Protéger vos données à demeure avec le
nouveau service Microsoft RMS et les
boitiers HSM Thalès
Philippe Beraud, Arnaud Ju...
Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!...
Agenda
Vue d’ensemble
Microsoft RMS

1
#mstechdays

Mise en œuvre
du connecteur
RMS

2
Sécurité

Aller plus loin,
avec l'o...
Microsoft RMS
• Est une technologie de protection et de contrôle
– Contre la divulgation d’information
• Offre une protect...
Microsoft RMS
• Permet de protéger vos documents et vos messages
électroniques
– Prend en charge tous les types de fichier...
Microsoft RMS
• Est disponible avec Office 365…
– (Cf. session précédente : Protéger vos données dans un contexte
BYOD/Off...
Collaboration sécurisée avec Microsoft RMS
• Permet une collaboration sécurisée
– Entre les collaborateurs de l’entreprise...
Microsoft RMS en mode autonome
• Disponible via les programmes de licences en volume
Microsoft Enterprise (EA / EAS / EES)...
COMPRENDRE LE CONNECTEUR
RMS

#mstechdays

Sécurité
Connecteur RMS
• Est un simple proxy/relais qui interface les serveurs à
demeure au service Microsoft RMS
– Autorise un dé...
Qu’est-ce que le connecteur Microsoft
RMS ?
Windows
Azure Active
Directory

Azure RMS

Synchronization Tool

Microsoft RMS...
Pré-requis du connecteur RMS
• Activer Microsoft RMS
–
–

Etape réalisée dans l’interface de gestion de Microsoft RMS (ou ...
Mise en œuvre du connecteur RMS
1.
2.
3.
4.

Installer le connecteur RMS
Configurer le connecteur RMS
Configurer la répart...
INSTALLER LE CONNECTEUR RMS

#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
CONFIGURER LE CONNECTEUR
RMS

#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
PRÉPARER EXCHANGE SERVER ET
SHAREPOINT SERVER POUR
MICROSOFT RMS
#mstechdays

Sécurité
Configurer Exchange et SharePoint
• MAJ requise pour Exchange 2010/2013
– Disponible sous la forme d’un CU (Cumulative Upd...
Récupérer l’URL du service RMS
PS C:> Import-Module AADRM
PS C:> Connect-AadrmService –Verbose
PS C:> Enable-Aadrm
PS C:> ...
Configurer la redirection pour Exchange
2010
HKLMSoftwareMicrosoftMSDRMServiceLocationActivation
REG_SZ: [Default] = "http...
Configurer la redirection pour Exchange
2013
HKLMSoftwareMicrosoftMSDRMServiceLocationActivation
REG_SZ: [Default] = "http...
Configurer la redirection pour SharePoint
HKLMSOFTWAREMicrosoftMSIPCServiceLocationLicensingRedirection
REG_SZ:
"https://<...
ACTIVER EXCHANGE SERVER
POUR MICROSOFT RMS

#mstechdays

Sécurité
Activer Exchange pour Microsoft RMS
PS C:> Set-IRMConfiguration -InternalLicensingEnabled $true
PS C:> Test-IRMConfigurati...
ACTIVER SHAREPOINT SERVER
POUR MICROSOFT RMS

#mstechdays

Sécurité
ACTIVER ET CONFIGURER
SHAREPOINT SERVER POUR
MICROSOFT RMS
#mstechdays

Sécurité

Design/UX/UI
BRING-YOUR-OWN-KEY
Avec Microsoft RMS et les boitiers HSMs Thales

#mstechdays

Sécurité
Boitier HSM (Hardware Security Module)
• Permet de créer des clés cryptographiques et de les
protéger
– De manière à ce qu...
Thalès e-Security en quelques chiffres
•
•
•
•
•
•
•

19 des 20 plus grandes banques mondiales
Plus de 3000 institutions f...
Microsoft RMS et les clés
cryptographiques

• Utilise une clé importante propre à chaque locataire
– La "clé de locataire"...
Bring-Your-Own-Key
• Des logs en quasi-temps réel vous permettent d’observer
l'utilisation de votre clé
– Étant donné que ...
Livres blancs et guides Etape-par-Etape
Leverage the RMS connector with
Microsoft RMS
Share protected content with
Microso...
Pour aller au-delà
microsoft.com/rms
Microsoft TechNet Documentation
http://technet.microsoft.com/en-us/dn175751

Microsof...
Digital is
business
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès
Prochain SlideShare
Chargement dans…5
×

Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès

740 vues

Publié le

FFace à l’inflation réglementaire, à la consumérisation de l'IT (CoIT) et au « Bring Your Own Device » (BYOD), à l'explosion du numérique qui dévore inexorablement notre monde, à l'entreprise sociale qui permet de nouvelles formes de collaboration, etc., les entreprises de toutes tailles sont confrontées à des besoins croissants de protection de leurs informations sensibles. Dans le même temps, ces entreprises doivent partager en toute sécurité cette même information entre les collaborateurs appropriés et avec d'autres personnes à l'intérieur et à l'extérieur du réseau d'entreprise. Le nouveau service Microsoft de gestion de droits (Microsoft Rights Management service ou RMS) offre la possibilité de créer et consommer des contenus protégés tels que les mèls et les documents de tout type (et pas seulement les documents Microsoft Office). Ce service est disponible sous forme d'abonnement autonome pour une infrastructure à demeure avec le connecteur Microsoft RMS. Découvrez dans cette session comment activer ce service, déployer facilement le connecteur RMS et dès lors bénéficier directement de ce service - en lieu et place d’une infrastructure AD RMS - dans Exchange Server, SharePoint Server et Microsoft Office ainsi que dans Windows Server pour appliquer une protection persistante sur le contenu de façon à répondre aux besoins spécifique de votre entreprise. A l'ère "post-Snowden" où la confiance s’installe dorénavant comme une question centrale – la confiance ne se décrète pas mais se mérite… comme chacun sait -, cette session abordera certaines capacités complémentaires du service. Elle illustrera ainsi la capacité « Bring Your Own Key » (BYOK). Si vous avez besoin d'utiliser une clé générée par, archivée et placée sous le contrôle de vos responsables de sécurité, cette capacité est faite pour vous ! La session présentera comment cette capacité permet d’assurer que la clé de votre locataire Microsoft RMS est traitée dans un module de sécurité matériel (HSM) de notre partenaire Thalès. La session abordera également la capacité de journalisation quasi-temps réel de toutes les activités liées à Microsoft RMS et à l’utilisation de vos clés (avec la capacité BYOK). Elle illustrera la mise en œuvre et l’exploitation de cette capacité pour ainsi surveiller l'utilisation de votre locataire Microsoft RMS au fil du temps.

Speakers : Eric Portrait (Thales), Philippe Beraud (Microsoft), Arnaud Jumelet (Microsoft France)

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
740
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
56
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Format de fichier et agnostique de l&apos;appareil (en théorie)
  • Canaux d&apos;achat habituels
  • Canaux d&apos;achat habituels
  • Download the connector here : http://www.microsoft.com/en-us/download/details.aspx?id=40839Learn more here : http://technet.microsoft.com/en-us/library/dn375964.aspx
  • The above papers are available on the Microsoft Download Center:Microsoft RMS whitepapers: http://www.microsoft.com/en-us/download/details.aspx?id=40333
  • Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès

    1. 1. Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès Philippe Beraud, Arnaud Jumelet Direction Technique | Microsoft France Eric Portrait Thalès e-Security philippe.beraud@microsoft.com, @philberd arnaud.jumelet@microsoft.com, @arnaud_jumelet eric.portrait@thalesgroup.com Sécurité
    2. 2. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toute les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays ! #mstechdays Sécurité
    3. 3. Agenda Vue d’ensemble Microsoft RMS 1 #mstechdays Mise en œuvre du connecteur RMS 2 Sécurité Aller plus loin, avec l'option BYOK et les boîtiers HSM Thales 3
    4. 4. Microsoft RMS • Est une technologie de protection et de contrôle – Contre la divulgation d’information • Offre une protection de l’information au repos, en transit et en cours d’utilisation via un mécanisme persistant de chiffrement • Garantit que seules les personnes préalablement autorisés peuvent consulter l’information – Avec une gestion des droits d’utilisation • Permet de définir qui peut ouvrir, modifier, imprimer, transférer et / ou entreprendre d’autres actions avec l’information protégée • Permet de fixer une date d’expiration pour l’information protégée #mstechdays Sécurité
    5. 5. Microsoft RMS • Permet de protéger vos documents et vos messages électroniques – Prend en charge tous les types de fichiers : fichiers PDF, Office, texte, image, e-mails, etc. – L’application n’est pas compatible avec RMS ? Utilisez alors la protection générique et l’App gratuite de partage (RMS Sharing App) • Permet de consulter l’information protégée sur les appareils importants – Windows, Windows RT, Windows Phone, Mac OS/X, iOS, et #mstechdays Sécurité Android
    6. 6. Microsoft RMS • Est disponible avec Office 365… – (Cf. session précédente : Protéger vos données dans un contexte BYOD/Office 365 avec Microsoft RMS) • …Mais également en autonome sans Office 365 pour vos charges de travail à demeure – Via le connecteur RMS et les applications compatibles RMS – Aucune infrastructure (AD RMS) requise à demeure #mstechdays Sécurité
    7. 7. Collaboration sécurisée avec Microsoft RMS • Permet une collaboration sécurisée – Entre les collaborateurs de l’entreprise – En dehors de l’entreprise avec • Toute personne abonnée à Microsoft RMS autonome • Toute personne abonnée à Office 365 • Toute autre personne. Invitez-là à s’inscrire gratuitement et sans effort à l’offre "RMS pour les particuliers" : https://portal.aadrm.com #mstechdays Sécurité
    8. 8. Microsoft RMS en mode autonome • Disponible via les programmes de licences en volume Microsoft Enterprise (EA / EAS / EES) – Les clients Enterprise CAL (ECAL) peuvent ajouter le service Microsoft RMS – 1,50€/utilisateur/mois (en quantités de 1) pour chaque créateur de contenu • Inclut le droit d’utiliser AD RMS sur site • La consommation et la collaboration sur un document déjà protégé sont gratuites. Seule la protection initiale est soumise à licence #mstechdays Sécurité
    9. 9. COMPRENDRE LE CONNECTEUR RMS #mstechdays Sécurité
    10. 10. Connecteur RMS • Est un simple proxy/relais qui interface les serveurs à demeure au service Microsoft RMS – Autorise un déploiement simple, avec juste deux serveurs pour la redondance • Toute la configuration est stockée automatiquement dans le cloud – Permet une administration simple • Maintient une liste des applications autorisées – SharePoint 2010/2013, Exchange 2010/2013 configurés comme s’ils parlaient à AD RMS à demeure #mstechdays Sécurité
    11. 11. Qu’est-ce que le connecteur Microsoft RMS ? Windows Azure Active Directory Azure RMS Synchronization Tool Microsoft RMS Connector Exchange 2010/2013 #mstechdays Active Directory SharePoint 2010/2013 Sécurité
    12. 12. Pré-requis du connecteur RMS • Activer Microsoft RMS – – Etape réalisée dans l’interface de gestion de Microsoft RMS (ou en Windows PowerShell) Même étape que pour l’utilisation de Microsoft RMS avec Office 365 • Requiert Windows Server 2008 R2 ou Windows Server 2012 – – Divers SKU’s pris en charge (Toutes les versions non-core versions supportées) Mêmes exigences matériels minimales que l’OS de base • Requiert la synchronisation AD vers le locataire Windows Azure AD – – Permet les recherches d’utilisateurs et l’expansion de groupe pour l’autorisation • DirSync ou FIM 2010 R2 avec le connecteur Windows Azure AD Suppose pour une expérience SSO la synchronisation de mots de passe ou l’authentification unique avec ADFS (ou un autre STS supporté) • Se fédérer avec le locataire Windows Azure AD – – #mstechdays Mettre en œuvre DirSync (ou FIM avec le connecteur Windows Azure AD) Mettre en œuvre AD FS ou activer la synchronisation de mot de passe (optionnel) Sécurité
    13. 13. Mise en œuvre du connecteur RMS 1. 2. 3. 4. Installer le connecteur RMS Configurer le connecteur RMS Configurer la répartition de charge et SSL (optionnel) Préparer Exchange Server/SharePoint Server pour dialoguer avec le connecteur RMS 5. Activer la capacité RMS dans Exchange Server/SharePoint Server #mstechdays Sécurité
    14. 14. INSTALLER LE CONNECTEUR RMS #mstechdays Sécurité
    15. 15. #mstechdays Sécurité
    16. 16. #mstechdays Sécurité
    17. 17. #mstechdays Sécurité
    18. 18. #mstechdays Sécurité
    19. 19. #mstechdays Sécurité
    20. 20. #mstechdays Sécurité
    21. 21. CONFIGURER LE CONNECTEUR RMS #mstechdays Sécurité
    22. 22. #mstechdays Sécurité
    23. 23. #mstechdays Sécurité
    24. 24. #mstechdays Sécurité
    25. 25. #mstechdays Sécurité
    26. 26. #mstechdays Sécurité
    27. 27. PRÉPARER EXCHANGE SERVER ET SHAREPOINT SERVER POUR MICROSOFT RMS #mstechdays Sécurité
    28. 28. Configurer Exchange et SharePoint • MAJ requise pour Exchange 2010/2013 – Disponible sous la forme d’un CU (Cumulative Update) • Exchange Server 2010 with Exchange 2010 Service Pack 3 Rollup Update 2 • Exchange Server 2013 with Exchange 2013 Cumulative Update 3 • OS Serveur en Mode 2 (Cf. KB 2627272 et KB 2627273) • MAJ requise pour SharePoint 2010/2013 – Via le client MSIPC 2.1 (AD RMS Client 2.1) – OS Serveur en Mode 2 (Cf. KB 2627272 et KB 2627273) • Configuration requise pour utiliser le connecteur RMS – Appliquée via le Registre pour router les appels via le connecteur RMS vers Microsoft RMS • Outillage additionnel pour générer les fichiers Registre, la configuration locale ou celle relative aux GPOs #mstechdays Sécurité
    29. 29. Récupérer l’URL du service RMS PS C:> Import-Module AADRM PS C:> Connect-AadrmService –Verbose PS C:> Enable-Aadrm PS C:> Get-AadrmConfiguration (Permet d’obtenir l’URL du service dans le champs LicensingIntranetDistributionPointUrl par exemple. Dans notre configuration : https://3599e415-dcde-4c14-ba31765d543c5f25.rms.eu.aadrm.com) #mstechdays Sécurité
    30. 30. Configurer la redirection pour Exchange 2010 HKLMSoftwareMicrosoftMSDRMServiceLocationActivation REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/certification" HKLMSoftwareMicrosoftMSDRMServiceLocationEnterprisePublishing REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/Licensing" HKLMSOFTWAREMicrosoftExchangeServerv14IRMCertificationServerRedirect ion REG_SZ:"https://<MicrosoftRMSURL>/_wmcs/certification" = "http(s)://<connectorName>/_wmcs/certification" HKLMSOFTWAREMicrosoftExchangeServerv14IRMLicenseServerRedirection REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing" = "http(s)://<connectorName>/_wmcs/licensing" #mstechdays Sécurité
    31. 31. Configurer la redirection pour Exchange 2013 HKLMSoftwareMicrosoftMSDRMServiceLocationActivation REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/certification" HKLMSoftwareMicrosoftMSDRMServiceLocationEnterprisePublishing REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/Licensing" HKLMSOFTWAREMicrosoftExchangeServerv15IRMCertificationServerRedirect ion REG_SZ:"https://<MicrosoftRMSURL>/_wmcs/certification" = "http(s)://<connectorName>/_wmcs/certification" HKLMSOFTWAREMicrosoftExchangeServerv15IRMLicenseServerRedirection REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing" = "http(s)://<connectorURL>/_wmcs/licensing" #mstechdays Sécurité
    32. 32. Configurer la redirection pour SharePoint HKLMSOFTWAREMicrosoftMSIPCServiceLocationLicensingRedirection REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing"="http://<connectorName>/_wmcs/ licensing" #mstechdays Sécurité
    33. 33. ACTIVER EXCHANGE SERVER POUR MICROSOFT RMS #mstechdays Sécurité
    34. 34. Activer Exchange pour Microsoft RMS PS C:> Set-IRMConfiguration -InternalLicensingEnabled $true PS C:> Test-IRMConfiguration –sender chris@corp-contoso.com PS C:> Get-IRMConfiguration #mstechdays Sécurité
    35. 35. ACTIVER SHAREPOINT SERVER POUR MICROSOFT RMS #mstechdays Sécurité
    36. 36. ACTIVER ET CONFIGURER SHAREPOINT SERVER POUR MICROSOFT RMS #mstechdays Sécurité Design/UX/UI
    37. 37. BRING-YOUR-OWN-KEY Avec Microsoft RMS et les boitiers HSMs Thales #mstechdays Sécurité
    38. 38. Boitier HSM (Hardware Security Module) • Permet de créer des clés cryptographiques et de les protéger – De manière à ce qu’elles ne puissent être déchiffrées que par le HSM, et PAS être exportées • Réalise des opérations cryptographiques comme le chiffrement et les signatures numériques #mstechdays Sécurité
    39. 39. Thalès e-Security en quelques chiffres • • • • • • • 19 des 20 plus grandes banques mondiales Plus de 3000 institutions financières 70 % des transactions bancaires dans le monde 3 des plus grands instituts pharmaceutiques 4 des 5 plus grands industriels pétrochimiques 9 des 10 plus grands industriels High-Tech 25 pays membres de l’OTAN sont équipés de solutions Thales #mstechdays Sécurité
    40. 40. Microsoft RMS et les clés cryptographiques • Utilise une clé importante propre à chaque locataire – La "clé de locataire" qui est le point d’ancrage du modèle de confiance • La fonctionnalité Bring-Your-Own-Key (BYOK) vous donne – La capacité de générer, d’importer et de déléguer le privilège d’utilisation de cette clé à Microsoft pour opérer le service Microsoft RMS – L'assurance que les opérateurs Microsoft ne peuvent pas voir, récupérer, exporter, dupliquer ou voler votre clé RMS lors de l'importation ou lors du fonctionnement du service Microsoft RMS #mstechdays Sécurité
    41. 41. Bring-Your-Own-Key • Des logs en quasi-temps réel vous permettent d’observer l'utilisation de votre clé – Étant donné que vous nous donnez le droit d’utiliser vos clés, vous avez le droit de contrôler l’usage qui en fait Nous vous donnons les journaux en quasi-temps réel #mstechdays Sécurité
    42. 42. Livres blancs et guides Etape-par-Etape Leverage the RMS connector with Microsoft RMS Share protected content with Microsoft RMS Bring-Your-Key with Microsoft RMS Get usage logs with Microsoft RMS IPC in Office 365 with Microsoft RMS
    43. 43. Pour aller au-delà microsoft.com/rms Microsoft TechNet Documentation http://technet.microsoft.com/en-us/dn175751 Microsoft MSDN Documentation http://msdn.microsoft.com/enus/library/windows/desktop/dn223672(v=vs.85).aspx Blogs Groupe produit Microsoft RMS http://blogs.technet.com/b/rms/ http://blogs.msdn.com/b/rms/
    44. 44. Digital is business

    ×