palais descongrèsParis7, 8 et 9février 2012
Briques de sécurité pourOffice 3658 Février 2012Nicolas Lieutenant   Olivier DetilleuxOnline Services      MVP ForefrontSp...
Office 365  Fédération                  Authentification Forte      Les Atouts                Une nécessité  Stratégies ...
Office 365
Office 365 Inclut…    •    Service flexible avec licence par utilisateur         et paiement à lutilisation               ...
Authentification
Authentification  Fédération       Authentification  d’identité       forte
Fédération d’identité
Options d’authentificationExpérience côté utilisateur Microsoft Online IDs                   Identités Fédérées    Sign in...
Options d’authentificationConsidérations pour les administrateurs IT Microsoft Online IDs          Identités Fédérées    D...
EmetteurLes Concepts                                          Identity Provider (IP)                                      ...
Standards et Protocolesd’ADFS 2.0  ADFS v 2.0 supporte l’authentification active et passive  des clients     Les clients ...
Architecture: Options d’identité                                                   Microsoft Online Services              ...
Fédération d’identitésFlux d’authentification (Passif/Profil Web)                    Client                             Mi...
Fédération d’identitéAuthentification Active (Outlook/Active Sync)                    Client                              ...
Active Directory FederationServices 2.0 : Options dedéploiement             Active            Directory    AD FS 2.0      ...
Dans le détail  Pré requis pour Microsoft Online Services    Fédération d’identité supportée pour l’instant     seulement...
Considérations Active Directory  Domaines identiques    Les domaines internes et externes sont les mêmes : Pas d’actions ...
Règles générales  Tous les utilisateurs doivent avoir un UPN  Les UPNs doivent correspondre à un domaine fédéré  Office 36...
Démo : Authentification Fédérée
De l’importance du proxy ADFS  Authentification   Stratégies  Forte              d’accès
Authentification Forte
Pourquoi l’authentification forte?  Le couple identifiant /mot de passe est le système le plus  courant utilisé pour authe...
Comment vos utilisateurspeuvent-ils être protégés ?   L’authentification 2 facteurs utilise quelque chose que   vous :    ...
Mise en œuvre avec AD FS 2.0  Customisation du formulaire d’authentification du proxy  AD FS    FormsSignIn.aspx    Form...
Principe                                                                                    SA Server Auth Response :     ...
Démo : Authentification ForteGemalto SA Server
Stratégies d’accès
AD FS Issuance AuthorizationRules  Permet de définir des droits d’accès à une “relying party”  en fonction de la valeur de...
AD FS Issuance AuthorizationRules  Exemple d’utilisation :    Bloquer tous les accès externes SAUF les accès Webexists([T...
Démo : Stratégies d’accès
Protection des échanges
Protection des échanges  S/MIME            AD RMS
S/MIME
Qu’est ce que S/MIME?  S/MIME (Secure / Multipurpose Internet Mail Extensions)  est une norme de cryptographie et de signa...
S/MIME avec Office 365  Office 365 n’héberge pas les fonctions S/MIME.  Office 365 ne propose pas de solution de dépôt de ...
S/MIME en démo
AD RMS
Qu’est ce que RMS ?  Rights Management Services est un composant Windows  qui permet aux applications de protéger le conte...
RMS dans Exchange  RMS intégré en tant qu’Information Rights Management (IRM) dans    Exchange 2010 SP1 (inclus aussi dan...
Une protection granulaire quisuit les données  Protection persistente      Protège vos informations sensibles où qu’elles...
Topologies Supportées
IRM On-premise     Contoso Inc.   AD RMS           RMS est installé dans la foret de    Server                    compte  ...
IRM avec Exchange Online  Contoso Inc. AD RMS                           Embedded  Server                           RMS Ser...
Configurer RMS avecExchange Online
Configurer un modèle RMS  Etape 1 : Configurer RMS on-premise, et créer un modèle RMS    Par exemple : Les membres du COD...
Connection à Exchange Onlinevia PowerShell  Juste quelques cmdlets : $LiveCred = Get-Credential –Credential $Session = New...
Etape 3: Importer le TPD dansExchange Online  Toujours Via Powershell : Importation du couple TPD /  Modèles  Import-RMSTr...
Etape 4 : Rendre les modèlesvisibles par les utilisateurs  Par défaut, les modèles ne sont pas visibles pour les  utilisat...
Etape 5 : Activer IRM dansExchange Online  Il suffit d’une commande powerShell    Set-IRMConfiguration -InternalLicensing...
RMS en démo
Ce qu’il faut retenir
Ce qu’il faut retenir  La fédération d’identité   La possibilité  avec Office 365            d’intégrer une  délègue      ...
MerciAvez-vous des questions ?
Prochain SlideShare
Chargement dans…5
×

Présentation de Microsoft Office 365 et des briques de sécurité Fédération, Protection documentaire et Authentification Forte

2 132 vues

Publié le

L’objectif de cette session est de présenter les briques de sécurité qui peuvent être mises en œuvre pour sécuriser votre messagerie Microsoft Exchange Online. A travers une présentation de la Messagerie Online d’Office 365, nous aborderons les sujets suivants : - Mise en œuvre et sécurisation de la fédération d’identité avec AD FS 2.0 Update 1 - Protection de vos échanges et de vos documents avec S/MIME et AD RMS - Mise en œuvre de l’authentification forte avec SA Server de Gemalto et le proxy ADFS

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 132
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
56
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • DO NOT REMOVE – Notes for AttendeesCan use AD FS 2.0 to handle multiple trusts: Even though you use WS-* to MS Online, you can still use the same ADFS server to create trusts with other service and federation servers using protocol of your choice.Although SAML2.0 is supported by ADFS2.0, we ALWAYS use ws-* federation because SAML2.0 does not yet support federated authentication for rich clients. However if customers need to set up SAML2.0 federation to other services gateways or organizations, they can do this with AD FS 2.0.
  • Situation Slide objectiveExplain how the same Exchange federation used for calendar sharing can also be used to extend Exchange 2010 IRM support features to partners. Talking points[Build 1] Partners create trust with Microsoft Federation Gateway Sender federates on-premises RMS server with the Microsoft Federation Gateway. (Requires software that ships in Windows Server 2008 R2 SP1.) Partnerfederates their Exchange 2010 server with MFG. [Build 2] Protected message is sent to Fabrikam recipient.Message can be automatically protected (via Outlook Protection Rules or Transport Protection Rules) or manually (in OLK/OWA)[Build 3] Fabrikam contacts RMS server for Use License. Fabrikam’s Exchange server contacts MFG to get a SAML token for this message proving Fabrikam’s identityFabrikam’s Exchange server contacts Contoso’s RMS server, presenting the SAML token from MFG and requesting a Use License[Build 4] Fabrikam decrypts message for indexing, search, etc. Sending organization has the option to prevent journal decryption by partner’s Exchange 2010 (all other IRM support functions enabled). [Build 5] Recipient can read/reply to protected message in OWA Recipient can also search message in OWA and Outlook (online). Note: To read/reply in Outlook, organization and partner also need to federate using Active Directory Federation Services.
  • Présentation de Microsoft Office 365 et des briques de sécurité Fédération, Protection documentaire et Authentification Forte

    1. 1. palais descongrèsParis7, 8 et 9février 2012
    2. 2. Briques de sécurité pourOffice 3658 Février 2012Nicolas Lieutenant Olivier DetilleuxOnline Services MVP ForefrontSpecialist vNextMicrosoft
    3. 3. Office 365 Fédération Authentification Forte  Les Atouts  Une nécessité Stratégies d’accès Chiffrement et IRM  Externe ou Interne ?  La sécurité au plus prêt de vos documents
    4. 4. Office 365
    5. 5. Office 365 Inclut… • Service flexible avec licence par utilisateur et paiement à lutilisation • Stockage des documents importants et • Expérience Office intégrée aux services partage de lexpertise via « My Site » Office 365 • Amélioration des sites Équipe et Projet • Services préconfigurés pour un paramétrage • Permissions au niveau du document pour simplifié protéger du contenu sensible • Toujours la dernière version des applications • Partage sécurisé de documents via extranet Office, incluant Office Web Apps • Recherche intersite • Expérience utilisateur Office connue pour accéder aux services • Messagerie instantanée et indicateur de• 25 Go par boîte de réception présence• Outlook et Outlook Web App • Appel audio et vidéo de PC à PC• Antivirus/anti-spam (Forefront) • Communication dun clic à partir dOutlook, de• Tâches, contacts et calendriers partagés SharePoint et des autres applications Office• Messagerie mobile pour la plupart des • Réunions en ligne avec conférences audio et équipements y compris vidéo et partage décran BlackBerry, iPhone, Nokia, Windows Phone • Création dune réunion dun clic et• Archivage des emails et respect de la participation à partir dOutlook conformité • Intégration du calendrier avec Outlook et Exchange
    6. 6. Authentification
    7. 7. Authentification Fédération Authentification d’identité forte
    8. 8. Fédération d’identité
    9. 9. Options d’authentificationExpérience côté utilisateur Microsoft Online IDs Identités Fédérées Sign in avec une identité Sign in avec une identités dans le cloud d’entreprise  L’authentification s’effectue  L’authentification se fait on- dans le cloud premise  Les utilisateurs ont 2 IDs : Un pour accéder aux  Les utilisateurs n’ont qu’une services on-premise, et un seule identités pour les 2 pour les services dans le modes d’accès cloud Les utilisateurs Les utilisateurs doivent bénéficient d’un SSO fournir systématiquement complet leurs identifiants
    10. 10. Options d’authentificationConsidérations pour les administrateurs IT Microsoft Online IDs Identités Fédérées Double gestion des Synchronisation stratégies de mot de d’annuaire nécessaire passe Stratégie de mot de passe Un reset de mot de gérée on-Premise passe s’effectue on- Reset de mot de passe premise et dans le cloud seulement pour les IDs on-Premise Pas d’intégration d’une authentification double Authentification double facteurs possible facteur Nécessite la mise en oeuvre de services de fédération Mise en oeuvre de stratégies d’accès
    11. 11. EmetteurLes Concepts Identity Provider (IP) Security Token Service (STS) Utilisateur Demande d’authentification Active Directory ST Délivrance d’un jeton Le jeton de sécurité contient des informations de l’utilisateur Par exemple : Les jetons “authentifient” les • Nom Utilisateurs auprès des applications • Appartenance des groupes • User Principal Name (UPN) • Email address Relying party / • Email address du manager Resource provider • N° de téléphone • D’autres valeurs d’attributs Fait confiance au jeton délivré par l’émetteur Signé par l’émetteur
    12. 12. Standards et Protocolesd’ADFS 2.0 ADFS v 2.0 supporte l’authentification active et passive des clients  Les clients actifs intéragissent via Web Services  Les clients passifs intéragissent via des requêtes Web Le support des protocoles standards, permet l’interopérabilité avec des solutions tierces  WS-* Federation  SharePoint et Office 365 nécessitent WS-* Federation v2 pour les scénarios Business avancés  SAML 2.0  SAML 1.1
    13. 13. Architecture: Options d’identité Microsoft Online Services Identity platform Contoso customer premises Trust Exchange Federation Gateway Online Active Directory Authentication Federation SharePoint® platform Server 2.0 Online Provisioning Microsoft platform Directory Online Directory Store Lync AD Sync Online Admin Portal
    14. 14. Fédération d’identitésFlux d’authentification (Passif/Profil Web) Client Microsoft Online Services Active Directory AD FS 2.0 Server (SAML 1.1) Token Logon UPN:user@contoso.com Authentication platform ID Source: ABC123 Auth Token UPN:user@contoso.com Unique ID: 254729 ` Exchange Online or Client SharePoint Online (joined to CorpNet)
    15. 15. Fédération d’identitéAuthentification Active (Outlook/Active Sync) Client Microsoft Online Services Active Directory AD FS 2.0 Server (SAML 1.1) Token Logon UPN:user@contoso.com Authentication platform Source User ID: ABC123 Auth Token UPN:user@contoso.com Unique ID: 254729 ` Basic Auth Credentials Client Username/Password Exchange Online (joined to CorpNet)
    16. 16. Active Directory FederationServices 2.0 : Options dedéploiement Active Directory AD FS 2.0 AD FS 2.0 AD FS 2.0 Server Server Server Proxy AD FS 2.0 Server Proxy Internal user Enterprise DMZ
    17. 17. Dans le détail Pré requis pour Microsoft Online Services  Fédération d’identité supportée pour l’instant seulement à travers Active Directory Federation Services 2.0  Les scénarios business Microsoft Online utilisent WS- *.  WS-Trust: support pour l’authentification des clients riches Protocoles supportés  WS-*, SAML1.1  Pas de support de SAML 2.0 pour l’instant Authentification forte pour les scénarios Web  Via la page d’authentification d’Active Directory Federation Services Proxy ou Microsoft Forefront® Unified Access Gateway SP1
    18. 18. Considérations Active Directory Domaines identiques  Les domaines internes et externes sont les mêmes : Pas d’actions particulières Sous domaine  Les domaines internes sont des sous domaines du domaine externe (par exemple, corp.contoso.com) : les domaines doivent être enregistrés dans l’ordre Domaine Local  Les domaines internes ne sont pas publiés (par exemple contoso.local) donc ne peuvent pas être utilisés pour la fédération Multiples domaines d’authentification  Par exemple, certains utilisateurs s’authentifient avec le domaine contoso.com, d’autres avec le domaine fabrikam.com. Ces 2 domaines doivent être dans la même forêt Active Directory : Depuis l’update 1 ADFS 1 seul service de fédération nécessaire Multi-Forêts  Pas de support pour le moment
    19. 19. Règles générales Tous les utilisateurs doivent avoir un UPN Les UPNs doivent correspondre à un domaine fédéré Office 365 (pas de fédéréation avec les UPN locaux) Les utilisateurs doivent s’authentifier avec leur UPN sur les services Office 365 (ne nécessite pas un changement du type d’ouverture de session sur le poste de travail)
    20. 20. Démo : Authentification Fédérée
    21. 21. De l’importance du proxy ADFS Authentification Stratégies Forte d’accès
    22. 22. Authentification Forte
    23. 23. Pourquoi l’authentification forte? Le couple identifiant /mot de passe est le système le plus courant utilisé pour authentifier l’utilisateur  N’offre pas la sécurité requise pour accéder à certains services  Mot de passe fixe pendant une longue durée de temps Une nécessité de la mobilité  Accès à des processus d’authentification de l’entreprise depuis internet  Contrer les risques d’attaques brute force, dictionnaire, keylogger … Le mot de passe n’offre pas une connexion entre l’accès physique et logique 25
    24. 24. Comment vos utilisateurspeuvent-ils être protégés ? L’authentification 2 facteurs utilise quelque chose que vous : AVEZ CONNAISSEZ La combinaison de ces différents éléments vérifie l’identité de l’utilisateur 26
    25. 25. Mise en œuvre avec AD FS 2.0 Customisation du formulaire d’authentification du proxy AD FS  FormsSignIn.aspx  FormsSignIn.aspx.cs Exemple de mise en oeuvre :  RSA Secure ID  Gemalto SA Server  InWebo 27
    26. 26. Principe SA Server Auth Response : SA Server Auth - User 200 OK Request : - Password - OTP ID - PIN SA Server ADFS ProxyClient Login : user@contoso.com Active Directory Mdp : password Otp : pin ADFS Server Logon (SAML 1.1) Token UPN:user@contoso.com ID Source: ABC123
    27. 27. Démo : Authentification ForteGemalto SA Server
    28. 28. Stratégies d’accès
    29. 29. AD FS Issuance AuthorizationRules Permet de définir des droits d’accès à une “relying party” en fonction de la valeur de “claims” Nouveauté AD FS Update 1 pour les proxy AD FS :  Headers Office 365 interprétés en claims  X-MS-Forwarded-Client-IP : adresse IP Publique du client  X-MS-Client-Application : Protocole utilisé par le client  X-MS-Client-User-Agent : Type de périphérique utilisé par le client  X-MS-Proxy : nom du proxy traversé lors de l’accès  X-MS-Endpoint-Absolute-Path : Nom du service 31
    30. 30. AD FS Issuance AuthorizationRules Exemple d’utilisation :  Bloquer tous les accès externes SAUF les accès Webexists([Type =="http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"]) &&NOT exists([Type =="http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip",Value=~"b84.83.82.81b"]) &&NOT exists([Type =="http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/"])=> issue(Type ="http://schemas.microsoft.com/authorization/claims/deny", Value = "true"); 32
    31. 31. Démo : Stratégies d’accès
    32. 32. Protection des échanges
    33. 33. Protection des échanges S/MIME AD RMS
    34. 34. S/MIME
    35. 35. Qu’est ce que S/MIME? S/MIME (Secure / Multipurpose Internet Mail Extensions) est une norme de cryptographie et de signature numérique de courriel encapsulés en format MIME. Elle assure lintégrité, lauthentification, la non-répudiation et la confidentialité des données. S/MIME utilise des certificats numériques x.509 pour chiffrer les courriels.  http://fr.wikipedia.org/wiki/S/MIME S/MIME peut être utilisé à partir du produits Microsoft Outlook 37
    36. 36. S/MIME avec Office 365 Office 365 n’héberge pas les fonctions S/MIME. Office 365 ne propose pas de solution de dépôt de clé, la gestion des clés, ou encore de services dannuaire clés L’outil de synchronisation d’annuaire DirSync ne synchronise pas l’attribut AD userSMIMECertificate dans Office 365. Outlook support S/MIME mais pas OWA Les utilisateurs doivent stocker dans les contacts Outlook les clés publiques des destinataires à qui ils souhaitent envoyer des mails chiffrés Il est possible de configurer Outlook pour récupérer directement les contact dans l’annuaire AD
    37. 37. S/MIME en démo
    38. 38. AD RMS
    39. 39. Qu’est ce que RMS ? Rights Management Services est un composant Windows qui permet aux applications de protéger le contenu Protéger = Chiffrer et Droits d’Usages (DRM)  http://technet.microsoft.com/en- us/library/cc771627.aspx  http://en.wikipedia.org/wiki/Rights_Management_Servi ces Embarqué dans Windows Server depuis 2003. Dernière version dans Windows Server 2008 R2 RMS est intégré dans les produits Microsoft  Clients Office (Excel, Word, PowerPoint, Outlook) 41
    40. 40. RMS dans Exchange RMS intégré en tant qu’Information Rights Management (IRM) dans  Exchange 2010 SP1 (inclus aussi dans OWA)  Exchange Online in Office 365 Configuration à travers RMS Server et les cmdlets Exchange PowerShell Les utilisateurs utilisent RMS dans les clients Office et OWA Exchange Server ouvre automatiquement les contenus protégés par RMS pour permettre :  Transport routing  Indexation pour les recherches  Affichage dans OWA  Communication unifiée
    41. 41. Une protection granulaire quisuit les données Protection persistente  Protège vos informations sensibles où qu’elles soient stockées ou envoyées  Les droits d’usage sont vérouillés au niveau du document  Protection en ligne ou hors ligne, en dehors ou à l’intérieur de l’entreprise Contrôle granulaire  Les utilisateurs appliquent les protection directement lors de l’écriture d’un mail  Les entreprises peuvent créer des modèles de sécurité. Par exemple : "Confidentiel—Lecture Seule"  Limite l’accès aux fichiers aux seuls utilisateurs autorisés Information Rights Management (IRM) fournit une protection permanente aux documents pour contrôler qui peut accéder, forwarder, imprimer ou copier
    42. 42. Topologies Supportées
    43. 43. IRM On-premise Contoso Inc. AD RMS RMS est installé dans la foret de Server compte Exchange Server 2010 Exchange dépend de RMS pour chiffrer et déchiffrer le contenu Intégration possible des modèles RMS dans Exchange
    44. 44. IRM avec Exchange Online Contoso Inc. AD RMS Embedded Server RMS Server Outlook Exchange Online OWA and Mobile
    45. 45. Configurer RMS avecExchange Online
    46. 46. Configurer un modèle RMS Etape 1 : Configurer RMS on-premise, et créer un modèle RMS  Par exemple : Les membres du CODIR peuvent lire les mails confidentiels  Seuls les membres du groupe Projet XY peuvent lire et imprimer Deux concepts clés :  Les modèles RMS  Options que les utilisateurs peuvent sélectionner pour protéger un courrier  Définissent des droits  Trusted Publishing Domain  Vu de très haut : c’est la clé privée pour le chiffrement du contenu Etape 2 : Exporter le TPD du serveur RMS on-Premise
    47. 47. Connection à Exchange Onlinevia PowerShell Juste quelques cmdlets : $LiveCred = Get-Credential –Credential $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ - Credential $LiveCred -Authentication Basic – AllowRedirection Import-PSSession $Session
    48. 48. Etape 3: Importer le TPD dansExchange Online Toujours Via Powershell : Importation du couple TPD / Modèles Import-RMSTrustedPublishingDomain  -FileData $([byte[]](Get-Content - Encoding byte -Path "<Path to exported TPD, i.e., c:tpd.xml>" -ReadCount 0))  -Name "TPD Name“  -ExtranetLicensingUrl https://<external rms cluster hostname>/_wmcs/licensing  -IntranetLicensingUrl https://<internal rms cluster hostname>/_wmcs/licensing
    49. 49. Etape 4 : Rendre les modèlesvisibles par les utilisateurs Par défaut, les modèles ne sont pas visibles pour les utilisateurs Via powerShell : On affiche tous les modèles chargés  Get-RMSTemplate -Type:All On rend visible, càd “Distributed”, le modèle voulu  Set-RMSTemplate -Identity <template identity> - Type:Distributed
    50. 50. Etape 5 : Activer IRM dansExchange Online Il suffit d’une commande powerShell  Set-IRMConfiguration -InternalLicensingEnabled $true
    51. 51. RMS en démo
    52. 52. Ce qu’il faut retenir
    53. 53. Ce qu’il faut retenir La fédération d’identité La possibilité avec Office 365 d’intégrer une délègue authentification forte l’authentification à pour les servicesWeb votre infrastructure Un contrôle d’accès interne. La possibilité de en fonction de la protéger votre contenu localisation des PC avec S/MIME et RMS
    54. 54. MerciAvez-vous des questions ?

    ×