FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Synology DSM vs QNAP QTS NAS 2021 Part III – Backup Tools, Surveillance, Virtual Machines and Conclusion

11 juin 2021 à 16:00

Synology DSM vs QNAP QTS NAS Software & Hardware Comparison

Welcome back to the final part of my Synology vs QNAP NAS comparison, where I go through the main differences between the two biggest brands in the world of NAS in 2021/2022. So far we have covered the brand’s rhetoric, the hardware, the graphical user interface (GUI), how they approach storage, mobile applications, multimedia sharing/streaming and desktop clients! In this final part, I will be moving into much more business-led subjects to compare the Synology DSM NAS systems and the QNAP QTS NAS devices and then conclude with which areas either brand excelled, failed or are identical. Both brands have a fantastic range of backup tools for home users to enjoy (with Synology Hyper Backup and QNAP Hybrid Backup Sync being the too most popular of course), but we are seeing a real emergence of cloud integration on either platform, as software as a service (SaaS) grows in viability – with either brand shouting loudly how they are the perfect bare-metal system to run parallel (bare metal = hardware server that is sync’d with your cloud services, among other things). So today I want to discuss their support of SaaS services, Virtual Machine self-hosting and migration from the likes of VMware and Hyper-V and a better look at Surveillance on each platform, AI-supported services and more. It is ALOT to pack into our final part before we conclude, so let’s get started.

LINK to PART I – The GUI, Control, Customization and Brand Focus

LINK to PART II – Storage Control, Mobile Apps and Multimedia

 

Synology DSM vs QNAP QTS NAS Software – Backup Tools

This is an interesting area to compare the Synology DSM and QNAP QTS NAS Software and services, as although at a balance it looks like the two brands provide the same functionality, there are a few tiny differences that (if you are not aware) may annoy yours later. As touched on early, the Synology NAS platform arrives with Hyper Backup and Active Backup Suite, whereas QNAP arrives with Hybrid Backup Sync and Hyper Data Protector. BOTH Synology and QNAP across their respective two apps each provide support of:

  • Multi-site backups that can be scheduled, have filters applied, utilize deduplication and support NAS-to-Cloud/NAS/USB/Folder operations
  • Can Backup VMs from VMware and Hyper V and (in the right format) restore the VM image on the brand-specific VM app on either brand NAS
  • Support Version retention on regular bare metal backups and VM backups
  • Guide you through a 3-2-1 Backup System using 1st party resources and applications only
  • Supports numerous backup protocols/methods that include RSync, RTRR, Differential backups and TCP BBR

So, that just about covers 95% of traditional and most frequently asked backup methods. However, this is where the brand’s differing ideas of what users want/need step in. The Synology Backup applications are definitely the better looking of the two, with the Hyper Backup tool being the more chewable/easy one of the two, supporting quite a few cloud platforms (which obviously giving their own C2 service a decent bit of space – can’t blame them), and active Backup Suite ramps things up a bit for business, allowing a larger degree of business targets/sources to implemented. One particularly attractive feature of Synology Active Backup Suite is the Google Workspace and Office 365 addons that are license-free (ie provisionally free) that allow you to connect and sync your cloud software services with the NAS to act as a SaaS local syncing system (besides subscription costs and security, internet downtime is the biggest Achilles heel of Office 365/Google Workspace). This is available on QNAP too (with BoXafe) but requires additional license fees for cloud connections. To counter this, although both Synology and QNAP support inline deduplication, the QNAP ZFS based QuTS Hero platform provides it to a much better degree right now, with additional QuDeDupe software and inline compression too (with saving in data being visible analytically) and even handles encrypted backups better with localized client software that you can install on your business devices.

There are lots more that could be covered here (Synology Drive and its client apps, QSync Pro and its improved mobile client-to-NAS services, etc) but these are when we move into the subject of synchronization, file streaming and are less about backups and more about remote level access and synchronicity in your storage. Although the QNAP Software is still very good for numerous backup methods, ZFS and its file transmission benefits still shine and the support of more kinds of 1st/3rd party external storage and cloud are available – the Synology Backup tools and services are a tad better divided between home and business needs with which services are included in Hyper Backup and Active Backup Suite respectively.

Why Choose Synology NAS? – Active Backup Suite, Hyper Backup, Licence Free Office 365/Google Workspace Sync and Synology C2

Why Choose QNAP NAS? – Hybrid Backup Sync, Many More Cloud Services Supported and Hyper Data Protector has Better Retention Policies

 

Synology DSM vs QNAP QTS NAS Software – Surveillance

Many users who are on the verge of buying a new NAS drive for home or business will often justify the purchase (to themselves or their finance manager) by factoring in that alongside the backup software safety, the multimedia streaming potential and potential saving versus long term cloud storage by ALSO considering using it as a Surveillance system. Both Synology and QNAP provide a genuine business class surveillance software package with their respective systems that allow you to utilize numerous IP Cameras, IP Speakers, network door locks and bring it all together with a single standalone security deck/feed that can be accessed locally over the network or remotely over the internet. Although both brands have done an incredible job with their respective software, over recent years we have seen a real divergence on how each brand has proceeded in their respective software. One very, VERY clear difference is that QNAP Surveillance gets spread across browser and local client app (windows, mac, phone, etc) less evenly, with adding cameras, extensively changing camera alert functions and customizing the setup being almost exclusively done in the web browser GUI but the local client allowing full camera access, PTZ control and actioning being almost exclusively on the client apps. Whereas Synology and Surveillance Station allow ALL of this to be done on the browser client and MOST of it to be possible on the desktop client app too. The Mobile client for QVR Pro and Surveillance station is a little more limited, but in terms of full software access,  think the Synology platform keeps it a little more even. Here is a breakdown of the main benefits/PROs of each surveillance NAS software:

PROS of Synology Surveillance

PROS of QNAP Surveillance

Considerably Better Browser Access & Controls

Beter 3rd Party Software integration with the Surveillance station API

Better Camera Feed Accessibility in the Browser & Clients

Fast Search Runs remarkably Smoothly

LiveCam converts a Mobile to Live NVR IP Camera Feed

Share Live Feeds to YouTube for Fast/Easy Sharing

 More Camera Licences (8x in QVR Pro)

Technically 3 Surveillance Platforms to Choose that vary in complexity

Better Client App Control and Analytics

Local KVM (Keyboard/Video/Mouse) Support

AI Surveillance services can be added on Integrated CPU NAS, Google TPU card or a GPU Card

USB Web Camera Support

CONS of Synology Surveillance

Only 2 Camera Licenses included

AI Surveillance Services are ONLY available on the DVA3221 NAS

Practically no KVM setup on Diskstaiton NAS systems

CONS of QNAP Surveillance

QVR Elite for QuTS Hero Only has 2x Licenses

Camera Feeds Cannot Natively be used and controlled by QVR Pro in the Browser

Bulk of AI Supported Services are Annual Subscription Fee-Based

Straight away, despite a rocky start, QNAP and QVR Pro grab a lot of the PROs back with their QTS QVR Pro version arriving with 8 Camera licenses (at the time of writing) which is massive compared with the 2x that Synology provides (bear in mind, a camera licence will cost between £30-50 depending on how big a multipack you buy). Likewise, the support of keyboard, video and mouse (thanks to QNAP NAS having HDMI on a large % of their systems) provides the means to interface with the system for surveillance if your network fails and the recordings are needed. Finally, a big, BIG appeal is that the AI-supported surveillance services that are growing in popularity in modern business class NVRs are available on QNAP NAS that has a decent enough embedded graphics CPU (i.e. an i3 and above), the google TPU M.2 Coral upgrade or a graphics card installed – whereas Synology has locked AI surveillance into ONLY two of their NAS systems that have a GPU card installed by default (and cost ALOT). These AI-supported services are pretty niche of course (facial recognition, people counting, zone management and object recognition) but still. many will find this hugely appealing. Here is my video breakdown comparing the two popular surveillance services for QNAP and Synology:

It is worth highlighting however that the AI-supported services on the QNAP QVR Platform are not technically ‘completely free’ and before you think that the Synology DVA3221 near £2K box is an overspend, it is worth highlighting that in order to use all the same AI-powered services on the QNAP NAS platform, you will need a NAS that either has a decent embedded CPU (starting at just over £1K for the QNAP TVS-472XT to start with) and/or a GPU card installed. Then you have to factor in the licences. Not just the camera licences (although both the DVA3221 and any QTS NAS have 8 camera licences for adding camera) but the license to use the AI services on the QVR Surveillance software. Somewhat annoyingly, QNAP has put each of the AI services (tracking faces, people recognition, AI recording analysis, Smart AI Door unlocking, etc) behind individual licenses that (for the most part) are all ‘annual’, so you will need to renew them (see below for current pricing and terms). This is quite a bitter pill to swallow in the long term and although the saving versus the Synology DVA system seems good at first, if you want to run a 4 Bay AI-Powered Surveillance system on the QNAP NAS system with 4-8 cameras, it ends up costing just as much (maybe even more once you factor in the annual fees) and only partially mitigated by the flexibility of the system you want to use.

Overall, it is pretty clear that QNAP gives the end-user ALOT in terms of surveillance for their money (although that licensing model structure gets a thumbs down from me), as well as allowing access to many modern AI CCTV services that Synology either choose to not pursue or only allow on a select few systems. Maybe you are reading this in the future and Synology have opened up this logic to allow ‘Synology supported GPU Cards’ to be installed, which would certainly give this comparison a different outcome, but there is no denying that the QVR Pro surveillance platform allows more flexibility in its setup. Alongside this, the QVR to software right now has a lot more camera licences included (though this drops to x2 on QVR Elite on the QuTS Hero platform – which though admittedly has higher performance on the local client integrated, is a bit of a shame) and many will end up seeing the potential savings being enough to overlook that Synology Surveillance station is the better Surveillance tool in terms of the GUI, supported service add ons and in how user-friendly it can be.

Why Choose Synology NAS? – Better Surveillance Software Overall, Especially in the Web Brower GUI

Why Choose QNAP NAS? – More Camera Licenses, QVR Pro has KVM Support, Wider AI Surveillance Support and Upgrade Options

 

Synology DSM vs QNAP QTS NAS Software – Virtual Machines

It wasn’t such a long time ago that the use of virtual machines (VMs) was exclusively in the business sector. The ability and utility to create a virtual and remotely accessible version of a computer (giving you need a terminal in order to utilize them in most cases) was simply not of use to the average home or even small business user. However fast forward to 2021/2022 and you find that they have accelerated in popularity, thanks to businesses requiring centralized data storage for both the convenience of duplicating computers AND to simplifying the backup/restore process. Then you have the simple appeal for prosumer or small business users to be able to create an emulated version of their own computer in order to access it anywhere in the work, run test with software/updates that they are hesitant to run on their core system OR simply to allow them to create an accessible VM of an operating system that can be run parallel to that of the core hardware (i.e. a Linux/Unbuntu VM that runs in a window, on a Windows/Mac matching). Most high-end business users in recent years have used one of two popular 3rd party client TOOLS for this, VMware vSphere and Hyper V (with other smaller tools like VirtualBox popping up). Where a NAS can be integrated into this is actually pretty cool, such as:

  • A NAS can be used as a backup target (with versioning, snapshots, etc) for the virtual machine, so you have a local restorable copy
  • A NAS can be used to run the core VM files as a remote target, whilst still using the 3rd Party Software
  • A NAS can have the 3rd Party VM data sent over to it and then the NAS can host the Virtual Machine in its very own premium VM Software
  • A NAS Can combine all three of the above to create a backup access point to a VM (in supported formats and correctly imported) that allows remote accessing VM users, in the event of disconnection or forced restoration, to switch over to the NAS based VM and continue working

Now it is worth highlighting that BOTH Synology and QNAP have excellent VM hosting applications, in Virtual Machine Manager and Virtualization Station respectively, which perform all of the above services, however, they do it in slightly different ways (involving other applications in the system that are integrated) but for VMware/HyperV, the restoration is arguably handled smoother with the Synology Virtual Machine tool and Active Backup Suite tool working together to allowing exclusive integration with Synology Virtual Machine Manager (VMM) as the temporary disaster recovery solution allows you to instantly restore services to the Synology storage server even when the production environment is down. QNAP have very similar services to this, but not the same fast, easy and integrated pass-over system. For a better understanding of the GUI of Synology Virtual Machine Manager vs QNAP Virtualization Station, take a look at the video below:

There are several very unique and arguable superior elements to the QNAP VM software that are worth highlighting. First off there is access to a VM marketplace from within the app that allows you to install Virtual Machines directly on the QNAP NAS without having to obtain the VM Image/ISO independently. These include firewall and network management virtual images such as Pfsense, RouterOS and Zabbix, but there is also a 3-click Windows VM installation option too. This allows users who just want to try out a Windows 7/8/10/Server VM before committing fully to a NAS based VM environment for business/home use and includes a 90-day trial (you can use your existing windows registered key/login if you want. Alongside this, there is also the improved VM-to-Hardware integration available on Synology Virtual Machine Manager and QNAP Virtualization station that allows you to connect USB ports to a VM and allow that virtual desktop environment to access physical local USB devices, however, QNAP takes this a noticeable degree further with the support of PCIe-to-VM connectivity that allows you to connect a Graphics card (or other suitable PCIe to that VM architecture) and allow the virtual environment to scale up considerably (perhaps for video editing or gaming, if the CPU is appropriate). Then there is the flexibility of setup on the QNAP, with Virtualization Station supporting a KVM environment and QVM (QNAP Virtual Machine) to allow a NAS with connected Keyboard, HDMI Video monitor and Mouse to have a local VM that can ALSO be accessed remotely too. Finally, QNAP has a dedicated Ubuntu application that allows you to create VMs of version 18, 19 or 20 of Ubuntu (the free Linux alternative to Windows and MacOS) in around 3-4 clicks of the mouse! This is a very rare occasion in this Synology vs QNAP comparison where I can genuinely 100% say that QNAP spent much, much more time working on 1st party support and Synology keeping it a little more openly supported with 3rd parties – though, given the maturity of the likes of VMware, this is understandable. This is also demonstrated on the subject of container image and deployment (if a VM is an entire OS, then a Container is an application or program that is running without an OS to live on to off) where the QNAP platform has its own Container Station application and download center/marketplace and Synology use the industry popular Docker tool.

Synology’s Virtual Machine Manager is a fantastic tool and definitely one that has enterprise users in its sights! With that improved integration with existing enterprise VM software providers in the market, they have made a very clear decision that their free VM software still has a business feel, whereas QNAP has shaped their VM tool to something more accessible for all tiers (though lacking the snap cloud-to-local VM deployment – which is a real shame). Much like AI surveillance on the QNAP platform, a few of the biggest features of Synology Virtual Machine Manager are license/subscription fee-based (which is a shame, but understandable given the target demographic and its scope when FULLY deployed, these include:

Synology VMM

(Free)

Synology VMM Pro

(License Required)

Supported Operating System Windows, Linux, and Virtual DSM
Cluster Management Included Included
QoS Settings Included Included
CPU Overcommit Physical CPU threads x2 Physical CPU threads x4
Max Virtual Switches 4 4096
Max Snapshots per VM 32 255
VM Share Links per Host 1 16
Remote Replication Plan Not Included Included
Remote Storage Migration Not Included Included
Run VM on Remote Host Not Included Included
High Availability Not Included Included
Live Migration Not Included Included

Overall, it is going to be a case of whether you are coming into the subject of virtual machines as a completely fresh start, coming from a moderately experienced background or are looking for a system to integrate into your already well established VMware or Microsoft VM environment. QNAP and Virtualization station provides a huge array of self-hosted VM deployment options, connecting with numerous 3rd party download centers to easily pull a VM image onto their system, restore an existing VM image, convert VMs into QNAP supported images and then allows you to integrate a greater deal of hardware resources towards them (GPU card, KVM, etc). They are certainly supporting those bigger VM platforms out there and allow backups, snapshots, faster restoration and making big moves into that SaaS and reducing downtime practices that businesses want, but this is where the Synology Virtual Machine Manager tools shine. With a grander focus on those Hyper-V/VMware VSphere established systems and presenting themselves as a failure and support system, they make their integration a great deal easier for companies to choose. They still take a big advantage by allowing a VM live backup to be stitched over to Synology Virtual Machine Manager as a viable recovery and restoration option, which is likely going to be the clincher for many.

Why Choose Synology NAS? – Synology Virtual Machine Manager is VERY intuative, Cloud VM-to-Local VM Migration & Restoration

Why Choose QNAP NAS? – QNAP Virtualization Station supports more OS/Formats, 3 Click VM download & Install, Dedicated VM tools for different VM Images and has Better Hardware Configuration Options Overall

 

Synology DSM vs QNAP QTS NAS Software – Conclusion

It’s been a very, VERY long road but we can finally look just how Synology DSM and QNAP QTS for NAS (as well as all the hardware and services in between) compare. There has been a long-running theme all the way through that where Synology has focused on FIRST-PARTY (i.e. Synology-brand) software and hardware priority, then supporting THIRD-PARTY services/hardware when they haven’t got a viable alternative in-house – to mixed degrees of popularity. Whereas QNAP has been a much more level playing field where they have released their own innovative hardware/software (occasionally a little too quickly) and singing its praises, but also tried to keep customization and flexibility for 3rd parties as open as possible and shouting loud-and-proud about that too – which can be a tad overwhelming for the less tech-savvy. Both brands have done an incredible job evolve their platforms as much as they have in 2021/2022, especially when Microsoft, Google and Amazon are pouring BILLIONS into the SaaS (and PaaS and IaaS – Platform and Infrastructure as a Service) in order to create entirely streamable ecosystems for businesses, with NAS brands like Synology and QNAP not only integrating with them but also thriving alongside them as a local/bare-metal failsafe.

These are all very lofty ideas and ones that most home or small business users will likely have little time for right now (aside from where NAS fits in with their Google/Office 365 office tools like documents, email and spreadsheets at a pinch) and for those users, who the NAS stands on its own two feet is what is going to matter most. Synology is earning its position in the market as the complete 1st party software and hardware package in 2021/2022, with a genuinely groundbreaking range of available services, but still managing to make NAS accessible for all in DSM 6.2/7.0. That said, the trends we are seeing in those sub-enterprise services that are slowly receding in support of popular 3rd party hardware, software and services, making using a Synology NAS alongside your own existing setup in a frictionless way cannot be ignored and leading some to think Synology is shifting their industry position towards something higher.

QNAP NAS on the other hand, although maybe trying to cover too many bases at once, is still trying to cover as much as it can to appear to their audience. Their support of considerably more 3rd party platforms/software/services, even when they have their own software available, is certainly admirable and aside from rather aggressive pricing on their QVR Pro surveillance platform, are still the better choice for those who want a much more adaptable and customizable platform. Its a pretty understandable fact that most people who buy a NAS will be arriving with an existing collection of software in their daily workflow (Office 365 for docs, Gmail for their email, Plex for their media, Chromebook for their commute, Skype/Whatsapp for their communication, TB3 for their editing, etc) and it has to be said that QNAP keeps a more open platform to adapt a NAS into this mix than Synology – occasionally less intuitively and not without a little setup-friction, but certainly to more customizable results.

Unsurprisingly, I am going to tell you that both Synology and QNAP NAS are good NAS brands and have earned their place at the top of the industry (whilst both making their own respective moves to integrate into the next tier – ie SaaS providers, Hyperscale environments and Boundless cloud storage), but there is no denying that no one brand has managed to do EVERYTHING to perfection. So, if in double, below is how I would recommend QNAP and Synology NAS to you, for each user case scenario and I hope this guide and my recommendations help you with your next big data storage purchase.

 

Why Choose Synology NAS?

Better Surveillance Software

More Intuative and User-Friendly Design

EXCELLENT 1st Party Alternative Apps to Existing 3rd Party Tools

(including Synology Chat, Mail, Office, Drive, Calendar and more)

Greater Support/Migration with VMware & Hyper-V

Better Redundant System Options (SHA)

Greater Support on Amazon Home Hardware

Synology Hybrid RAID for flexibility in Media Upgrades

BTRFS on Most systems

Longer Warranty Available on More Systems

First Party SSD and HDDs Available

Typically Quieter Operation

If you are thinking of buying a Synology NAS, please use the links below

Why Choose QNAP NAS?

Better 1st Party/Hosting Virtual Machines

Better Plex Media Server NAS

More Adaptable and Customizable

Wider Support of Surveillance using AI Recognition

EXCELLENT KVM Support

More Camera Licenses

ZFS or EXT4 File System Choice on many systems now

2.5Gbe Network Interfaces at 1Gbe Cost

Allows NVMe SSD Storage Pools and Volumes

Support of QTier for intelligent Data storage for Access

Greater 1st and 3rd Party Hardware Upgrade Compatibility

(including Graphics Cards, WiFi 6 and Thunderbolt)

If you are thinking of buying a QNAP NAS, please use the links below

 

Need More Help Choosing Between Synology or QNAP NAS?

Choosing the right data storage solution for your needs can be very intimidating and it’s never too late to ask for help. With options ranging from NAS to DAS, Thunderbolt to SAS and connecting everything up so you can access all your lovely data at the touch of a button can be a lot simpler than you think. If you want some tips, guidance or help with everything from compatibility to suitability of a solution for you, why not drop me a message below and I will get back to you as soon as possible with what you should go for, its suitability and the best place to get it. This service is designed without profit in mind and in order to help you with your data storage needs, so I will try to answer your questions as soon as possible.


Articles Get Updated Regularly - Get an alert every time something gets added to this page!


 

Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

 

SEARCH IN THE BOX BELOW FOR NAS DEALS

Need Advice on Data Storage from an Expert?

We want to keep the free advice on NASCompares FREE for as long as we can. Since this service started back in Jan '18, We have helped hundreds of users every month solve their storage woes, but we can only continue to do this with your support. So please do choose to buy at Amazon US and Amazon UK on the articles when buying to provide advert revenue support or to donate/support the site below. Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you. Need Help? Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry. [contact-form-7] Terms and Conditions Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.  

 

Nouveauté : Microsoft 365 va intégrer une version Web de Visio

10 juin 2021 à 13:00

Microsoft a fait une annonce très intéressante : Visio, le célèbre logiciel de dessins et de diagrammes va être proposé en version Web et sera accessible via un abonnement Microsoft 365. Jusqu'ici, Visio était disponible seulement sous la forme d'une application Desktop.

La version Web sera disponible en juillet, et ce sera une version allégée en comparaison de la version Desktop que l'on connaît. Seth Patton, General Manager de Microsoft 365, précise que "Visio a longtemps été disponible uniquement en tant qu'application autonome, à acheter pour les personnes ayant des besoins spécialisés en matière de diagrammes. Mais, cela est en train de changer ! Nous avons conscience qu'il y a un besoin croissant des utilisateurs pour avoir une solution de création de diagrammes, permettant à chacun de transmettre des informations de manière plus efficace. C'est pourquoi nous sommes ravis d'annoncer que nous allons intégrer les fonctionnalités principales de Visio à Microsoft 365, et cela pour tous les clients avec une licence payante".

Visio, en mode Web
Visio, en mode Web

Par licence payante, Microsoft entend intégrer Visio pour tous les clients qui ont une licence étant dans cette liste : Microsoft 365 Business, Office 365 E1, E3, E5, F3, A1, A3, A5. Puisque les licences A1, A3 et A5 sont dans la liste, cette nouveauté va profiter également aux étudiants, si l'établissement utilise Office 365. Microsoft continue de renforcer son offre, à l'heure où la CNIL recommande aux établissements de l'enseignement supérieur de fuir les solutions comme Teams ou Zoom.

Grâce à cette version Web, Visio devrait pouvoir s'intégrer plus facilement au sein de l'écosystème Microsoft 365 / Office 365. Par exemple, une intégration avec Teams est déjà prévue.

Microsoft Visio, dans Teams
Microsoft Visio, dans Teams

En complément, Microsoft proposera toujours les plans Visio Plan 1 et Visio Plan 2 qui permettent d'obtenir la version Desktop de Visio au travers d'un abonnement Microsoft 365. Cela existe déjà depuis plusieurs années.

Personnellement, il m'est arrivé d'utiliser Visio très régulièrement pour réaliser des schémas réseau, et je suis sûr que je ne suis pas le seul ! 😉

Retrouvez l'annonce de Microsoft sur cette page : Microsoft - Visio - Office 365

PS : pour demander un Early Access à cette nouveauté, c'est par ici : Formulaire visio

The post Nouveauté : Microsoft 365 va intégrer une version Web de Visio first appeared on IT-Connect.

Comment générer un rapport des équipes Teams avec PowerShell ?

26 mai 2021 à 13:00

I. Présentation

Dans ce tutoriel, nous allons utiliser PowerShell pour générer un rapport complet sur les équipes Teams de votre tenant Office 365 : liste des équipes, des canaux, des propriétaires, du nombre de membres, etc.

Depuis plus d'un an maintenant, Microsoft Teams est devenu un outil incontournable pour de nombreux établissements scolaires et de nombreuses entreprises. Néanmoins, savez-vous combien il y a d'équipes Teams sur votre tenant Office 365 ? Savez-vous qui sont les propriétaires des équipes Teams ? Connaissez-vous la liste des canaux présents dans chaque équipe Teams ? Est-ce qu'il y a des équipes Teams qui contiennent des invités ? Etc... Tout autant de questions que l'on peut se poser.

Je vous propose de créer un script PowerShell qui va nous permettre de générer un rapport Teams (dans un fichier CSV) avec les informations suivantes :

  • Nom de l'équipe Teams
  • Date de création de l'équipe
  • Liste des canaux de l'équipe
  • Liste des propriétaires de l'équipe
  • Nombre de membres dans l'équipe
  • Nombre d'invités dans l'équipe
  • Type d'accès pour cette équipe

Si vous êtes prêt, on va commencer à scripter... J'en profite pour mentionner ces deux articles qui pourraient vous intéresser :

➡Comment gérer ses équipes Teams avec PowerShell ?

➡Comment créer des équipes Teams en masse ?

II. Prérequis

Pour exécuter ce script, vous avez besoin de PowerShell bien sûr, mais surtout de deux modules PowerShell spécifiques :

  • Exchange Online Management
Install-Module -Name ExchangeOnlineManagement
  • Microsoft Teams
Install-Module -Name MicrosoftTeams

Nous allons exploiter des commandes de ces deux modules. Il faudra ensuite initier une connexion sur ces deux services à l'aide d'un compte Administrateur du tenant Office 365 :

Connect-ExchangeOnline
Connect-MicrosoftTeams

III. Script PowerShell - Rapport Teams

Nous allons y aller par étape pour que vous puissiez bien comprendre ce que l'on fait, et en fin d'article je vais vous mettre le code complet du script PowerShell.

A. Récupérer la liste de toutes les équipes Teams

Notre point de départ, ce sera la liste de toutes les équipes Teams du tenant que l'on va stocker dans la variable $TeamList. On gardera seulement deux propriétés : le nom d'affichage de l'équipe (DisplayName) et l'identifiant unique (GroupID)

$TeamList = Get-Team | Select-Object DisplayName,GroupID

Pour ma part, j'ai quatre équipes :

B. Une boucle Foreach pour traiter chaque équipe Teams

Pour chaque équipe contenue dans $TeamList, nous allons devoir récupérer des informations. Du coup, on va utiliser une boucle Foreach pour traiter chaque ligne de l'objet $TeamList.

Foreach ($Team in $TeamList)
{
 <traitement>
}

Maintenant, nous allons remplir la partie "<traitement>" pour récupérer les informations que l'on souhaite. Pour commencer, on peut déjà stocker en variable le nom de l'équipe et l'identifiant unique : deux informations que l'on connaît déjà.

# GUID Equipe
$TeamGUID = $($Team.GroupId).ToString()

# Nom de l'équipe
$TeamName = $Team.DisplayName

C. Date de création de l'équipe Teams

Dans la variable $TeamCreationDate, nous allons stocker la date de création de l'équipe Teams. Pour récupérer cette information avec PowerShell, il faut ruser un petit peu... Lorsqu'une équipe Teams est créée, il y a un groupe unifié Office 365 qui est créé automatiquement (et un site SharePoint aussi, d'ailleurs).

Grâce à la commande Get-UnifiedGroup et au GUID de l'équipe Teams, on va pouvoir récupérer la valeur de la propriété WhenCreated : elle contient la date et l'heure de création de ce groupe, et donc de l'équipe. Il y a une alternative, récupérer la date et l'heure au format UTC, dans ce cas il faudrait utiliser "WhenCreatedUTC".

# Date de création de l'équipe
$TeamCreationDate = Get-UnifiedGroup -Identity $TeamGUID | Select -ExpandProperty WhenCreated

D. Liste des canaux de l'équipe Teams

Seconde information que l'on va récupérer : la liste des canaux de l'équipe Teams. Cette fois-ci, c'est le cmdlet Get-TeamChannel que l'on va utiliser et on va cibler l'équipe grâce à son identifiant unique. On récupérera seulement le nom d'affichage de chaque canal.

Voici comment obtenir cette information et la stocker dans $TeamChannels :

# Canaux de l'équipe
$TeamChannels = (Get-TeamChannel -GroupId $TeamGUID).DisplayName

E. Liste des propriétaires de l'équipe Teams

Pour récupérer la liste des propriétaires de l'équipe, on va utiliser Get-TeamUser. Cette commande permet de lister aussi bien les propriétaires, que les membres et les invités. Ce qui nous oblige à appliquer un filtre supplémentaire sur la propriété "Role" qui est égale à "Owner" lorsqu'il s'agit d'un propriétaire.

# Propriétaires de l'équipe
$TeamOwner = (Get-TeamUser -GroupId $TeamGUID | Where{$_.Role -eq 'Owner'}).User

F. Nombre de membres dans l'équipe Teams

Toujours avec le même cmdlet, nous allons pour récupérer le nombre de membres présent dans l'équipe Teams. J'ai pris la décision de seulement compter le nombre de membres plutôt que de récupérer la liste nominative, mais c'est possible aussi.

Cette fois-ci, le filtre "Role" doit être égal à "Member" et on s'appuiera sur Count pour compter le nombre de membres. De cette façon, nous ne comptons pas les propriétaires dans la liste des membres.

Nous ajoutons une condition "if" pour tester la variable $TeamUserCount qui contient le nombre de membres. Si elle est nulle, c'est-à-dire qu'il n'y a pas de membre dans l'équipe, on force la valeur à 0. C'est un cas de figure possible.

# Nombre de membres dans l'équipe
$TeamUserCount = (Get-TeamUser -GroupId $TeamGUID | Where{$_.Role -eq 'Member'}).Count
if ($TeamUserCount -eq $null){ $TeamUserCount = 0 }

G. Liste des invités de l'équipe Teams

Pour récupérer la liste des invités de l'équipe Teams, toujours sur le même principe sauf que le filtre "Role" doit être égal à "Guest". Pour les invités, je pense que c'est intéressant d'obtenir la liste, cela permettra de voir s'il y a des adresses un peu suspectes dans les invités.

Au-delà du rôle, lorsqu'un utilisateur est membre d'une équipe en tant qu'invité, la propriété "User" n'est pas égale à son adresse e-mail, mais la valeur est formée d'une manière spécifique puisqu'elle contient "#EXT#". Par exemple, pour l'invité "[email protected]", cela donne : teams_it-connect.fr#EXT#@itctech.onmicrosoft.com

Finalement, nous n'avons pas besoin de "#EXT#@itctech.onmicrosoft.com" dans la sortie, alors je vous propose que l'on découpe la valeur pour récupérer uniquement ce qui est avant le premier "#". Pour découper la valeur, on va utiliser la méthode Split() et une boucle Foreach pour traiter chaque ligne, c'est-à-dire chaque compte invité. Ce qui donne :

(Get-TeamUser -GroupId $TeamGUID | Where{$_.Role -eq 'Guest'}).User | Foreach{ $_.Split("#")[0] }

Pour éviter d'avoir une erreur sur la méthode Split() dans le cas où il n'y a pas d'invité dans l'équipe, on va ajouter une condition if : on applique la modification sur la chaîne avec Split() seulement si le résultat de Get-TeamUser n'est pas null après avoir subi notre filtre (Where).

(Get-TeamUser -GroupId $TeamGUID | Where{$_.Role -eq 'Guest'}).User | Foreach{ if($_ -ne $null){ $_.Split("#")[0] } }

La valeur :

teams_it-connect.fr#EXT#@itctech.onmicrosoft.com

Devient :

teams_it-connect.fr

On pourrait remplacer "_" par "@" pour obtenir l'adresse e-mail, mais si l'adresse e-mail d'origine contient déjà "_" on risque de se retrouver avec une adresse e-mail... Bizarre 😁.

Ce qui donne la variable $TeamGuest :

# Liste des invités de l'équipe Teams
$TeamGuest = (Get-TeamUser -GroupId $TeamGUID | Where{$_.Role -eq 'Guest'}).User | Foreach{ if($_ -ne $null){ $_.Split("#")[0] } }
if ($TeamGuest -eq $null){ $TeamGuest = 0 }

La condition "if" qui termine le bloc de code ci-dessus va permettre de définir la valeur à 0 dans le cas où il n'y a pas d'invité dans l'équipe.

H. Type d'accès à l'équipe

Certaines équipes sont ouvertes, c'est-à-dire que n'importe qui dans l'organisation peut rejoindre l'équipe, tandis que d'autres sont privées : il faut être ajouté par un propriétaire. Lorsque l'on modifie une équipe, cela correspond à ce champ :

C'est ce que nous allons indiquer comme information dans notre variable $TeamGroupAccessType. Cela tombe bien, la commande Get-UnifiedGroup permet d'obtenir cette information avec sa propriété AccessType.

# Type d'accès à l'équipe Teams
$TeamGroupAccessType = (Get-UnifiedGroup -identity $TeamGUID).AccessType

I. Créer un objet personnalisé pour l'équipe Teams

Nous avons toutes les informations dont on a besoin, il ne reste plus qu'à créer un objet personnalisé : il y aura un champ correspondant à chaque valeur. L'objectif étant de construire notre objet et ensuite d'exporter les valeurs dans un fichier CSV.

La collection d'objets $TeamListReport va contenir un objet personnalisé pour chaque équipe Teams de notre tenant Office 365. Au final, dans l'export CSV nous aurons une ligne par équipe Teams.

# Générer un objet pour cette équipe (cumulatif)
$TeamListReport = $TeamListReport + [PSCustomObject]@{
                                         TeamName = $TeamName;
                                         TeamCreationDate = $TeamCreationDate;
                                         TeamChannels = $TeamChannels -join ', ';
                                         TeamOwners = $TeamOwner -join ', ';
                                         TeamMemberCount = $TeamUserCount;
                                         TeamAccessType = $TeamGroupAccessType;
                                         TeamGuests = $TeamGuest -join ',';
                                     }

Lorsque l'on a "TeamName = $TeamName", il faut savoir que le nom de la colonne dans le CSV ce sera "TeamName" et la valeur correspondra à $TeamName. Tout ça pour vous dire que vous pouvez facilement renommer les colonnes.

Autre précision, quand nous avons " -join ', ' ", cela permet de fusionner les lignes en une seule. Par exemple, s'il y a deux canaux "Général" et "Projet1", au lieu d'avoir la valeur sur deux lignes, nous aurons "Général, Projet1" dans l'export CSV.

J. Exporter le rapport au format CSV

Dernière étape, peut-être la plus facile : exporter $TeamListReport dans un fichier CSV. On va utiliser le cmdlet prévu à cet effet, à savoir Export-Csv. Le fichier sera créé à l'emplacement suivant "C:\TEMP\" (vous pouvez modifier ou sinon créez le dossier s'il n'existe pas) et sera nommé "TeamsReporting.csv".

$TeamListReport | Export-Csv "C:\TEMP\TeamsReporting.csv" -Delimiter ";" -Encoding UTF8 -NoTypeInformation

Tout est prêt, alors on fait un essai ? 😃😃

IV. Aperçu du rapport Teams

Il est temps de tester le script pour voir à quoi va ressembler notre rapport sur les équipes Teams. Dans mon exemple, voici ce que ça donne en ouvrant le fichier avec Excel :

Rapport Teams PowerShell

Maintenant que vous avez en possession ce script, vous pouvez le faire évoluer pour ajouter ou supprimer de nouvelles colonnes. En tout cas, c'est une base intéressante pour faire un reporting des équipes Teams de son tenant Office 365.

➡ Pour télécharger le script Get-TeamsReport.ps1, rendez-vous sur mon Github : Get-TeamsReport.ps1

The post Comment générer un rapport des équipes Teams avec PowerShell ? first appeared on IT-Connect.

Office 365 : comment améliorer la délivrabilité et la sécurité de vos e-mails ?

18 mai 2021 à 13:00

I. Présentation

Que ce soit avec Office 365 et Exchange Online, ou une autre solution de messagerie, lorsque l'on parle d'e-mails, il y a deux termes qui reviennent encore et encore, constamment : sécurité et délivrabilité.

En tant qu’administrateur infrastructure, on souhaite éviter autant que possible de recevoir les mails de type spam, phishing, contenant des pièces jointes frauduleuses. Alors on met en place des filtres anti-phishing, antispam. On cherche aussi à sécuriser les e-mails au départ de notre serveur de messagerie, et faire en sorte qu’ils soient sains. Et puis on souhaite enfin s’assurer que nos mails passent les filtres de sécurité des serveurs de messagerie distants sans encombre, et arrivent directement dans la boîte mail du destinataire, sans passer par la case spam.

Avec Office 365, il y a plusieurs manières (complémentaires) d’arriver à nos fins. L’une d’entre elles est de passer par le trio gagnant des enregistrements DNS : « SPF », « DKIM » et « DMARC ».

II. Prérequis

III. Pourquoi l’enregistrement SPF n’est pas suffisant ?

Bon, je vous vois venir, vous allez me dire que lorsque vous configurez un nouveau domaine dans Office 365, vous devez obligatoirement configurer un enregistrement SPF dans votre zone DNS, et que cet enregistrement sert déjà à améliorer la sécurité et la délivrabilité de vos mails. Alors, à quoi bon s’embêter avec DKIM et DMARC ?

On va la faire courte : SPF est bien entendu nécessaire, mais n’est absolument pas suffisant. C’est là que DKIM et DMARC entrent en jeu.

Je vous explique.

A. SPF – Comment ça marche ?

SPF (ou Sender Policy Framework) est une norme adoptée à l’international qui permet de réduire les spams au niveau de votre serveur.

Concrètement, l’enregistrement SPF sert à authentifier l’expéditeur d’un courrier électronique. Cela permet de vérifier que le serveur qui envoie un mail à partir d’une adresse mail en @mondomaine.com est bien un serveur légitime.

Le nom de domaine de l’émetteur est extrait de l’en-tête du mail reçu (« MAIL FROM : »), et une requête DNS est émise sur ce domaine pour connaître la liste des serveurs de messagerie légitimes qui peuvent émettre des mails pour ce domaine précis. On compare alors cette liste de serveurs à l’adresse IP du serveur qui a émis le message.

Par exemple dans mon cas, comme mes domaines sont configurés sur Office 365, seuls les serveurs Exchange Online du tenant Office 365 sont autorisés à envoyer des mails à mon nom.

Du coup, si jamais quelqu’un essaye de se faire passer pour moi en envoyant un mail en mon nom, son serveur ne sera pas reconnu comme légitime et le mail pourra donc être classifié comme mail frauduleux / spam.

SPF est donc devenu un indispensable pour :

  • Augmenter la délivrabilité globale de ses mails
  • Se défendre contre l’usurpation d’identité de domaine, ainsi que l’usurpation d’adresse électronique (mail)

Cependant, SPF ne sait pas gérer les transferts de mail, et c’est là que les enregistrements DKIM entrent en jeu.

B. SPF – Les bonnes pratiques

L’enregistrement SPF est un enregistrement dans votre zone DNS publique de type TXT qui contient la liste des serveurs de messagerie autorisés à envoyer un mail pour votre domaine.

Voici une bonne pratique à respecter en toute circonstance : incluez toujours vos serveurs sous la forme server.mondomaine.com, ne listez pas les adresses IP une par une.

A. Vérifier la configuration SPF

Vous pouvez vérifier la validité de votre enregistrement SPF en utilisant cet outil gratuit.

Renseignez dans le champ votre nom de domaine, puis cliquez sur le bouton « Valider DNS ».

Vous obtiendrez alors un résultat complet de l’analyse de votre enregistrement SPF.

Dans mon cas, ma configuration SPF est validée, et le serveur spf.protection.outlook.com (correspondant à Office 365) est bien celui qui est déclaré. Tout est parfait! 🙂

 

IV. Comprendre et configurer DKIM

A. DKIM – Comment ça marche ?

DKIM est un acronyme pour Domain Keys Identified Mail. Cette technologie permet d’envoyer un message chiffré, et de s’assurer que celui-ci n’a subi aucune altération durant sa transition entre le serveur émetteur et le serveur récepteur.

Rassurez-vous, le contenu du mail n’est pas chiffré, et votre destinataire pourra continuer à lire le message sans vous demander de clé de déchiffrement.

Au moment où vous envoyez votre mail, le serveur émetteur le chiffre via sa clé DKIM privée. Le serveur récepteur va lui vérifier la clé DKIM publique (l’enregistrement DKIM de votre zone DNS), et comparer celle-ci avec ce qu’il a reçu. Si le test est concluant, alors le serveur émetteur est bien qui il prétend être, l’identité de l’émetteur est prouvée et le mail peut donc être délivré dans la boîte mail du destinataire.

DKIM permet donc de s’affranchir des attaques de type « man in the middle ».

Note : Cette signature DKIM se gère dans l’en-tête du mail envoyé. Cela est donc transparent pour l’utilisateur final. Comme cette signature reste dans l’en-tête, cela permet de continuer à certifier l’exactitude du mail initial si celui-ci est transféré à une tierce personne.

 

B. Pourquoi DKIM est aujourd’hui indispensable ?

Je vous conseille fortement de mettre en place DKIM en plus de vos enregistrements SPF. Pourquoi ?

Parce que DKIM prouve que le contenu du mail ainsi que les en-têtes n’ont subi aucune altération : le mail est donc authentique et légitime : personne ne l'a envoyé à votre place, et le serveur de messagerie distant est maintenant en capacité de le vérifier.

C. Configuration de DKIM pour votre domaine

Tout d’abord, ouvrez une console PowerShell et commencez par vous connecter à votre serveur Exchange Online :

Import-Module ExchangeOnlineManagement

Connect-ExchangeOnline

Avant de commencer, vérifions ensemble que mondomaine.com soit bien déclaré comme un nom de domaine utilisable par Exchange :

Get-AcceptedDomain

Vous devriez voir mondomaine.com dans la liste.

Nous allons ensuite initialiser la configuration DKIM de notre nom de domaine mondomaine.com :

New-DkimSigningConfig -DomainName mondomaine.com -Enabled $false

 

Note : Vous pouvez utiliser le paramètre -Keysize 2048 dans la commande précédente, pour forcer la taille de votre clé DKIM à 2048 bits. Pas de panique toutefois, si vous ne l'avez pas fait, vous pourrez toujours y apporter des modifications plus tard en production.

Bien. Maintenant, il nous reste à générer les enregistrements DNS « DKIM » que nous devrons ajouter dans notre zone DNS publique.

Pour cela, tapez la commande :

Get-DkimSigningConfig -Identity mondomaine.com | Format-List Selector1CNAME, Selector2CNAME

Dans mon cas, je vais donc devoir créer 2 enregistrements CNAME sur ma zone DNS :

Prenons 30 secondes pour analyser la structure des enregistrements selector1 et selector2 à créer. Ces deux enregistrements se composent comme suit :

selector<id>-<domaine>-<extension>._domainkey.<tenantOffice365>.onmicrosoft.com

Pour le domaine mondomaine.com, cela donnerait donc :

  • selector1-mondomaine-com._domainkey.mondomaine.onmicrosoft.com
  • selector2-mondomaine-com._domainkey.mondomaine.onmicrosoft.com

Il ne nous reste plus qu'à créer ces deux enregistrements CNAME dans notre zone DNS avec le paramétrage suivant :

  • Nom : selector1._domainkey & selector2._domainkey
  • TTL : 3 600 secondes

Note : Pensez bien à ajouter un point (.) à la fin du nom de domaine, pour indiquer que vous souhaitez pointer vers selector1-mondomaine-com._domainkey.mondomaine.onmicrosoft.com (domaine externe).

 

Attendez maintenant quelques secondes, le temps que votre zone DNS se réplique, puis lancez la commande suivante afin d’activer l’utilisation de DKIM pour mondomaine.com.

Set-DkimSigningConfig -Identity mondomaine.com -Enabled $true

Note : Si vous obtenez une erreur, soit une faute s’est glissée dans votre enregistrement DNS de type CNAME (pensez à bien vérifier le point final), soit vous n’avez pas attendu assez longtemps pour que la réplication de votre zone DNS soit effectuée.

D. Vérifier la configuration DKIM

Pour vérifier la bonne configuration de DKIM sur votre domaine, je vous conseille d’utiliser ce lien.

Renseignez l’un des 2 sélecteurs configurés, ainsi que votre nom de domaine, puis cliquez sur le bouton « Valider DNS ».

Note : Ne saisissez que selector1, l'outil va compléter automatiquement le reste de l'enregistrement DNS. Si vous saisissez selector1._domainkey, le test échouera.

Vous pouvez donc voir que dans mon cas l’enregistrement DKIM du sélecteur 1 est valide.

Note : Pensez bien à refaire cette étape pour chacun des sélecteurs DKIM configurés pour votre domaine.

Vous pouvez également, lorsque vous êtes connectés à votre serveur Exchange en PowerShell, exécuter la commande suivante :

Get-DkimSigningConfig -Identity mondomaine.com

Je n'obtiens pas d'erreur, mon domaine est donc correctement configuré avec DKIM.

V. Comprendre & configurer DMARC

A. DMARC – Comment ça marche ?

DMARC est un acronyme pour Domain-based Message Authentication, Reporting, and Conformance. DMARC utilise SPF et DKIM pour authentifier les expéditeurs d’emails, et fournit une protection supplémentaire.

En effet, SPF et DKIM permettent d’authentifier un expéditeur (ou non). Mais ils ne donnent aucune indication sur la conduite à tenir dans le cas d’une usurpation d’identité avérée.

C’est là que DMARC entre en jeu : lorsqu’on configure cet enregistrement DNS, on lui indique une politique à tenir. Cela permet au serveur de messagerie de savoir quoi faire de ces mails : faut-il les rejeter ? les mettre en quarantaine ? Ne rien faire mais l’historiser ?

A vous de le décider, et ça se passe dans DMARC.

B. Configuration de DMARC pour votre domaine

Afin de configurer DMARC pour votre domaine, il n’est pas nécessaire de faire des manipulations PowerShell : tout se passe dans votre zone DNS.

Il vous faut créer l’enregistrement TXT suivant dans votre zone DNS :

  • Type : TXT
  • Nom : _dmarc
  • TTL : 3 600 secondes
  • Valeur : « v=DMARC1 ; p=<policy>; rua=mailto:[email protected]; pct=100; adkim=s; aspf=s »

Quelques explications :

Pct=100 indique que cette règle s’applique à 100% des emails.

adkim=s indique que la règle d'alignement avec DKIM est stricte. Seuls les mails partant du domaine mondomaine.com sont valides. Les mails en provenance d'un sous-domaine de mondomaine.com ne sont pas considérés comme valides.

aspf=s indique que la règle d'alignement avec SPF est stricte. L'en-tête "De" du mail doit correspondre exactement au nom de domaine de la commande SMTP "MAIL FROM".

Le paramètre rua est optionnel. Si vous l'indiquez comme ici, cela permettra d'envoyer des rapports sur l'activité DMARC à l'adresse mail [email protected].

Vous pouvez remplacer <policy> par 3 valeurs. Il s’agit ici de configurer la stratégie à appliquer sur le serveur de messagerie si un mail est rejeté par DMARC :

  • None : vous êtes en mode surveillance uniquement.
  • Quarantine : les mails qui ne passent pas DMARC sont mis en quarantaine.
  • Reject : les mails qui ne passent pas DMARC sont rejetés

Note : Je vous conseille de commencer par la stratégie none. Cela vous permet d’analyser l’impact de DMARC sur les mails reçus lorsque vous le passerez en mode quarantaine. On ne sait pas exactement la quantité de messages que l’on risque de perdre (non délivrés dans la boîte de réception du destinataire) via une stratégie DMARC restrictive, commencez donc par la stratégie de surveillance « none ».

C. Vérifier la configuration DMARC

Afin de vérifier que votre enregistrement DMARC est bien configuré sur votre zone, je vous invite à utiliser ce lien.

Renseignez alors le nom du domaine à vérifier, et cliquez sur le bouton « Valider DNS ».

Si vous avez suivi mes recommandations sur l’implémentation de DMARC, vous devriez donc avoir un enregistrement présent avec une stratégie de type « none ».

VI. Et si on regardait les en-têtes de nos mails ?

Avant de nous quitter, vérifions maintenant ce qui se passe dans l’en-tête des mails en sortie de notre serveur de messagerie.

Je me suis donc envoyé un mail de mon adresse [email protected] à mon adresse Gmail personnelle, puis j’ai affiché l’intégralité du message pour pouvoir consulter l’en-tête.

On peut voir que le mail a bien été envoyé à partir d’un serveur Exchange Office365, nommé FRA01-PR2-obe.outbound.protection.outlook.com, et qu’il a été réceptionné par le serveur mx.google.com.

On peut également voir 4 mentions importantes dans la section Authentication-Results :

  • Dkim=pass
  • Arc=pass
  • Spf=pass
  • Dmarc=pass

Ces mentions indiquent que la configuration SPF, DKIM et DMARC mise en place ensemble est fonctionnelle, et que ce mail est légitime. Autrement dit :

  • Le serveur ayant envoyé le mail est bien un serveur autorisé et légitime pour envoyer des mails du domaine mondomaine.com
  • Le mail a bien été envoyé par [email protected], il n’y a donc pas d’usurpation d’identité.

 

Note : On peut également voir deux points supplémentaires :

  • L’échange du mail entre les deux serveurs de messagerie s’est bien effectué de façon sécurisée : le protocole TLS 1.2 a été utilisé pour cela.
  • La politique DMARC actuellement mise en place pour ce domaine est sur « none », comme je vous le conseille dans un premier temps. Pour l’anecdote, elle va changer dans les prochains jours pour passer en « quarantine ».

VII. Conclusion

Vous n’avez maintenant plus aucune excuse pour ne pas correctement configurer vos enregistrements SPF, DKIM et DMARC.

Et si vous êtes amenés à expliquer à vos collègues ou à votre DSI l’intérêt de configurer ces enregistrements, retenez simplement que cela :

  • Renforce la protection antispam & anti-phishing
  • Augmente la sécurité de votre serveur de messagerie
  • Permets de contrer les attaques « man in the middle » ainsi que l’usurpation de domaine et l’usurpation d’identité
  • Favorise la délivrabilité de vos mails

Sachez engin que Google, Microsoft et Yahoo travaille sur un nouveau standard pour toujours plus renforcer la sécurité et la délivrabilité des mails, j’ai nommé BIMI.

The post Office 365 : comment améliorer la délivrabilité et la sécurité de vos e-mails ? first appeared on IT-Connect.

Comment envoyer un e-mail depuis un alias avec Outlook ?

7 mai 2021 à 10:00

I. Présentation

Courant février 2021, Microsoft avait annoncé qu'il serait bientôt possible d'envoyer des e-mails directement à partir d'un alias en utilisant son client de messagerie Outlook, ainsi qu'Outlook Online.

Il semblerait que la fonctionnalité soit disponible. Pour l'utiliser, il faut activer un paramètre au sein du tenant Office 365 et la suite se passe dans Outlook. Suivez ce tutoriel si le sujet vous intéresse 😉

II. Activer l'option SendFromAliasEnabled sur Office 365

La première étape nécessite d'utiliser PowerShell et le module Exchange Online Management pour activer le paramètre "SendFromAliasEnabled", ce dernier étant sur "False" par défaut. Pour installer ce module, c'est simple :

Install-Module -Name ExchangeOnlineManagement

Ensuite, on se connecte avec un compte Administrateur sur notre tenant. Remplacez l'adresse e-mail dans la commande ci-dessous :

Connect-ExchangeOnline -UserPrincipalName [email protected]

Une fois connecté, exécutez la commande ci-dessous et vous verrez qu'état actuel de l'option SendFromAliasEnabled.

Get-OrganizationConfig | Format-Table SendFromAliasEnabled

SendFromAliasEnabled

Je vous invite à activer cette fonctionnalité en passant son statut sur "True" :

Set-OrganizationConfig -SendFromAliasEnabled $True

C'est tout pour PowerShell, la suite se passe dans Outlook. Enfin,  la suite peut se passer aussi côté administration du tenant : pour tester ce tutoriel jusqu'au bout, vous devez disposer d'un compte utilisateur avec une boite aux lettres ainsi qu'un alias sur ce même utilisateur.

Pour ma part, voici les informations que je vais utiliser :

III. Utiliser un alias sur Outlook

Ouvrez votre client Outlook et créez un nouvel e-mail en cliquant sur "Nouveau courrier". Ensuite, au niveau des champs de l'e-mail, cliquez sur le bouton "De" puis sur "Autre adresse de courrier".

Au sein de la fenêtre "Envoyer à partir d'un autre adresse de courrier", saisissez votre alias au niveau du champ "De" et validez. Pour le moment, l'alias ne s'affiche pas automatiquement lorsque l'on clique sur "De" mais j'imagine que cela viendra par la suite.

Note : au moment où vous saisissez votre alias, si c'est votre adresse e-mail principale qui revient systématiquement, je vous invite à installer les dernières mises à jour de la suite Microsoft Office 365 Apps.

L'alias prend place au sein du courrier pour le champ "De", il ne reste plus qu'à envoyer un e-mail à votre destinataire, en interne ou en externe.

Alias Outlook

Lorsque le destinataire va recevoir l'e-mail, il verra l'adresse e-mail correspondante à votre alias. Si vous répondez à l'e-mail, ce dernier sera reçu directement sur l'alias de votre adresse e-mail. En fait, les champs "FROM" et "REPLY TO" correspondent bien à l'alias de messagerie.

Voilà, si vous êtes sur Office 365 vous pouvez envoyer des e-mails à partir d'un alias dans Outlook ! Il n'est pas nécessaire d'avoir une licence spécifique pour utiliser cette fonctionnalité, simplement une boite aux lettres sur Exchange Online.

The post Comment envoyer un e-mail depuis un alias avec Outlook ? first appeared on IT-Connect.

Comment ajouter un nouveau domaine dans Office 365 ?

6 mai 2021 à 11:00

I. Présentation

Ça y est, vous êtes fin prêts à abandonner votre serveur Exchange On Premise (hébergé chez vous), pour migrer vers un serveur Exchange Online.

C’est d’ailleurs dans votre intérêt si vous n’avez pas les compétences en interne pour maintenir ce serveur au quotidien, au vu des dernières failles de sécurité identifiées sur Exchange. L’avantage avec Exchange Online, c’est que c’est Microsoft qui s’occupe de tout.

Enfin presque tout. Car le paramétrage du serveur reste à votre charge. Normal, me direz-vous.

Dans cet article, je vais m’attarder sur la bonne manière de configurer les enregistrements DNS d’Exchange Online. Mais on ne traitera pas de toute la configuration du serveur, car ça pourrait faire un cours complet. ?

II. Prérequis

Pour suivre ce tutoriel, il vous faudra respecter plusieurs prérequis :

  • Déjà, avoir un serveur Exchange Online prêt à l’emploi, c'est-à-dire un abonnement Office 365 avec la messagerie.
  • Posséder les licences Office365 nécessaires pour l’utilisation de la messagerie. Si votre entreprise a opté pour un pack de licences (E3, E5), c’est déjà dedans.
  • Un nom de domaine enregistré au nom de votre entreprise ou à votre propre nom, et sur lequel vous avez la main pour modifier la zone DNS.
  • PowerShell en version 5.1 ou +

Si vous partez de zéro, consultez directement ce tutoriel : comment créer un tenant Office 365 / Microsoft 365 ?

III. Configurer un nouveau domaine (via le centre d'administration)

Pour pouvoir envoyer des mails via un domaine personnalisé, il faut commencer par le déclarer dans Exchange Online.

Connectez-vous sur le centre d’administration de votre tenant Microsoft 365 : admin.microsoft.com, puis allez dans le menu Paramètres, puis Domaines.

Cliquez sur le bouton Ajouter un domaine, et renseignez le nom de domaine à ajouter. Par exemple : mondomaine.com.

On vous demande alors de valider que vous êtes bien le propriétaire de ce nom de domaine. Comment faire ? Plusieurs méthodes s’offrent à vous. Je vous recommande personnellement la première : l’ajout d’un enregistrement TXT à votre zone DNS. Simple et efficace.

L’utilitaire de configuration va essayer de détecter le fournisseur d’hébergement DNS, autrement dit le fournisseur chez qui vous avez acheté votre nom de domaine et chez qui vous vous connectez pour modifier votre zone DNS. Dans notre cas, il s’agit d’Azure, mais vous pouvez très bien le modifier manuellement si la détection n’a pas fait correctement son job.

On vous donne alors les informations à ajouter dans votre nouvel enregistrement TXT sur votre zone DNS :

  • Nom TXT
    • @ (ou ignorer s'il n'est pas pris en charge par le fournisseur)
  • Valeur TXT
    • MS=ms57389148
  • Durée de vie
    • 3600 secondes (ou la valeur par défaut de votre fournisseur)

La procédure exacte pour ajouter cet enregistrement chez votre registrar DNS peut changer en fonction de chez qui vous êtes. Pour l’exemple, je vais vous montrer comment faire sur l’interface de Gandi. Bien sûr, les menus peuvent être différents en fonction de votre fournisseur.

Une fois sur la zone DNS de votre nom de domaine, cliquez sur le bouton Ajouter, puis choisissez TXT comme type d’enregistrement DNS :

Configurer la valeur TTL (Time To Live, ou Durée De Vie) à la valeur préconisée par Microsoft, soit : 3600 secondes.

Mettre @ ou laisser vide le nom de votre enregistrement DNS. Ce point peut différer en fonction de votre interface de gestion DNS.

Enfin dans la zone de texte, renseignez la valeur donnée par Microsoft, soit : MS=ms67153608

Une fois l’enregistrement créé, retournez sur l’interface de Microsoft, et cliquez sur le bouton Vérifier.

Si la propriété du nom de domaine est vérifiée, vous passez à l’étape suivante de configuration. Sinon, vous obtiendrez une erreur. En règle générale, l’erreur vient d’un mauvais enregistrement TXT : vous avez pu oublier le @ ou faire un mauvais copier / coller.

Cliquez sur Continuer.

Pour que les mails en provenance et à destination de votre nom de domaine puissent être correctement routés par Microsoft 365, vous avez encore quelques étapes à respecter : Configurer dans votre zone DNS les enregistrements MX, CNAME, TXT.

L’enregistrement MX indique quel est le serveur de messagerie, et indique également la priorité associée à chaque serveur s’il y en a plusieurs. Cela permet de dire via votre zone DNS quel est votre serveur de messagerie préféré, et également de configurer un serveur de messagerie secondaire.

Comme tout à l’heure, créez un nouvel enregistrement dans votre zone DNS, mais cette fois de type MX.

Créez ensuite les enregistrements CNAME et TXT demandés :

L’enregistrement CNAME « autodiscover » permet de faciliter la configuration de votre client de messagerie Outlook : il suffit d’entrer le nom de l’utilisateur et son mot de passe et la configuration serveur s’effectue automatiquement.

ATTENTION : La valeur à renseigner est bien autodiscover.outlook.com. avec un point à la fin. Cela indique à votre zone DNS que vous pointez vers une autre zone DNS, soit dans notre cas l’enregistrement autodiscover.outlook.com. Si vous oubliez le point à la fin, vous pointerez alors sur autodiscover.outlook.com.votrezonedns.extension. Ce qui ne fonctionnera pas.

L’enregistrement TXT est ce qu’on appelle un enregistrement SPF.

Vérifiez les enregistrements une fois que vous êtes prêts. Microsoft va alors interroger vos serveurs DNS pour vérifier la conformité des enregistrements, et vous remonte les erreurs s’il y en a. Par exemple, dans mon cas :

Là c’est plutôt explicite : un enregistrement SPF existait déjà sur ma zone DNS, automatiquement ajouté par Gandi. Il me reste à le supprimer et on sera bon.

NOTE : Vous pouvez aussi être amenés à supprimer des enregistrements de type MX, automatiquement ajoutés sur votre zone DNS.

Tous vos enregistrements DNS devraient maintenant être valides.

IV. Configurer un nouveau domaine (via PowerShell)

Pour effectuer la même manipulation sous PowerShell, une fois connecté à votre tenant Microsoft 365 via PowerShell, tapez la commande suivante :

New-MsolDomain -Name "mondomaine.com"

On demande ensuite les enregistrements DNS pour procéder à la vérification de la propriété du domaine :

Get-MsolDomainVerificationDns -DomainName "mondomaine.com" -Mode DnsTxtRecord

Comme dans la procédure manuelle, on se connecte sur notre espace de gestion Noms de domaine / Zones DNS, pour ajouter l’enregistrement TXT validant la propriété du nom de domaine.

On vérifie ensuite la propriété :

Confirm-MsolDomain -DomainName "mondomaine.com"

À ce stade, ce n’est plus si évident de récupérer les enregistrements MX, CNAME, et SPF pour les configurer ensuite dans votre zone DNS. Il est préférable de finir cette partie-là à la main.

Mais si vous êtes comme moi, et que vous aimez bien tout automatiser alors la suite est pour vous.

Vous aurez besoin du module AzureAD sur votre PC.

Install-Module AzureAD

Import-Module AzureAD

Connectez-vous ensuite à votre AzureAD :

Connect-AzureAD

Tapez la commande suivante pour récupérer les informations permettant de créer les enregistrements MX, CNAME et TXT :

Get-AzureADDomainServiceConfigurationRecord -Name coosol.net | Select Label, RecordType, Ttl, MailExchange, Preference, Text, CanonicalName

Si le label correspond à votre nom de domaine, lorsque vous ajouterez cet enregistrement DNS, cela correspond au @.

ATTENTION : Sur l’enregistrement CNAME, il vous faudra ajouter un point à autodiscover.outlook.com, sinon vous vous retrouverez avec un enregistrement du type autodiscover.outlook.com.mondomaine.com ce qui n’est pas du tout ce que vous souhaitez.

 

V. Script PowerShell - Récupérer les enregistrements DNS à créer

Pour aller encore plus loin, voici un script qui vous retourne en sortie un tableau propre des enregistrements DNS à ajouter dans votre zone DNS.

On réutilise les mêmes commandes que précédemment, mais cette fois on reformate les données pour que ce soit plus lisible en sortie.

#Install-Module AzureAD -Force
Import-Module AzureAD
Connect-AzureAD -Credential (Get-Credential)
$domain = "coosol.net"
$result = @()
$DNSRecords = (Get-AzureADDomainServiceConfigurationRecord -Name $domain | Select Label, RecordType, Ttl, MailExchange, Preference, Text, CanonicalName)
Foreach ($DNSRecord in $DNSRecords) {
    if ($DNSRecord.Label -eq $domain) {
        $Label = "@"
    }
    else {
        $Label = $DNSRecord.Label
    }
    $ttl = $DNSRecord.ttl + " secondes"
    switch ( $DNSRecord.RecordType )
    {
        Mx
        {
            #Enregistrement DNS de type MX
            $result += [PSCustomObject]@{
                Type = "MX"
                TTL = $ttl
                Nom = $Label
                Priorite = $DNSRecord.Preference
                Valeur = $DNSRecord.MailExchange
            }
        }
        Txt
        {
            #Enregistrement DNS de type TXT (SPF)
            $result += [PSCustomObject]@{
                Type = "TXT"
                TTL = $ttl
                Nom = $Label
                Valeur = $DNSRecord.Text
            }
        }
        Cname
        {
            #Enregistrement DNS de type CNAME
            $Valeur = $DNSRecord.CanonicalName + "."
            $result += [PSCustomObject]@{
                Type = "CNAME"
                TTL = $ttl
                Nom = "autodiscover"
                Valeur = $Valeur
            }
        }
    }
}
Clear-Host
Write-Output "Enregistrements DNS à créer :`n"
Write-Output $result

 

VI. Comment vérifier l'intégrité d'un nom de domaine sur Office 365 ?

À partir du centre d’administration admin.microsoft.com, allez dans Paramètres, puis dans Domaines.

Sélectionnez un domaine, cliquez sur le bouton Options (les 3 petits points), puis cliquez sur Vérifier l’état d’intégrité. Tous vos enregistrements devraient être au vert :

VII. À quoi sert un enregistrement SPF ?

Le sigle SPF veut dire Sender Policy Framework. Concrètement, et sans rentrer dans les détails, cet enregistrement SPF est couramment utilisé pour sécuriser nos serveurs de messagerie, plus particulièrement pour vérifier les adresses des expéditeurs.

Cela permet de vérifier qu’un email [email protected] provient bien du serveur de messagerie configuré pour relayer les mails du domaine mondomaine.com.

Cette vérification est effectuée en arrière-plan par le serveur de messagerie et n’est en aucun cas visible de l’utilisateur final.

VIII. Conclusion

Félicitations ! Vous avez configuré votre premier domaine sur Office365. Vous pouvez maintenant créer de nouvelles boîtes de messagerie et commencer à envoyer des mails.

Mais si vous souhaitez sécuriser un peu plus votre envoi / réception de mails, je vous invite à configurer également vos enregistrements DNS DKIM / DMARC.

The post Comment ajouter un nouveau domaine dans Office 365 ? first appeared on IT-Connect.

Le stockage de Microsoft Whiteboard déplacé vers OneDrive for Business

5 mai 2021 à 13:34

Microsoft a publié un message au sein du centre de notifications Office 365 pour informer ses clients d'un changement à venir : le stockage de Whiteboard va être déplacé d'Azure vers OneDrive for Business.

Microsoft Whiteboard est un outil proposé par Microsoft qui permet d'avoir un tableau blanc collaboratif et interactif. Bien utile en période de télétravail lors des réunions d'équipe ou pour discuter au sujet d'un projet. Libre à chacun de laisser ses pensées s'exprimer sur ce tableau blanc aux allures de feuille de papier vierge.

Pour le stockage des données, Microsoft a déjà planifié l'opération de bascule d'Azure vers OneDrive for Business puisque ce sera en octobre 2021. Néanmoins, les entreprises qui le souhaitent peuvent effectuer la bascule plus tôt : une option est disponible dans le centre d'administration du tenant Office 365.

Si Microsoft a pris la décision de basculer le stockage d'Azure vers OneDrive, ce n'est pas un hasard ! Dernièrement, la firme de Redmond avait fait la même chose pour un autre service d'Office 365 : Microsoft Stream.

En fait, c'est pour trouver une réponse à plusieurs problématiques et apporter de nouvelles fonctions, notamment :

➡ Partager des données avec un utilisateur interne ou externe est plus simple avec OneDrive

➡ Restaurer un tableau blanc à l'aide de la fonction native de OneDrive

➡ Appliquer des politiques de conservation sur les fichiers correspondants aux tableaux blancs

➡ Microsoft Whiteboard suivra l'emplacement géographique de votre stockage OneDrive tandis qu'actuellement le stockage s'effectue aux États-Unis

➡ Sauvegarde : si vous utilisez un outil pour sauvegarder les données du Cloud Office 365, vos tableaux blancs pourront être sauvegardés également

➡ Reporting

Il est précisé que si un utilisateur crée un tableau blanc, il sera stocké dans son espace de stockage OneDrive. Que ce soit un tableau blanc créé à partir de l'application Windows ou créé au sein d'une réunion Teams. Sous-entendu : le compte utilisateur doit être rattaché à un espace de stockage OneDrive, sinon il va y avoir un problème !

Dans le même temps, Microsoft vient d'annoncer de nouveaux outils de dessin pour Whiteboard : les artistes, c'est à vous de jouer !

Microsoft Whiteboard

Référence du message dans le centre de notifications Office 365 : MC253185.

Source

The post Le stockage de Microsoft Whiteboard déplacé vers OneDrive for Business first appeared on IT-Connect.
❌