Dans un contexte sécurité et GDPR fort, je vous propose de faire un tour d'horizon sur les moyens de sécuriser vos services Office 365 : gouvernance, protection des accès, protection des données sont à l'ordre du jour.
2. Maxime Rastello
Chief Technology Officer @ AZEO
Microsoft MVP Enterprise Mobility
http://www.maximerastello.com
http://itcast.io
@MaximeRastello
3. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
4. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
RGPD/GDPR
Quelques mots clés sur les 6 derniers mois…
5. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Un trait d’union entre…
Principe : tour d’horizon
6. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Projet de migration clé de transition vers le Cloud
La sécurité, dans tout ça ?
Prise de conscience : nouveaux cas d’usages sécurité
7.
8. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Points d’entrée sur Office 365
Beaucoup de clients ne s’intéressent à l’ensemble des
services qu’après la migration
9. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Quelles sont les fonctionnalités de sécurité intégrées
aux services Office 365 ?
Mon tenant est-il correctement configuré et sécurisé ?
Comment contrôler l’accès à mes services Office 365 ?
10. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Fonctionnement
1. Analyse la sécurité de votre tenant
2. Analyse les activités de votre utilisateurs à privilèges
3. Dresse le bilan des bonnes pratiques Microsoft
4. Attribue un score final
Permet de réaliser un rapport d’étonnement sur la
configuration et la sécurité de votre tenant O365
Fil conducteur pour l’établissement d’un plan d’action
13. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Azure Active Directory Connect
et Connect Health
*
MIM
* Microsoft Azure
Active Directory
Application RH
Autres référentiels
PowerShell
SQL (ODBC)
LDAP v3
Web Services
( SOAP, JAVA, REST)
Application Web ou Native
(Application mobile, LOB App)Applications on-premises
Applications SaaS
(Box, Salesforce)
Windows Server
Active Directory
14. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
15. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Fonctionnalités Free Basic Premium P1 Premium P2 Office 365
Commun
Objets Active Directory 500 000 Illimité Illimité Illimité Illimité
SSO avec les applications SaaS 10 / utilisateur 10 / utilisateur Illimité Illimité 10 / utilisateur
Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓ ✓
Synchronisation d’annuaire ✓ ✓ ✓ ✓ ✓
Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓ ✓
Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés Avancés 3 rapports
Basic
Gestion / provisionning des utilisateurs basés sur les groupes ✓ ✓ ✓
Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓
Personnalisation des pages et portails ✓ ✓ ✓ ✓
Azure App Proxy ✓ ✓ ✓
SLA 99,9% ✓ ✓ ✓ ✓
Premium
Réinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓ ✓
Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓ ✓
Accès conditionnel / Administrative Units ✓ ✓
Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ ✓ Cloud uniquement
MIM : CALs + licence serveur ✓ ✓
Connect Health ✓ ✓
Cloud App Discovery ✓ ✓
Azure AD Identity Protection / Azure AD Privileged Identity Management ✓
Azure AD Access Review / Azure AD Custom Controls in Conditional Access ✓
16.
17. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
La gouvernance d’un tenant prend de multiples
formes
• Utilisation des services Office 365
Portail d’admin Office 365
• Gestion des accès et privilèges
RBAC Azure AD + Administrative Units
Azure AD Access Review
Azure AD Privileged Identity Management
18. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Password Administrator
Service Administrator
Billing Administrator
Directory Readers (legacy)
Exchange Administrator
Skype for Business Administrator
User Administrator
Directory Writers (legacy)
SharePoint Administrator
Compliance Administrator
Directory Synchronization Accounts
Security Reader
Security Administrator
Privileged Role Administrator
Intune Service Administrator
Guest Inviter
Conditional Access Administrator
Ne pas utiliser
PowerShell + nouveau portail
PowerShell ou appli dédiée
19. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Security Reader
• Lecture des rapports Identity Protection
• Lectures des rapports Privileged Identity
Management
• Accès à Office 365 Service Health
• Accès à Office 365 Security & Compliance
Center
Security Administrator
• Mêmes droits que Security Reader
• En plus : Administration de ces services
Company Administrator
• Même chose que Global administrator
• Seul habilité à attribuer d’autres permissions
admin
Service Administrator
• Monitorer l’état du service Azure
• Gérer les Service Requests
Password Administrator
• Monitorer l’état du service Azure
• Gérer les Service Requests
• Réinitialiser les mots de passe
User Administrator
• Monitorer l’état du service Azure
• Gérer les Service Requests
• Réinitialiser les mots de passe (limité à certains
rôles)
• Administrer les utilisateurs / groupes
Cloud Application Administrator
• Gérer les applications Saas et Web App Proxy
Conditional Access Administrator
• Gérer les règles d’accès conditionnel
20. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Constat
• Manque de granularité dans les droits d’administration
• Les droits dans l’ancien et le nouveau portail Azure sont différents
Besoins
• Retranscrire la hiérarchie des permissions admin AD dans Azure
AD
• Limiter le champ d’actions des administrateurs
• Restriction des droits admin sur certains utilisateurs VIP
21. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Groupe RBAC : User Account AdministratorAzure AD Directory
US UA Admin
UK UA Admin
US Users
UK Users
FR Users
FR UA Admin
22. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Restrictions (Preview)
• Scope sur les utilisateurs uniquement
• 2 rôles attribuables (User Account et HelpDesk Administrator)
• Administration uniquement en PowerShell
Prochainement
• Intégration dans le portail O365
23. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
24. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Voir l’activités des rôles à privilèges
• Définition de la période d’audit
• Définition de la cible à auditer
• Membre d’un groupe
• Utilisateurs d’une app SaaS
Revue du rapport d’audit
• Statuer pour chaque compte
• Action recommandée proposée
25. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Définir des administrateurs éligibles
• Basé sur les rôles RBAC Azure AD
Assigner des permissions admin
temporaires
• De 30min à 72h max
Approbation possible par un admin
26.
27. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
De plus en plus de périphériques…
• PCs d’entreprise, PCs perso, Mac, tablettes…
• iPhone, Android et même… Windows Mobile ! (si si)
… qui consomment de plus en plus de services
28. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Comment contrôler l’accès aux services Office 365
quel que soit le canal utilisé ?
Comment assurer une expérience unifiée sur tous les
périphériques ?
Accès conditionnel Azure AD et Microsoft Intune
29. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Accès aux applications SaaS pour les appareils
• Enrollés dans Intune et marqués comme « conformes »
• Joints à un domaine AD et enregistrés dans Azure AD
• Dotés d’un client applicatif approuvé
Systèmes supportés
• Windows 7 (MSI + ADFS)
• Windows 8.1 / Windows 10 (Natif)
• iOS, Android, Windows Mobile
• macOS (new)
Clients : compatibles Authent’ Moderne
Navigateurs : IE11, Edge, Chrome (extension), Safari (new)
30. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Accès aux applications SaaS
• Avec MFA obligatoire
• Avec MFA si en dehors de l’entreprise
• Blocage de l’accès si en dehors de l’entreprise
Définition de la localisation
• Basée sur l’IP publique de l’utilisateur
Définition du périmètre de l’entreprise
• Plages d’IP publiques
• Choix des pays
Clients : compatibles Authent’ Moderne
Navigateurs : Tous
31. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Accès aux applications SaaS pour les utilisateurs
• Détectés comme « à risque » via Identity Protection
• 3 niveaux de risque : Low, Medium ou High
Clients : compatibles Authent’ Moderne
Navigateurs : Tous
32. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Permet de contrôler les actions des utilisateurs
• Ex : bloquer le téléchargement d’un fichier depuis un
poste non-managé
App Restriction
• SharePoint Online uniquement
Proxy Restriction
• Via Cloud App Security (EMS E5)
33. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Accès conditionnel pour l’accès VPN
Accès conditionnel + Terms of Use
Custom Controls :aAutres contrôles au lieu du MFA (Premium P2)
• RSA, Duo ou Trusona
36. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Des données de plus en plus volatiles…
• Synchronisation des emails, contacts, fichiers…
• Multiplication des applications clientes mobiles
• Accès via un navigateur mobile
… qui peuvent être facilement perdues de vue
• Upload sur des stockages en ligne (iCloud, Dropbox, OneDrive…)
• Envoi par email
• Copie sur clé USB, disque externe
37. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Comment sécuriser le stockage des données sur des
périphériques mobiles ?
Mobile Application Management (MAM)
Comment limiter l’accès aux documents sensibles ?
Comment auditer qui accède aux données à risque ?
Azure Information Protection
38. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Stratégies Intune
• Aucun besoin d’enroller le périphérique
• Elles s’appliquent uniquement sur
les données d’entreprise
Exemples de restriction
• Demande de code PIN au démarrage
• Bloquer le copier / coller en dehors de l’app
• Forcer une version minimale de l’app mobile
• Chiffrer les données contenues dans l’app
39. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Protection des documents
• A l’initiative de l’utilisateur (manuellement)
• Basée sur des critères préétablis (classification auto)
• Sur toute les plateformes (Windows, Mac, smartphones)
Suivi de l’accès aux documents
• Voir qui a ouvert un document partagé
• Révoquer l’accès à un document sensible
40. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Accès conditionnel pour les fichiers protégés
Azure Information Protection Scanner
• Classification et protection des documents on-premises
• Serveurs de fichiers
• Serveurs SharePoint
42. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Protection des
informations
Sécurité centrée
sur les identités
La gestion de
productivité
mobile
Gestion des
accès et des
identités
Azure Information Protection
Premium P2
Classement intelligent et
chiffrement des fichiers partagés
dans et en dehors de votre
organisation
Azure Information Protection
Premium P1
Chiffrement de tous les fichiers
et de tous les emplacements de
stockage
Suivi des fichiers dans le Cloud
Microsoft Cloud App Security
Visibilité complète, contrôle et
protection de vos applications
dans le Cloud
Microsoft Advanced Threat
Analytics
Protection contre des attaques
sophistiquées grâce à l'analyse
comportementale des
utilisateurs et des entités
Microsoft Intune
Gestion des applis et des
appareils mobiles pour protéger
les applis et les données de
l'entreprise sur n'importe quel
appareil
Azure Active Directory
Premium P2
Gestion des accès et des
identités avec une protection
évoluée pour les utilisateurs et
les identités avec privilèges
Azure Active Directory
Premium P1
Ouverture de session unique
pour des applications dans le
Coud ou sur site
MFA, accès conditionnel et
rapport de sécurité avancé
EMS
E3
EMS
E5
Objectifs
Renforcer les droits des personnes
Adapter la règlementation aux nouvelles technologies
Responsabiliser les professionnels
Ransomware
Supplychain
Brêches sur des leaders du marché : Big 3 credit bureau, Big 4 accountancy
Equifax (US)
Cartes de crédit : ~200.000
Numéro de sécurité sociale : ~140 millions
Combien aurait coûté 4% du CA si les informations compromises impliquaient des européens ?
Enjeux : règlementaires et/ou liès à votre posture de sécurité
Maxime : rélfexion sur démarche
Utilisateur / Administrateur / Exploitants
Services Microsoft : se construisent désormais autour d’AD
Il est possible de construire bien au delà