FileSystem)}
$Outputfile = "$c_ScriptPath\MailboxVolume.csv"
Write-output "name;userprincipalname;size (MB)" | out-file $outputfile -encoding UTF8

  # ---------- Get de toutes les boites et remplissage de l'export ----------

  $users = get-mailbox -ResultSize:Unlimited | where {$_.recipienttypedetails -eq "UserMailbox"}

  Foreach ($u in $users){
      $name=$u.DisplayName
      $userprincipalname=$u.userprincipalname
      $tsize = get-mailboxstatistics -Identity $u.id

       try {
    $size= [math]::Round(($tsize.TotalItemSize.ToString().Split("(")[1].Split(" ")[0].Replace(",","")/1MB),2)
        } Catch {Continue}

        Add-content -path $Outputfile -encoding UTF8 -value "$name;$userprincipalname;$size"
        }

# ---------- Definition des variables du message ----------

# HTML header CSS styles
$htmlhead="<html>
     <style>
      BODY{font-family: Arial; font-size: 11pt;}
       H1{font-size: 22px;}
       H2{font-size: 18px; padding-top: 10px;}
       H3{font-size: 16px; padding-top: 8px;}
    </style>"

# Body
$HtmlBody = "<body>
     <h1>Report de Volumetrie du $(Get-Date -Format MM-dd-yyyy) </h1>
     <p><strong>Generated:</strong> $(Get-Date -Format g)</p>
     </body>"

# Jointure du CSV en PJ
$AttachmentFile = Get-Content $Outputfile -Encoding Byte
$ContentBase64 = [convert]::ToBase64String($AttachmentFile)

# Mailbox qui envoie et destinataire
$Sender="service@contoso.com"
$Recipient="clement.serafin@contoso.com"

#Formatage

$params = @{
       Message = @{
             Subject = "Report de Volumetrie du $(Get-Date -Format MM-dd-yyyy)"
             Body = @{
                    ContentType = "HTML"
                    Content = "$htmlMsg"
             }

        attachments = @( @{
              "@odata.type" = "#microsoft.graph.fileAttachment"
              "name" = $Outputfile
              "contenttype" = "application/vnd.openxmlformats-officedocument.wordprocessingml.document"
              "contentBytes" = $ContentBase64 } ) 

             ToRecipients = @(
                    @{
                          EmailAddress = @{
                                 Address = "$Recipient"
                          }
                    }
             )
       <#     CcRecipients = @(
                    @{
                          EmailAddress = @{
                                 Address = "$ccRecipient"
                          }
                    }
             )#>
       }
       SaveToSentItems = "false"
}

# Ca part !
Send-MgUserMail -UserId $userId -BodyParameter $params

#Clean up session
Get-PSSession | Remove-PSSession

  Merci pour votre Lecture

Petit article, sur un petit contournement sympa. Il peut être tentant de configurer des limitations pour éviter le BYOD avec OneDrive for Business. Seulement le problème, c’est que ça coûte de l’argent et on n’est pas tous riche. La méthode la plus classique est d’utiliser les accès conditionnels pour sécuriser les accès aux applications selon le principe :

Pour cela on va vous demander une licence Azure Premium P1 qui n’est pas incluse dans les Office 365 E3 et E1. Si vous avez du M365 E3, vous aurez de la P1 et les accès conditionnels seront super pour limiter le BYOD. Mais pour les autres, où ça se passe ? Dans le Sharepoint Admin  :

Ici vous allez avoir l’option qui va vous permettre de limiter les synchronisations OneDrive selon le ObjectGUID de votre domaine. Pour cela, dans un premier temps, on va aller chercher en PowerShell ce qui nous faut :

PS C:\> Get-ADDomain
AllowedDNSSuffixes                 : {}
ChildDomains                       : {}
ComputersContainer                 : CN=Computers,DC=User04,DC=com
DeletedObjectsContainer            : CN=Deleted Objects,DC=User04,DC=com
DistinguishedName                  : DC=User04,DC=com
DNSRoot                            : User04.com
DomainControllersContainer         : OU=Domain Controllers,DC=User04,DC=com
DomainSID                          : S-1-5-21-41432690-3719764436-1984117282
ForeignSecurityPrincipalsContainer : CN=ForeignSecurityPrincipals,DC=User04,DC=com
Forest                             : User04.com
InfrastructureMaster               : User04-DC1.User04.com
LastLogonReplicationInterval       : 
LinkedGroupPolicyObjects           : {CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=User04,DC=com}
LostAndFoundContainer              : CN=LostAndFound,DC=User04,DC=com
ManagedBy                          : 
Name                               : User04
NetBIOSName                        : USER04
ObjectClass                        : domainDNS
ObjectGUID                         : b63b4f44-58b9-49cf-8911-b36e8575d5eb
ParentDomain                       : 
PDCEmulator                        : User04-DC1.User04.com
QuotasContainer                    : CN=NTDS Quotas,DC=User04,DC=com
ReadOnlyReplicaDirectoryServers    : {CSD2722780.User04.com}
ReplicaDirectoryServers            : {User04-DC1.User04.com}
RIDMaster                          : User04-DC1.User04.com
SubordinateReferences              : {DC=ForestDnsZones,DC=User04,DC=com, DC=DomainDnsZones,DC=User04,DC=com, CN=Co
nfiguration,DC=User04,DC=com}
SystemsContainer                   : CN=System,DC=User04,DC=com
UsersContainer                     : CN=Users,DC=User04,DC=com

J’ajoute ce GUID dans mon administration SharePoint et je sauvegarde.

Le résultat se fait pas attendre :

Mon PC à la maison ne veut plus se synchroniser parce qu’il est hors domaine. Le message d’erreur n’est pas super clair mais au moins on est bloqué.

Super, j’ai trouvé une solution à moindre coup pour limiter la synchronisation !

Sauf que ce n’est pas totalement fiable au final. Si vous arrivez à avoir l’ObjectGUID par n’importe quel moyen vous allez pouvoir contourner ce système très facilement. En tant qu’admin de mon poste je peux installer le module PowerShell AD et lancer la commande get-addomain. Une fois que vous l’avez, on va aller voir du côté du REGEDIT sur mon PC personnel.

Je vais créer une clé dans : HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\OneDrive

J’ajoute la valeur AADJMachineDomainGuid (REG_SZ) et je le remplit avec la valeur de mon ObjectGUID c’est à dire b63b4f44-58b9-49cf-8911-b36e8575d5eb

En PowerShell Admin : 

New-Item -itemtype directory -path "hklm:\Software\Policies\Microsoft\OneDrive" -Force

Set-ItemProperty -Path "hklm:\Software\Policies\Microsoft\OneDrive" -Name "AADJMachineDomainGuid" -Value "b63b4f44-58b9-49cf-8911-b36e8575d5eb" -Force

Résultat

On est donc en droit de se demander s’il faut vraiment déployer cette sécurité ou non. D’un côté, quand vous n’avez pas de licence P1, c’est un début. Mais il ne faut pas baser toute sa stratégie BYOD dessus parce que malheureusement, elle n’est pas fiable et facilement contournable.

Après vous avoir parlé de Mesh for Teams dans mon article (https://msblog.fr/2022/07/15/nous-sommes-de-mesh-microsoft-mesh/), il est temps de faire le bilan. En 2017, le rachat d’AltSpace VR devait remettre de l’essence dans le moteur en boostant le projet Windows mixed reality. J’ai pu vous présenter ce que ça donne lors de la MWCP 2021 :

Après les annonces de l’ignite 2022 et de Meta, qu’attendons-nous donc du Metaverse à l’avenir ?
Au petit rappel Microsoft lors de l’Ignite 2021 avait proposé Mesh for Teams et le Nth floor en private preview. Aujourd’hui, malheureusement on n’a pas encore atteint la public preview et le Covid prenant du recul, il n’est plus forcément pertinent pour les personnes de se retrouver dans le Metaverse.

Pour savoir où en est le Metaverse, il faut d’abord prendre en considération les acteurs. En 2017, le rachat d’AltSpace VR par Microsoft est intervenu in-extremis pour la start-up. Elle avait annoncé en juillet qu’elle s’apprêtait à mettre la clé sous la porte après qu’une nouvelle levée de fonds n’ait pas pu aboutir (elle avait déjà levé 15 millions de dollars par le passé).

De base, ce rachat ne sent pas forcément bon. Du côté de Facebook, qui s’est renommé Meta pour aller vers le Metaverse, on n’enregistre pas de succès fulgurant sur leur plateforme de réalité virtuelle « Horizon Worlds ».

https://www.tomsguide.fr/metavers-horizon-worlds-est-rempli-de-mondes-vides-et-tristes-que-les-joueurs-ne-visitent-plus/

1 ans après toutes ces annonces les employés de Meta déserte le Metaverse et l’action est tombé au point qu’aujourd’hui elle ne vaut qu’un tiers de sa valeur enregistrée en octobre l’an dernier. Et cela se voit dans les résultats financiers du groupe ; il a vu son bénéfice net fondre à 4,4 milliards de dollars au troisième trimestre (-52% sur un an) et son chiffre d’affaires baisser de 4%, à 27,7 milliards de dollars.

https://www.huffingtonpost.fr/international/article/le-metaverse-devait-sauver-facebook-mais-marc-zuckerberg-peine-a-convaincre_209442.html

Entre les équipements couteux et le manque d’investissement des personnes vers le Metaverse, il est difficile de voir comment Microsoft ou Meta vont arriver à sortir la tête de l’eau sur cette opération. Ces nouvelles technologies sont majoritairement à destination de la génération Z malheureusement pour des dirigeants d’entreprises qui sont souvent à l’opposé de ces générations, ils ne voient pas encore l’utilité de mettre en place des outils aussi couteux pour une génération même pas encore sur le marché du travail.

En regardant les études, on voit bien le besoin d’une reconsidération du travail hybride et un besoin de flexibilité sur le travail distant. Mais on voit aussi que les personnes voulaient plus de contact et de collaboration post-Covid.

Que s’est-il passé pendant l’année 2022 ? Comment le Metaverse va pouvoir remonter la tête ?

En octobre Meta, qui perd de la vitesse face à TikTok, décide de faire un partenariat avec Microsoft pour annoncer la mise à disposition des services Microsoft dans les casques Meta Quest.

https://www.blogdumoderateur.com/microsoft-meta-partenariat-historique-metaverse/

Cela nous promet des belles annonces mais concrètement quel est la projection 2023 et est-ce que ça va marcher ?

Avec ces annonces, on perd l’obligation du casque de réalité mixte (Hololens 2) de chez Microsoft à 4000€. On peut passer sur du Meta Quest 2 à un prix de 500€ environ. Ils vont en profiter pour annoncer un casque à destination des professionnels : Le Meta Quest Pro.

On va avoir des fonctionnalités de meeting en VR qui vont permettre de rendre le tout plus interactif. On l’avait déjà dans l’altspaceVR mais c’était juste un openspace.

Pour supporter cela, Microsoft lance Mesh Avatar en private preview. Vous pourrez créer un avatar afin de vous représenter dans les Meeting Teams ou quand votre espace de télétravail n’est pas présentable.

Une autre arrivée, c’est Microsoft 365 apps VR. Celui-ci vous permettra d’avoir des écrans dans votre affichage VR pour Word, Excel, PowerPoint, Outlook, and SharePoint. On pourra aussi avoir du Windows 365 avec du Windows Cloud PC dans le casque VR. Le résultat à l’air sympa en image mais on n’est pas encore arrivé au point de garder un casque VR toute la journée sur la tête pour travailler.

La dernière annonce qui sera combinée à tout ça est Microsoft Places. Cela va permettre de gérer le travail de façon beaucoup plus clair. Avec un Dashboard pour signaler sa présence sur site, ça permettra de favoriser les échanges et de se synchroniser sur quand se retrouver dans le Metaverse ou sur site.

On pourra aussi avec les workspaces favoriser les échanges en réservant son bureau à côté de son collègue dans les systèmes de flex office. Avec des Teams room, on pourra développer le travail hybride.

Aux vues des antécédents on peut se demander si vraiment ça va marcher ou pas. Dans son blog post, Microsoft indique que la moitié des personnes de la Gen Z et Y envisageraient de travailler dans le metaverse : « Nous pensons que dans un avenir pas si lointain, le metaverse jouera un rôle clé en fournissant de nouvelles façons de se connecter. En fait, nos données Work Trend Index montrent que 50 % de la génération Z et de la génération Y envisagent de faire une partie de leur travail dans le metaverse au cours des deux prochaines années. »

Au résultat Echec ou Succès ? La réponse aujourd’hui est Echec parce qu’on est décalé avec le marché du travail. La question, c’est : Est-ce que le produit survivra assez longtemps pour que les personnes auxquels il est destiné arrivent sur le marché ?

Il y a quelques jours, j’ai pu recevoir les produits de chez FEITIAN afin de pouvoir tester des clés de sécurités. On va parler dans cette article de 3 types de clés principalement :

• K40 FEITIAN : USB-C + NFC (27,5$)
  • https://shop.ftsafe.us/collections/fido-security-key-usb-c/products/k40
• K9 FEITIAN : USB-A + NFC (25$)
  • https://shop.ftsafe.us/collections/fido-security-key-usb-a/products/k9
• K26 FEITIAN : USB-C + Biometric (66$)
  • https://shop.ftsafe.us/collections/fido-security-key-biometric/products/k26

J’avais jamais testé de clés avant ni même d’initier la configuration qui va avec dans les environnements Microsoft. Mon but premier est de voir ce qu’on peut en faire et dans quel cas les utiliser.
Actuellement, FEITIAN est le seul à cocher toutes les cases de Microsoft en la matière :

Ils sont assez peu à être FIPS Certified (FEITIAN, Yubico) mais en plus FEITIAN propose un gros mastodonte, le K33 (92$).
https://shop.ftsafe.us/collections/fido-security-key-biometric/products/k33
C’est actuellement la seule clé sur le marché qui fait à la fois Biométrie, USB-C, NFC et Bluetooth.

Maintenant pour notre finalité qu’est le passwordless voyons les prérequis au choix :

• Azure AD web apps on a supported browser
• Azure AD joined Windows 10 devices
• Hybrid Azure AD joined Windows 10 devices
  • Provides access to both cloud-based and on premises resources. 

Beaucoup de clients fréquentent déjà Hybrid Azure AD Join pour les conditionnal access. Ca va être idéal pour l’accès à des ressources On Premises mais je vois quand même beaucoup de scénarios non supportés :

• Windows Server Active Directory Domain Services (AD DS) domain-joined (on-premises only devices) deployment.
• RDP, VDI, and Citrix scenarios using a security key.
• S/MIME using a security key.
• « Run as » using a security key.
• Log in to a server using a security key.
• If you haven’t used your security key to sign in to your device while online, you can’t use it to sign in or unlock offline.
• Signing in or unlocking a Windows 10 device with a security key containing multiple Azure AD accounts. This scenario utilizes the last account added to the security key. WebAuthN allows users to choose the account they wish to use.
• Unlock a device running Windows 10 version 1809. For the best experience, use Windows 10 version 1903 or higher.

Bon ben adieu mes 95 serveurs en RDP qui me demande à chaque fois le mot de passe. J’avais une lueur d’espoir avec le passwordless T.T.
On continue avec le paramétrage dans le tenant et après avoir fait un petit tour dans mon panneau d’administration, première surprise, on ne peut pas paramétrer dans la section MFA les clés de sécurité comme une méthode de MFA.

Du coup en fouillant autre part, il se trouve que tu dois décider de dire oui au passwordless avec de la clé de sécurité.
https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/AuthenticationMethodsMenuBlade/AdminAuthMethods

On va éviter d’y aller trop vite et pour ça Microsoft propose du targeted par user ou par groupe ce qui est pratique.

J’ai des utilisateurs un peu réticent à mettre l’authenticator ou partager le numéro perso et je pense ça peut être une bonne solution pour contenter tous le monde.
Commençons avec les clés NFC en allant dans le panneau : https://mysignins.microsoft.com/security-info

L’option apparait bien et on a le choix de la config d’une clé NFC ou USB

Sur les PC DELL un lecteur NFC est inclus mais il n’arrive pas à capter la clé. Celui du portable en revanche la capte bien. On va du coup faire la config USB. Dans les étapes c’est Firefox qui va prendre la main pour la configurer

On doit ensuite définir un PIN et toucher la clé de sécurité plusieurs fois afin qu’elle se configure

On terminera par donner un nom à la clé et elle sera dans nos méthodes mais on pourra quand même pas la choisir par défaut:

On va pouvoir du coup se connecter avec en allant dans Sign-in options, Sign in with a security key.
Il va nous demander le PIN et de toucher la clés et on sera connecté.

La seule différence pour la clé biométrique est que celle-ci ne demande pas le PIN parce qu’il utilise directement l’empreinte biométrique réduisant encore plus l’effort de l’utilisateur.
C’est sympa mais bon pour éviter un déploiement massif, on me demande comment on peut faire du MFA avec ces clés. Il se trouve qu’elles peuvent aussi servir pour de l’OTP.

Avec l’application authenticator de chez FEITIAN je peux utiliser la clé comme méthode pour du MFA.
https://fido.ftsafe.com/feitian-authenticator-tool-usage-for-windows-os/
On va chercher la méthode Authenticator App et mettre qu’on veut utiliser une autre app.

On va insérer notre clé en lançant l’app FEITIAN Authenticator et reseigné l’account name et le secret que nous donne microsoft.

Après avoir touché la clé l’OTP apparait. La configuration sur téléphone se fera pareil sauf qu’on pourra en mettant la clé collé au téléphone for apparaitre l’OTP grâce au NFC.

Voici qui fait le tour des clés de chez FEITIAN pour la partie Azure AD.
Nous verrons ensemble dans un autre article la partie Windows Auth

Pour donner suite à l’introduction sur la MR, nous allons aborder Microsoft MESH.

2016 marque un tournant pour la MR avec de multiples conférences mettant en avant ce sujet. En Mars, Microsoft Research publie une vidéo sur l’holoportation étant un premier pas vers les notions d’interactions à distance. La technologie utilise de multiples camera afin de scanner en 3D et en temps réel une personne afin d’en faire le rendu dans l’Hololens de la personne distante.

Un mois et demi plus tard l’une des têtes de proue de Microsoft, Alex Kipman, présente un TEDx sur les hologrammes. Dans celui-ci on peut voir plusieurs mise en avant de la collaboration au travers de la MR:

On peut y voir aussi un début d’interactions avec des objets en réalité mixte qui dans Microsoft Mesh seront largement repris pour de la productivité:

Voici la vidéo complète du TEDx si vous souhaitez la regarder:

Dans la foulé en Juin 2O16, Microsoft dévoile la Windows Mixed Reality. Les usages sont clairement avancés en parlant de collaboration avec l’apparition d’avatar et l’utilisation du Hololens en contexte professionnel. On commence à aborder pour la première fois aussi les notions d’interactions avec des casques de VR qui sont moins cher que les hololens et donc attire plus de publique.

Malgré l’enthousiasme, autour de cette arrivée le prix des Hololens demeure prohibitif (3500$) et les cas d’usages beaucoup trop rare au profit d’une collaboration face à face. Les développements sont conséquents et nécessite des compétences mixtes avec de la 3D. Au final, les résultats des premiers développements client seront très couteux en plus du matériel. Le projet finalement passera en arrière plan et il faudra attendre 2019 avec l’arrivée du Covid pour que Microsoft essaye de nouveau de se relancer avec Microsoft Mesh.

Nous verrons dedans des choses concrètes pour la collaboration avec l’arrivé des avatars ou encore une version avancée de l’holoportation. Les développements sont encore conséquent pour avoir une solution finale mais le virage vient dans la création d’une collaboration sous forme de services où les gens n’auront plus à programmer afin de créer leur espace collaboratif : Mesh for Teams