Protéger vos données à demeure avec le
nouveau service Microsoft RMS et les
boitiers HSM Thalès
Philippe Beraud, Arnaud Ju...
Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!...
Agenda
Vue d’ensemble
Microsoft RMS

1
#mstechdays

Mise en œuvre
du connecteur
RMS

2
Sécurité

Aller plus loin,
avec l'o...
Microsoft RMS
• Est une technologie de protection et de contrôle
– Contre la divulgation d’information
• Offre une protect...
Microsoft RMS
• Permet de protéger vos documents et vos messages
électroniques
– Prend en charge tous les types de fichier...
Microsoft RMS
• Est disponible avec Office 365…
– (Cf. session précédente : Protéger vos données dans un contexte
BYOD/Off...
Collaboration sécurisée avec Microsoft RMS
• Permet une collaboration sécurisée
– Entre les collaborateurs de l’entreprise...
Microsoft RMS en mode autonome
• Disponible via les programmes de licences en volume
Microsoft Enterprise (EA / EAS / EES)...
Obtenir Microsoft RMS autonome
• Souscrire en ligne à l’offre
– https://portal.microsoftonline.com/Signup/MainSignUp15.asp...
COMPRENDRE LE CONNECTEUR
RMS

#mstechdays

Sécurité
Connecteur RMS
• Est un simple proxy/relais qui interface les serveurs à
demeure au service Microsoft RMS
– Autorise un dé...
Qu’est-ce que le connecteur Microsoft
RMS ?
Windows
Azure Active
Directory

Azure RMS

Synchronization Tool

Microsoft RMS...
Pré-requis du connecteur RMS
• Activer Microsoft RMS
–
–

Etape réalisée dans l’interface de gestion de Microsoft RMS (ou ...
Mise en œuvre du connecteur RMS
1.
2.
3.
4.

Installer le connecteur RMS
Configurer le connecteur RMS
Configurer la répart...
INSTALLER LE CONNECTEUR RMS

#mstechdays

Sécurité
INSTALLER LE CONNECTEUR
RMS

#mstechdays

Sécurité

Design/UX/UI
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
CONFIGURER LE CONNECTEUR
RMS

#mstechdays

Sécurité
CONFIGURER LE
CONNECTEUR RMS

#mstechdays

Sécurité

Design/UX/UI
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
#mstechdays

Sécurité
PRÉPARER EXCHANGE SERVER ET
SHAREPOINT SERVER POUR
MICROSOFT RMS
#mstechdays

Sécurité
Configurer Exchange et SharePoint
• MAJ requise pour Exchange 2010/2013
– Disponible sous la forme d’un CU (Cumulative Upd...
Récupérer l’URL du service RMS
PS C:> Import-Module AADRM
PS C:> Connect-AadrmService –Verbose
PS C:> Enable-Aadrm
PS C:> ...
Configurer la redirection pour Exchange
2010
HKLMSoftwareMicrosoftMSDRMServiceLocationActivation
REG_SZ: [Default] = "http...
Configurer la redirection pour Exchange
2013
HKLMSoftwareMicrosoftMSDRMServiceLocationActivation
REG_SZ: [Default] = "http...
Configurer la redirection pour SharePoint
HKLMSOFTWAREMicrosoftMSIPCServiceLocationLicensingRedirection
REG_SZ:
"https://<...
ACTIVER EXCHANGE SERVER
POUR MICROSOFT RMS

#mstechdays

Sécurité
Activer Exchange pour Microsoft RMS
PS C:> Set-IRMConfiguration -InternalLicensingEnabled $true
PS C:> Test-IRMConfigurati...
ACTIVER SHAREPOINT SERVER
POUR MICROSOFT RMS

#mstechdays

Sécurité
#mstechdays

Sécurité
ACTIVER ET CONFIGURER
SHAREPOINT SERVER POUR
MICROSOFT RMS
#mstechdays

Sécurité

Design/UX/UI
BRING-YOUR-OWN-KEY
Avec Microsoft RMS et les boitiers HSMs Thales

#mstechdays

Sécurité
Boitier HSM (Hardware Security Module)
• Permet de créer des clés cryptographiques et de les
protéger
– De manière à ce qu...
Thalès e-Security en quelques chiffres
•
•
•
•
•
•
•

19 des 20 plus grandes banques mondiales
Plus de 3000 institutions f...
Microsoft RMS et les clés
cryptographiques

• Utilise une clé importante propre à chaque locataire
– La "clé de locataire"...
Bring-Your-Own-Key
• Des logs en quasi-temps réel vous permettent d’observer
l'utilisation de votre clé
– Étant donné que ...
Livres blancs et guides Etape-par-Etape
Leverage the RMS connector with
Microsoft RMS
Share protected content with
Microso...
Pour aller au-delà
microsoft.com/rms
Microsoft TechNet Documentation
http://technet.microsoft.com/en-us/dn175751

Microsof...
Digital is
business
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès
Prochain SlideShare
Chargement dans…5
×

Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès

1 420 vues

Publié le

http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=8d7cc94c-a0de-4f34-a37d-c2f630226fa7

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 420
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
18
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Format de fichier et agnostique de l&apos;appareil (en théorie)
  • Canaux d&apos;achat habituels
  • Canaux d&apos;achat habituels
  • Download the connector here : http://www.microsoft.com/en-us/download/details.aspx?id=40839Learn more here : http://technet.microsoft.com/en-us/library/dn375964.aspx
  • The above papers are available on the Microsoft Download Center:Microsoft RMS whitepapers: http://www.microsoft.com/en-us/download/details.aspx?id=40333
  • Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès

    1. 1. Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès Philippe Beraud, Arnaud Jumelet Direction Technique | Microsoft France Eric Portrait Thalès e-Security philippe.beraud@microsoft.com, @philberd arnaud.jumelet@microsoft.com, @arnaud_jumelet eric.portrait@thalesgroup.com Sécurité
    2. 2. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toute les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays ! #mstechdays Sécurité
    3. 3. Agenda Vue d’ensemble Microsoft RMS 1 #mstechdays Mise en œuvre du connecteur RMS 2 Sécurité Aller plus loin, avec l'option BYOK et les boîtiers HSM Thales 3
    4. 4. Microsoft RMS • Est une technologie de protection et de contrôle – Contre la divulgation d’information • Offre une protection de l’information au repos, en transit et en cours d’utilisation via un mécanisme persistant de chiffrement • Garantit que seules les personnes préalablement autorisés peuvent consulter l’information – Avec une gestion des droits d’utilisation • Permet de définir qui peut ouvrir, modifier, imprimer, transférer et / ou entreprendre d’autres actions avec l’information protégée • Permet de fixer une date d’expiration pour l’information protégée #mstechdays Sécurité
    5. 5. Microsoft RMS • Permet de protéger vos documents et vos messages électroniques – Prend en charge tous les types de fichiers : fichiers PDF, Office, texte, image, e-mails, etc. – L’application n’est pas compatible avec RMS ? Utilisez alors la protection générique et l’App gratuite de partage (RMS Sharing App) • Permet de consulter l’information protégée sur les appareils importants – Windows, Windows RT, Windows Phone, Mac OS/X, iOS, et #mstechdays Sécurité Android
    6. 6. Microsoft RMS • Est disponible avec Office 365… – (Cf. session précédente : Protéger vos données dans un contexte BYOD/Office 365 avec Microsoft RMS) • …Mais également en autonome sans Office 365 pour vos charges de travail à demeure – Via le connecteur RMS et les applications compatibles RMS – Aucune infrastructure (AD RMS) requise à demeure #mstechdays Sécurité
    7. 7. Collaboration sécurisée avec Microsoft RMS • Permet une collaboration sécurisée – Entre les collaborateurs de l’entreprise – En dehors de l’entreprise avec • Toute personne abonnée à Microsoft RMS autonome • Toute personne abonnée à Office 365 • Toute autre personne. Invitez-là à s’inscrire gratuitement et sans effort à l’offre "RMS pour les particuliers" : https://portal.aadrm.com #mstechdays Sécurité
    8. 8. Microsoft RMS en mode autonome • Disponible via les programmes de licences en volume Microsoft Enterprise (EA / EAS / EES) – Les clients Enterprise CAL (ECAL) peuvent ajouter le service Microsoft RMS – 1,50€/utilisateur/mois (en quantités de 1) pour chaque créateur de contenu • Inclut le droit d’utiliser AD RMS sur site • La consommation et la collaboration sur un document déjà protégé sont gratuites. Seule la protection initiale est soumise à licence #mstechdays Sécurité
    9. 9. Obtenir Microsoft RMS autonome • Souscrire en ligne à l’offre – https://portal.microsoftonline.com/Signup/MainSignUp15.aspx?&O fferId=9DF77AF9-DAAE-4d51-8E0EEEEADD4866B8&dl=RIGHTSMANAGEMENT • Tester la solution – https://portal.microsoftonline.com/Signup/MainSignUp15.aspx?&O fferId=A43415D3-404C-4df3-B31BAAD28118A778&dl=RIGHTSMANAGEMENT #mstechdays Sécurité
    10. 10. COMPRENDRE LE CONNECTEUR RMS #mstechdays Sécurité
    11. 11. Connecteur RMS • Est un simple proxy/relais qui interface les serveurs à demeure au service Microsoft RMS – Autorise un déploiement simple, avec juste deux serveurs pour la redondance • Toute la configuration est stockée automatiquement dans le cloud – Permet une administration simple • Maintient une liste des applications autorisées – SharePoint 2010/2013, Exchange 2010/2013 configurés comme s’ils parlaient à AD RMS à demeure #mstechdays Sécurité
    12. 12. Qu’est-ce que le connecteur Microsoft RMS ? Windows Azure Active Directory Azure RMS Synchronization Tool Microsoft RMS Connector Exchange 2010/2013 #mstechdays Active Directory SharePoint 2010/2013 Sécurité
    13. 13. Pré-requis du connecteur RMS • Activer Microsoft RMS – – Etape réalisée dans l’interface de gestion de Microsoft RMS (ou en Windows PowerShell) Même étape que pour l’utilisation de Microsoft RMS avec Office 365 • Requiert Windows Server 2008 R2 ou Windows Server 2012 – – Divers SKU’s pris en charge (Toutes les versions non-core versions supportées) Mêmes exigences matériels minimales que l’OS de base • Requiert la synchronisation AD vers le locataire Windows Azure AD – – Permet les recherches d’utilisateurs et l’expansion de groupe pour l’autorisation • DirSync ou FIM 2010 R2 avec le connecteur Windows Azure AD Suppose pour une expérience SSO la synchronisation de mots de passe ou l’authentification unique avec ADFS (ou un autre STS supporté) • Se fédérer avec le locataire Windows Azure AD – – #mstechdays Mettre en œuvre DirSync (ou FIM avec le connecteur Windows Azure AD) Mettre en œuvre AD FS ou activer la synchronisation de mot de passe (optionnel) Sécurité
    14. 14. Mise en œuvre du connecteur RMS 1. 2. 3. 4. Installer le connecteur RMS Configurer le connecteur RMS Configurer la répartition de charge et SSL (optionnel) Préparer Exchange Server/SharePoint Server pour dialoguer avec le connecteur RMS 5. Activer la capacité RMS dans Exchange Server/SharePoint Server #mstechdays Sécurité
    15. 15. INSTALLER LE CONNECTEUR RMS #mstechdays Sécurité
    16. 16. INSTALLER LE CONNECTEUR RMS #mstechdays Sécurité Design/UX/UI
    17. 17. #mstechdays Sécurité
    18. 18. #mstechdays Sécurité
    19. 19. #mstechdays Sécurité
    20. 20. #mstechdays Sécurité
    21. 21. #mstechdays Sécurité
    22. 22. #mstechdays Sécurité
    23. 23. CONFIGURER LE CONNECTEUR RMS #mstechdays Sécurité
    24. 24. CONFIGURER LE CONNECTEUR RMS #mstechdays Sécurité Design/UX/UI
    25. 25. #mstechdays Sécurité
    26. 26. #mstechdays Sécurité
    27. 27. #mstechdays Sécurité
    28. 28. #mstechdays Sécurité
    29. 29. #mstechdays Sécurité
    30. 30. PRÉPARER EXCHANGE SERVER ET SHAREPOINT SERVER POUR MICROSOFT RMS #mstechdays Sécurité
    31. 31. Configurer Exchange et SharePoint • MAJ requise pour Exchange 2010/2013 – Disponible sous la forme d’un CU (Cumulative Update) • Exchange Server 2010 with Exchange 2010 Service Pack 3 Rollup Update 2 • Exchange Server 2013 with Exchange 2013 Cumulative Update 3 • OS Serveur en Mode 2 (Cf. KB 2627272 et KB 2627273) • MAJ requise pour SharePoint 2010/2013 – Via le client MSIPC 2.1 (AD RMS Client 2.1) – OS Serveur en Mode 2 (Cf. KB 2627272 et KB 2627273) • Configuration requise pour utiliser le connecteur RMS – Appliquée via le Registre pour router les appels via le connecteur RMS vers Microsoft RMS • Outillage additionnel pour générer les fichiers Registre, la configuration locale ou celle relative aux GPOs #mstechdays Sécurité
    32. 32. Récupérer l’URL du service RMS PS C:> Import-Module AADRM PS C:> Connect-AadrmService –Verbose PS C:> Enable-Aadrm PS C:> Get-AadrmConfiguration (Permet d’obtenir l’URL du service dans le champs LicensingIntranetDistributionPointUrl par exemple. Dans notre configuration : https://3599e415-dcde-4c14-ba31765d543c5f25.rms.eu.aadrm.com) #mstechdays Sécurité
    33. 33. Configurer la redirection pour Exchange 2010 HKLMSoftwareMicrosoftMSDRMServiceLocationActivation REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/certification" HKLMSoftwareMicrosoftMSDRMServiceLocationEnterprisePublishing REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/Licensing" HKLMSOFTWAREMicrosoftExchangeServerv14IRMCertificationServerRedirect ion REG_SZ:"https://<MicrosoftRMSURL>/_wmcs/certification" = "http(s)://<connectorName>/_wmcs/certification" HKLMSOFTWAREMicrosoftExchangeServerv14IRMLicenseServerRedirection REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing" = "http(s)://<connectorName>/_wmcs/licensing" #mstechdays Sécurité
    34. 34. Configurer la redirection pour Exchange 2013 HKLMSoftwareMicrosoftMSDRMServiceLocationActivation REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/certification" HKLMSoftwareMicrosoftMSDRMServiceLocationEnterprisePublishing REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/Licensing" HKLMSOFTWAREMicrosoftExchangeServerv15IRMCertificationServerRedirect ion REG_SZ:"https://<MicrosoftRMSURL>/_wmcs/certification" = "http(s)://<connectorName>/_wmcs/certification" HKLMSOFTWAREMicrosoftExchangeServerv15IRMLicenseServerRedirection REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing" = "http(s)://<connectorURL>/_wmcs/licensing" #mstechdays Sécurité
    35. 35. Configurer la redirection pour SharePoint HKLMSOFTWAREMicrosoftMSIPCServiceLocationLicensingRedirection REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing"="http://<connectorName>/_wmcs/ licensing" #mstechdays Sécurité
    36. 36. ACTIVER EXCHANGE SERVER POUR MICROSOFT RMS #mstechdays Sécurité
    37. 37. Activer Exchange pour Microsoft RMS PS C:> Set-IRMConfiguration -InternalLicensingEnabled $true PS C:> Test-IRMConfiguration –sender chris@corp-contoso.com PS C:> Get-IRMConfiguration #mstechdays Sécurité
    38. 38. ACTIVER SHAREPOINT SERVER POUR MICROSOFT RMS #mstechdays Sécurité
    39. 39. #mstechdays Sécurité
    40. 40. ACTIVER ET CONFIGURER SHAREPOINT SERVER POUR MICROSOFT RMS #mstechdays Sécurité Design/UX/UI
    41. 41. BRING-YOUR-OWN-KEY Avec Microsoft RMS et les boitiers HSMs Thales #mstechdays Sécurité
    42. 42. Boitier HSM (Hardware Security Module) • Permet de créer des clés cryptographiques et de les protéger – De manière à ce qu’elles ne puissent être déchiffrées que par le HSM, et PAS être exportées • Réalise des opérations cryptographiques comme le chiffrement et les signatures numériques #mstechdays Sécurité
    43. 43. Thalès e-Security en quelques chiffres • • • • • • • 19 des 20 plus grandes banques mondiales Plus de 3000 institutions financières 70 % des transactions bancaires dans le monde 3 des plus grands instituts pharmaceutiques 4 des 5 plus grands industriels pétrochimiques 9 des 10 plus grands industriels High-Tech 25 pays membres de l’OTAN sont équipés de solutions Thales #mstechdays Sécurité
    44. 44. Microsoft RMS et les clés cryptographiques • Utilise une clé importante propre à chaque locataire – La "clé de locataire" qui est le point d’ancrage du modèle de confiance • La fonctionnalité Bring-Your-Own-Key (BYOK) vous donne – La capacité de générer, d’importer et de déléguer le privilège d’utilisation de cette clé à Microsoft pour opérer le service Microsoft RMS – L'assurance que les opérateurs Microsoft ne peuvent pas voir, récupérer, exporter, dupliquer ou voler votre clé RMS lors de l'importation ou lors du fonctionnement du service Microsoft RMS #mstechdays Sécurité
    45. 45. Bring-Your-Own-Key • Des logs en quasi-temps réel vous permettent d’observer l'utilisation de votre clé – Étant donné que vous nous donnez le droit d’utiliser vos clés, vous avez le droit de contrôler l’usage qui en fait Nous vous donnons les journaux en quasi-temps réel #mstechdays Sécurité
    46. 46. Livres blancs et guides Etape-par-Etape Leverage the RMS connector with Microsoft RMS Share protected content with Microsoft RMS Bring-Your-Key with Microsoft RMS Get usage logs with Microsoft RMS IPC in Office 365 with Microsoft RMS
    47. 47. Pour aller au-delà microsoft.com/rms Microsoft TechNet Documentation http://technet.microsoft.com/en-us/dn175751 Microsoft MSDN Documentation http://msdn.microsoft.com/enus/library/windows/desktop/dn223672(v=vs.85).aspx Blogs Groupe produit Microsoft RMS http://blogs.technet.com/b/rms/ http://blogs.msdn.com/b/rms/
    48. 48. Digital is business

    ×