Configurer les accès Exchange Online

Quatre façons différentes de configurer les mots de passe Exchange Online.

Ce dossier est issu de notre publication Exchange Magazine (11/10). Pour consulter les schémas et illustrations associés, rendez-vous dans le club abonnés.

Cette stratégie est sans doute la plus pratique à mettre en œuvre lors du déploiement. Elle a les avantages d’être gratuite et de ne pas impliquer vos utilisateurs dans la gestion des mots de passe. Son seul défaut est que cette stratégie n’impose pas un changement régulier du mot de passe, ce qui pourrait faire bondir un responsable de la sécurité des systèmes d’information, surtout quand on sait que l’accès peut se faire à partir d’un simple navigateur Internet, cible privilégiée des spywares, et à partir de n’importe quel point dans le monde.

La configuration des mots de passe statiques se fait en deux ou trois opérations :

• Demander via l’ouverture d’un ticket d’incident dans le centre d’administration BPOS la désactivation des mots de passe cycliques pour l’ensemble des utilisateurs de votre domaine de messagerie
• Exécuter à l’aide des cmdlets apportées par l’outil de migration vers BPOS les mots de passe associés aux utilisateurs
• Optionnellement, saisir le même mot de passe dans le gestionnaire d’identification local du poste de l’utilisateur afin que ce dernier vienne remplir automatiquement le champ « Mot de passe » de l’assistant de connexion Microsoft Online Services.

Pour définir le mot de passe d’un utilisateur avec Windows PowerShell, si vous avez installé les outils de migration :

• Lancez Windows PowerShell ou l’interface de l’outil de migration BPOS
• Si vous avez lancé Windows PowerShell, chargez les cmdlets d’administration pour BPOS avec l’instruction Add-PSSnapin Microsoft.Exchange.Transporter
• Si vous avez lancé l’interface de l’outil de migration BPOS, les cmdlets sont déjà chargées
• La commande $cred=Get-Credential vous permettra de saisir le nom et le mot de passe d’un administrateur de votre compte BPOS
• Enfin, la commande Set-MSOnlineUserPassword –identity testing@orentis.com –Password P@ssword01 –ChangePasswordOnNextLogon:$false –Credential $cred vous permettra de fixer le mot de passe indiqué pour l’utilisateur spécifié. Changez les indications en gras pour l’adapter à votre environnement. Voir figure 2.

Notez que le paramètre –ChangePasswordOnNextLogon est réglé sur $False afin que l’utilisateur n’ait pas à changer de mot de passe à la première ouverture de session. Si vous avez un grand nombre d’utilisateurs, vous trouverez assez facilement sur Internet des exemples de scripts pour définir vos mots de passe à partir d’un fichier .CSV par exemple.

Cette partie est assez simple, du moins, si vous avez déjà découvert Windows PowerShell. Toutefois, il nous reste un dernier souci : C’est la transmission du nouveau mot de passe à l’utilisateur pour qu’il puisse se connecter. Pour son périphérique mobile ou pour un accès OWA, il n’y a pas beaucoup de solutions. Il vous faudra lui envoyer son nouveau mot de passe quelques jours avant que vous ne le réinitialisiez, ou mieux, de lui envoyer par SMS si vous avez connaissance des numéros de téléphone mobiles de vos collaborateurs.

Si vos utilisateurs se connectent avec Outlook et l’assistant de connexion à Microsoft Online Services, vous pouvez aller encore un peu plus loin. Il faut savoir que le mot de passe utilisé par l’assistant de connexion Microsoft Online Services est stocké localement sur le poste de travail de l’utilisateur. Lorsque l’utilisateur change son mot de passe, celui-ci est haché par une API (SSPI – Security Support Provider Interface) et stocké localement dans le Credential Manager (en français, le Gestionnaire d’identification). Celui-ci est accessible via l’applet correspondante dans le panneau de configuration du poste de travail Windows XP, Windows Vista ou Windows 7. Soit ! Mais la plupart des IT Pros ne sont pas des grands amateurs de Visual Studio et de C# ou de VB.Net. Vous trouverez ci-après la manière dont l’objet se présente dans le coffre du gestionnaire d’identification : voir figure 3.

Heureusement, il existe un outil CmdKey qui permet de manipuler les informations d’identification stockées dans le coffre du Gestionnaire d’identification. Celui-ci devrait déjà être installé sur le poste de travail de votre utilisateur, s’il utilise Windows XP, Windows Vista ou Windows 7.

Au final, sur le poste client, il suffira de frapper l’instruction suivante : cmdkey /generic:microsoftonline.com /user:testing@orentis.com /Pass:P@ssword01 pour remplacer l’ancien compte/mot de passe par les nouvelles données. Pensez à fermer l’assistant de connexion Microsoft Online Services avant l’opération et à le relancer après afin que votre utilisateur se re-signe avec le nouvel identifiant/mot de passe.

Que vous reste-il à faire pour automatiser tout cela ? Techniquement, pas grand-chose, un peu de PowerShell ou de batch (Kill / Stop-Process) pour tuer automatiquement l’assistant de connexion Microsoft Online Services, puis une autre instruction pour le relancer après le changement de mot de passe dans le coffre du Gestionnaire d’identification. Et pour centraliser votre traitement sur plusieurs postes ? Là encore, vous trouverez votre bonheur soit avec un outil comme PSExec ou si vous êtes définitivement branché PowerShell, en exécutant des instructions en Remote PowerShell et en scriptant un peu.

Arnaud Alcabez - Architecte Solution Senior Office 365
Architecte Solution Senior Office 365 chez Capgemini sur les stratégies d'intégration des nouveaux usages dans 'L'entreprise 2.0'.

Guide SharePoint dédié à l’optimisation des donnéesCe guide exclusif a été conçu pour est aider les administrateurs et responsables d’environnements SharePoint distribués à planifier et mettre en œuvre une stratégie de réplication complète, fiable et efficace. Découvrez les meilleures pratiques….Téléchargez le Guide SharePoint