SEC 306BYOD demoExtravaganzaJ.Y. Grasset,S. Gaston-RaoulDirection Technique Microsoft France
Donnez votre avis !Depuis votre smartphone, sur :http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!!...
Concepts BYOD : Contexte d’accèsBYOD : une nouvelle stratégie• Corporate : Géré par l’entreprise(Domain-joined)• Managed :...
Politique de sécuritéBYOD : une nouvelle stratégieContexte d’accès ClassificationPolitiques de sécurité
BYOD : Contrôle d’accès en fonction du niveau d’authentificationScénario 1 : Niveau d’authentification
Scénario 1 : Niveau d’authentificationBYOD : Contrôle d’accès en fonction du niveau d’authentificationACCES RESTREINT AUX ...
DÉMO 1Contrôle d’accès en fonction du niveau d’authentificationBYOD : Contrôle d’accès en fonction du niveau d’authentific...
• Quoi ?– Mécanisme permettant, lors d’une authentification par certificat, d’ajouter l’appartenancede l’utilisateur à un ...
BYOD : Contrôle d’accès selon le niveau de confianceScénario 2 : Niveau de confianceterminal
Scénario 2 : Niveau de confiance duterminalBYOD : Contrôle d’accès selon le niveau de confianceTERMINAL INCONNU :SCENARIO•...
DÉMO 2Contrôle d’accès en fonction du niveau de confiance terminalBYOD : Contrôle d’accès selon le niveau de confiance
BYOD : Contrôle d’accès selon l’identitéScénario 3 : Identité
• Identité Corporate et rôle– Les revendications utilisateur (AD/AD FS) et les groupesd’appartenance sont utilisables pour...
BYOD : Contrôle d’accès selon la localisationScénario 4 : Localisation
Contexte d’accès : LocalisationBYOD : Contrôle d’accès selon la localisationPRINCIPE• Notion de passerelle depublication i...
BYOD : Prise en compte du contexte d’accès avec AD FSScénario 5 : AD FS
Scénario 5 : AD FSBYOD : Prise en compte du contexte d’accès avec AD FSSCENARIO• Deux terminaux quiappartiennent à Lucie• ...
BYOD : Protection contre la fuite d’informationScénario 6 : Protection contre la fuited’information
Scénario 6 : Protectioncontrelafuited’informationBYOD : Prise en compte du contexte d’accès avec AD FSPRINCIPE• Contrôler ...
DÉMO 3Protection contre la fuite d’informationBYOD : Protection contre la fuite d’information
BYOD : Enregistrement des périphériques avec EASScénario 7 : Enregistrement despériphériques avec EAS
DÉMO 4Enregistrement des périphériques avec EASBYOD : Enregistrement des périphériques avec EAS
• Le BYOD impose d’étendre le modèle de protection périmétrique et d’introduirela notion de contexte d’accès• Le mécanisme...
Merci de votre attention !
Prochain SlideShare
Chargement dans…5
×

BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les technologies Microsoft

503 vues

Publié le

Le BYOD (Bring Your Own Device) consiste à donner la possibilité aux employés de se connecter au réseau de l’entreprise à partir de leur équipement personnel (smartphone, tablette ou ordinateur). Le défi majeur du BYOD est lié à la sécurité. Plutôt qu’un rejet, nous préférons une approche permettant d’offrir un accès « raisonné » au réseau d’entreprise. Dans cette session, nous vous démontrerons comment il est possible d’accueillir « sous condition » des terminaux Windows, Windows RT (par exemple Surface), Windows Phone 8 et non-Windows (iPad, iPhone, Android) en prenant en compte les notions d’identité, de force d’authentification et de niveau de confiance du terminal. Cette session sera basée sur un ensemble de scénarios de démonstration permettant d’illustrer les mécanismes utilisés « sous le capot » ! Nous vous recommandons d'assister à la session "BYOD : dites enfin oui ! " (RDI105) qui abordera les concepts sur lesquels sont basées les solutions démontrées.

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
503
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
21
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Notation
  • BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les technologies Microsoft

    1. 1. SEC 306BYOD demoExtravaganzaJ.Y. Grasset,S. Gaston-RaoulDirection Technique Microsoft France
    2. 2. Donnez votre avis !Depuis votre smartphone, sur :http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!!Claviers, souris et jeux Microsoft…Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
    3. 3. Concepts BYOD : Contexte d’accèsBYOD : une nouvelle stratégie• Corporate : Géré par l’entreprise(Domain-joined)• Managed : Géré par MDM• Controlled : Contrôlé par EAS• Unmanaged : Inconnu• Accès interne- Wifi/Filaire• Accès externe- Pays/Etranger• Corporate : employé• Federated : partenaire• Social : inconnu• Multi-facteur : Carte à puce• Fort : certificat logiciel• Moyen : mot de passe fort• Faible : mot de passe faible
    4. 4. Politique de sécuritéBYOD : une nouvelle stratégieContexte d’accès ClassificationPolitiques de sécurité
    5. 5. BYOD : Contrôle d’accès en fonction du niveau d’authentificationScénario 1 : Niveau d’authentification
    6. 6. Scénario 1 : Niveau d’authentificationBYOD : Contrôle d’accès en fonction du niveau d’authentificationACCES RESTREINT AUX DONNEESLBIACCES A TOUTES LES DONNEESACCES RESTREINT AUX DONNEESMBISCENARIO• Trois terminaux quiappartiennent à Julien• Authentification dedifférents niveaux• Selon le niveaud’authentification lesaccès seront restreintsiPad de Julien Windows 8 de Julien Windows RT de JulienCERTIFICATESMARTCARDID+PWDAUTHENTIFICATION FORTE DETECTEE:AUTHENTIFICATION MOYENNEDETECTEE :AUTHENTIFICATION MULTI-FACTEURDETECTEE :
    7. 7. DÉMO 1Contrôle d’accès en fonction du niveau d’authentificationBYOD : Contrôle d’accès en fonction du niveau d’authentification
    8. 8. • Quoi ?– Mécanisme permettant, lors d’une authentification par certificat, d’ajouter l’appartenancede l’utilisateur à un groupe en fonction d’informations contenues dans le certificat– Ajout de l’appartenance (SID du groupe) dans le jeton d’accès Kerberos• Comment ?– Ajout dans le certificat d’une « Issuance Policy » caractérisée par un OID– Création d’une correspondance entre l’« Issuance Policy » et le groupe• Pour faire quoi ?– Différencier les authentifications par certificat (par ex. vs mot de passe)– Identifier plusieurs catégories dans les authentifications par certificat– Autoriser l’accès aux ressources en fonction du niveau d’authentification en s’appuyant surles groupes de sécurité• Prérequis/Contraintes– Kerberos uniquement– DC Windows Server 2008 R2, niveau fonctionnel 2008 R2 (ou supérieur WS 2012 OK)– Client (Windows Vista) Windows 7 et supérieur, Windows Server 2008 et supérieurAuthentication (mechanism) AssuranceUn peu de technique : Authentication AssuranceAuthentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guidehttp://technet.microsoft.com/en-us/library/dd378897%28v=ws.10%29.aspx
    9. 9. BYOD : Contrôle d’accès selon le niveau de confianceScénario 2 : Niveau de confianceterminal
    10. 10. Scénario 2 : Niveau de confiance duterminalBYOD : Contrôle d’accès selon le niveau de confianceTERMINAL INCONNU :SCENARIO• Trois terminaux quiappartiennent à Lucie• Différents niveaux deconfiance pour chacun• Selon le niveau deconfiance, les accèsseront restreintsAndroïd de Lucie Windows 7 de LucieTERMINAL MANAGE (AVEC UN MDM) :Windows RT de LucieACCES RESTREINT AUX DONNEESMBITERMINALCONTROLEACCES A TOUTES LES DONNEESTERMINALMANAGE(AUTH PARLOGIN+PWD)ACCES RESTREINT AUX DONNEESLBITERMINAL CONTRÔLE (AVEC EAS) :INCONNU
    11. 11. DÉMO 2Contrôle d’accès en fonction du niveau de confiance terminalBYOD : Contrôle d’accès selon le niveau de confiance
    12. 12. BYOD : Contrôle d’accès selon l’identitéScénario 3 : Identité
    13. 13. • Identité Corporate et rôle– Les revendications utilisateur (AD/AD FS) et les groupesd’appartenance sont utilisables pour les autorisations d’accès– Dynamic Access Control (WS 2012) offre un contrôle d’accès surexpressions conditionnelles• Revivez la session enregistrée « SEC 311 Dynamic Access Control deWindows Server 2012 »IdentitéBYOD : Contrôle d’accès selon l’identité• Identité fédérée– Concerne les applications et services Web– Incontournable dans les scénarios Cloud (ex Office 365)– Peut être utilisé pour l’accès à des passerelles de publication Web (ex.UAG)– Voir scénario AD FS plus loin
    14. 14. BYOD : Contrôle d’accès selon la localisationScénario 4 : Localisation
    15. 15. Contexte d’accès : LocalisationBYOD : Contrôle d’accès selon la localisationPRINCIPE• Notion de passerelle depublication interne• Publication des serviceset applications selon letype d’accès• Authentification surannuaire AD interne• Certaines passerellespeuvent accepter desjetons de fédération etfaire de la délégationcontrainte Kerberos(SSO)Passerelles externes802.1xPasserelles internesRéférentiel identité +authentificationACCES INTERNEACCES EXTERNEResources internesWEB, VDI, RDSFIREWALL
    16. 16. BYOD : Prise en compte du contexte d’accès avec AD FSScénario 5 : AD FS
    17. 17. Scénario 5 : AD FSBYOD : Prise en compte du contexte d’accès avec AD FSSCENARIO• Deux terminaux quiappartiennent à Lucie• Différents niveaux deconfiance etd’authentification• Selon le contexte, lesaccès seront restreintsAndroïd de LucieinconnuWindows RT de LuciemanagéSMARTCARDID+PWDSTS WEBAD
    18. 18. BYOD : Protection contre la fuite d’informationScénario 6 : Protection contre la fuited’information
    19. 19. Scénario 6 : Protectioncontrelafuited’informationBYOD : Prise en compte du contexte d’accès avec AD FSPRINCIPE• Contrôler l’usage desdonnées envoyées• Protéger les données parchiffrement– Mail– Pièces jointesEAS, OWA, RMSWindows 8 de Julien iPad de Lucie
    20. 20. DÉMO 3Protection contre la fuite d’informationBYOD : Protection contre la fuite d’information
    21. 21. BYOD : Enregistrement des périphériques avec EASScénario 7 : Enregistrement despériphériques avec EAS
    22. 22. DÉMO 4Enregistrement des périphériques avec EASBYOD : Enregistrement des périphériques avec EAS
    23. 23. • Le BYOD impose d’étendre le modèle de protection périmétrique et d’introduirela notion de contexte d’accès• Le mécanisme d’Authentication Assurance permet de prendre en compte leniveau de confiance de l’authentification et du terminal pour la protectionde l’accès aux ressources en fonction de leur sensibilité• Le contrôle d’accès dynamique de Windows Server 2012 autorise la mise enœuvre de règles évoluées pour la protection des données• L’utilisation de passerelles internes permet de publier les services en prenant encompte le paramètre de localisation• La fédération permet d’étendre le principe de contexte d’accès vers lesressources Web internes et vers le CloudConsultez régulièrement http://blogs.technet.com/byod-fr– Nous publierons l’avancée de nos travaux avec des posts « Vision stratégique »mais également des informations techniquesSynthèseBYOD : Synthèse !
    24. 24. Merci de votre attention !

    ×