2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfallah Tagrerout
•
1 j'aime•100 vues
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfallah Tagrerout
Recommandé
Recommandé
Contenu connexe
Tendances
Tendances (15)
Similaire à 2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfallah Tagrerout
Similaire à 2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfallah Tagrerout (20)
Plus de Modern Workplace Conference Paris
Plus de Modern Workplace Conference Paris (20)
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfallah Tagrerout
- 1. Seyfallah TAGREROUT Cloud Architect - Microsoft MVP Secure your Digital Workplace with Azure Active Directory #MWCP18
- 4. Agenda #MWCP18 Azure AD • Introduction • Azure AD le point central • Microsoft Threat Protection • Quelques chiffres Architecture • Azure AD Deep Dive • AAD Connect • Authentification Azure AD et la sécurité • Azure MFA & Conditional Access • Identity Protection • Smart Lock & password Protection • Azure Application Proxy Conclusion 1 2 3 4
- 5. Le point central Azure Active Directory
- 6. #MWCP18 AZURE ACTIVE DIRECTORY ( AZURE AD) EST UN SERVICE DANS AZURE QUI PERMET DE GÉRER DES ANNUAIRES ET L’IDENTITÉ, IL OFFRE AUX UTILISATEURS UNE AUTHENTIFICATION UNIQUE À PLUSIEURS APPLICATIONS ET SERVICES CLOUD. AUTHENTIFICATION – GESTION – CONTRÔLE D’ACCÈS – CONSOMMATION EXEMPLE : L’UTILISATION DES SERVICES OFFICE 365. AZURE ACTIVE DIRECTORY
- 7. #MWCP18 EMS Azure Information Protection Protect your data, everywhere Microsoft Cloud App Security Azure Active Directory Detect threats early with visibility and threat analytics Advanced Threat Analytics Extend enterprise-grade security to your cloud and SaaS apps Intune Protect your users, devices, and apps Manage identity with hybrid integration to protect application access from identity attacks
- 9. #MWCP18 MICROSOFT THREAT PROTECTION Identité Edpoints Device Data Mail & Document Infrastructure Cloud App
- 10. #MWCP18 QUELQUES CHIFFRES 17.5M 90K 8B 90% 653K1.1B
- 13. Deep Dive Design et choix d’authentification Architecture
- 14. #MWCP18 ARCHITECTURE ✓ Tolérance de panne ✓ Durabilité et protection des données ✓ Cohérence ✓ Sauvegarde
- 15. #MWCP18 ETENDRE SON AD VERS AZURE AD Identités hybrides : Extension de votre AD Local vers Azure AD • Pourquoi ? ➔ équation : Plusieurs applications pour une seule et unique identité Comment aller vers de l’identité hybride ? ✓ Connaitre les besoins ✓ Pour quels usages ? ✓ La stratégie et la roadmap ✓ L’existant : ✓ Méthode d’authentification utilisée ✓ Définir si y a services cloud ✓ Définir si y a de la fédération et identifier les raisons ✓ Kerberos based (SSO) ✓ Authentification des users hors de l’entreprise avec SAML ✓ Etc
- 18. Protéger ses utilisateurs Azure Ad et la sécurité
- 20. #MWCP18 SOLUTION D’AUTHENTIFICATION DE DOUBLE FACTURE DE MICROSOFT AZURE. SON BUT EST DE SÉCURISER L’ACCÈS AUX DONNÉES, AUX APPLICATIONS OU ENCORE AUX SERVICES CLOUD DE VOTRE ORGANISATION. SÉCURITÉ – FIABILITÉ – FACILITÉ EVOLUTION TERMES : DOUBLE FACTEUR AUTHENTIFICATION FORTE AZURE MFA
- 21. #MWCP18 AZURE MFA OPTIONS DISPONIBLES POUR LE DOUBLE FACTEUR : • SMS • CODE APPLICATION AVEC AZURE AUTHENTICATOR • APPEL TÉLÉPHONIQUE • JETON OATH • NOTIFICATION SUR L’APPLICATION ATTENTION À PLUSIEURS POINTS AVANT DE L’ACTIVER
- 23. AZURE MFA DEMO 1
- 24. #MWCP18 CONDITIONAL ACCESS LE CONDITIONAL ACCESS: • AUTORISER OU NON L’ACCÉS AUX RESSOURCES CLOUD DE L’ENTREPRISE
- 25. #MWCP18 CONDITIONAL ACCESS LE CONDITIONAL ACCESS: Actions Bloquer Autoriser Autoriser
- 26. Corporate Network Geo-location Microsoft Cloud App SecurityMacOS Android iOS Windows Windows Defender ATP Client apps Browser apps Google ID MSA Azure AD ADFS Require MFA Allow/block access Block legacy authentication Force password reset ****** Limited access Controls Employee & Partner Users and Roles Trusted & Compliant Devices Physical & Virtual Location Client apps & Auth Method Conditions Machin e learnin g Policies Real time Evaluation Engine Session Risk 3 40TB Effective policy
- 27. #MWCP18 CONDITIONAL ACCESS RETOUR D’EXPERIENCE • PAS DE CONNEXION POUR TOUS LES DEVICES QUI NE SONT PAS DANS AZURE AD ET DANS INTUNE • SCOPE : TOUS LES UTILISATEURS À VOTRE AVIS, IL SE PASSERA QUOI ?
- 28. #MWCP18 CONDITIONAL ACCESS EXEMPLE: • EXIGER LE MFA • REFUSER L’ACCES EN LECTURE POUR LES UTILISATEURS STANDARD • REFUSER L’ACCES SI DEVICE NON MANAGÉ – NON CONFORME • EXIGER LE MFA SI L’UTILISATEUR EST DANS UN PAYS RISQUÉ • BLOQUER TOUTES LES CONNEXION DEPUIS UN NAVIGATEUR VERIFIEZ AVEC LE WHAT IF AVANT LE PASSAGE EN PRODUCTION !
- 29. #MWCP18 CONDITIONAL ACCESS BONNES PRATIQUES: • UTILISEZ LE ! • TRUSTEZ LES LOCATIONS • TRUSTEZ LES RANGE IP • WHAT IF – ATTENTION AVANT PRODUCTION • PENSEZ AUX EXCLUSIONS
- 30. #MWCP18 CONDITIONAL ACCESS LES NOUVEAUTÉS • BLOCK LEGACY AUTH • RBAC – GRANULAIRE • LIMITÉ LES ACCÈS AU NIVEAU DES DATA CLASSIFICATION • LIMITÉ LES ACCÈS POUR OWA
- 32. #MWCP18 DÉTECTION DES VULNÉRABILITÉ REMÉDIATIONS ACTION AUTOMATIQUE EN FONCTION DES ACTIVITÉS SUSPECTES DÉTECTÉES 6 EVENTS À RISQUE : - UTILISATEURS SUSPECT : HORS LIGNE - CONNEXION DEPUIS DES IP NON CONNUS – ANONYMES : TEMPS RÉEL - CONNEXION DEPUIS DES EMPLACEMENTS INCONNUS: TEMPS RÉEL - CONNEXION DEPUIS UN APPAREIL INFECTÉ: HORS LIGNE - CONNEXION DEPUIS UN EMPLACEMENT INHABITUEL: HORS LIGNE - CONNEXION DEPUIS UNE IP QUI CONTIENT UNE ACTIVITÉ SUSPECTE : : HORS LIGNE IDENTITY PROTECTION
- 33. #MWCP18 TYPE DE DETECTION : NIVEAU DE RISQUE : ELEVÉ – MOYEN – FAIBLE IDENTITY PROTECTION Temps réel 5 à 10 minutes Hors ligne 2 à 24 heurs
- 34. #MWCP18 CONFIGURATION : DÉPLOYEZ LE MFA AVEC IDENTITY PROTECTION ☺ IDENTITY PROTECTION Setting Value Users xxx Conditions Sign-in risk, Medium Controls Block access
- 35. #MWCP18 IDENTITY PROTECTION LES NOUVEAUTÉS • END USER ACTIVITY REPORTING – RAPPORT DÉTAILLÉ • MACHINE LEARNING • AZURE ATP INTÉGRATION SECOPS
- 37. #MWCP18 SMART LOCK & PASSWORD PROTECTION
- 38. #MWCP18 SMART LOCK & PASSWORD PROTECTION
- 39. Et la DMZ dans tout ça ? Azure AD Application Proxy
- 40. #MWCP18 VPN ET DMZ : ON PEUT OUBLIER ? AZURE APPLICATION PROXY
- 41. Et la DMZ dans tout ça ? TO DO List
- 42. #MWCP18 TO DO LIST ACTIVEZ LE PTA : • ACTIVEZ LE SEAMLESS SSO AZURE MFA • TRUST DES IP ET LOCATIONS • CONDITIONAL ACCESS IDENTITY PROTECTION: • POLICY DE REMÉDIATION • ACTIVEZ LE MFA POUR TOUT LE MONDE EN FONCTION DES LOCATION • REPORTING • DEVICE • RISQUE USER – CONNEXION – LOCATION – IP • PASSWORD: • ACTIVEZ LE SELF PASSWORD - SMART LOCK – PASSWORD PROTECTION • AZURE APPLICATION PROXY
- 43. MERCI BEAUCOUP! THANK YOU! #MWCP18
- 44. MODERN WORKPLACE CONFERENCE PARIS DU 16 AU 18 OCTOBRE 2018 #MWCP18