Dans un contexte sécurité et GDPR fort, je vous propose de faire un tour d'horizon sur les moyens de sécuriser vos services Office 365 : gouvernance, protection des accès, protection des données sont à l'ordre du jour.

1. Sécurisez vos services Office 365 avec la suite
Enterprise Mobility + Security

2. Maxime Rastello
Chief Technology Officer @ AZEO
Microsoft MVP Enterprise Mobility
http://www.maximerastello.com
http://itcast.io
@MaximeRastello

3. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS

4. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
RGPD/GDPR
Quelques mots clés sur les 6 derniers mois…

5. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Un trait d’union entre…
Principe : tour d’horizon

6. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Projet de migration clé de transition vers le Cloud
La sécurité, dans tout ça ?
Prise de conscience : nouveaux cas d’usages sécurité

8. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Points d’entrée sur Office 365
Beaucoup de clients ne s’intéressent à l’ensemble des
services qu’après la migration

9. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Quelles sont les fonctionnalités de sécurité intégrées
aux services Office 365 ?
Mon tenant est-il correctement configuré et sécurisé ?
Comment contrôler l’accès à mes services Office 365 ?

10. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Fonctionnement
1. Analyse la sécurité de votre tenant
2. Analyse les activités de votre utilisateurs à privilèges
3. Dresse le bilan des bonnes pratiques Microsoft
4. Attribue un score final
Permet de réaliser un rapport d’étonnement sur la
configuration et la sécurité de votre tenant O365
 Fil conducteur pour l’établissement d’un plan d’action

11. Démo
Secure Score

13. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Azure Active Directory Connect
et Connect Health
*
MIM
* Microsoft Azure
Active Directory
Application RH
Autres référentiels
PowerShell
SQL (ODBC)
LDAP v3
Web Services
( SOAP, JAVA, REST)
Application Web ou Native
(Application mobile, LOB App)Applications on-premises
Applications SaaS
(Box, Salesforce)
Windows Server
Active Directory

14. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS

15. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Fonctionnalités Free Basic Premium P1 Premium P2 Office 365
Commun
Objets Active Directory 500 000 Illimité Illimité Illimité Illimité
SSO avec les applications SaaS 10 / utilisateur 10 / utilisateur Illimité Illimité 10 / utilisateur
Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓ ✓
Synchronisation d’annuaire ✓ ✓ ✓ ✓ ✓
Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓ ✓
Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés Avancés 3 rapports
Basic
Gestion / provisionning des utilisateurs basés sur les groupes ✓ ✓ ✓
Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓
Personnalisation des pages et portails ✓ ✓ ✓ ✓
Azure App Proxy ✓ ✓ ✓
SLA 99,9% ✓ ✓ ✓ ✓
Premium
Réinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓ ✓
Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓ ✓
Accès conditionnel / Administrative Units ✓ ✓
Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ ✓ Cloud uniquement
MIM : CALs + licence serveur ✓ ✓
Connect Health ✓ ✓
Cloud App Discovery ✓ ✓
Azure AD Identity Protection / Azure AD Privileged Identity Management ✓
Azure AD Access Review / Azure AD Custom Controls in Conditional Access ✓

17. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
La gouvernance d’un tenant prend de multiples
formes
• Utilisation des services Office 365
 Portail d’admin Office 365
• Gestion des accès et privilèges
 RBAC Azure AD + Administrative Units
 Azure AD Access Review
Azure AD Privileged Identity Management

18. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Password Administrator
Service Administrator
Billing Administrator
Directory Readers (legacy)
Exchange Administrator
Skype for Business Administrator
User Administrator
Directory Writers (legacy)
SharePoint Administrator
Compliance Administrator
Directory Synchronization Accounts
Security Reader
Security Administrator
Privileged Role Administrator
Intune Service Administrator
Guest Inviter
Conditional Access Administrator
Ne pas utiliser
PowerShell + nouveau portail
PowerShell ou appli dédiée

19. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Security Reader
• Lecture des rapports Identity Protection
• Lectures des rapports Privileged Identity
Management
• Accès à Office 365 Service Health
• Accès à Office 365 Security & Compliance
Center
Security Administrator
• Mêmes droits que Security Reader
• En plus : Administration de ces services
Company Administrator
• Même chose que Global administrator
• Seul habilité à attribuer d’autres permissions
admin
Service Administrator
• Monitorer l’état du service Azure
• Gérer les Service Requests
Password Administrator
• Monitorer l’état du service Azure
• Gérer les Service Requests
• Réinitialiser les mots de passe
User Administrator
• Monitorer l’état du service Azure
• Gérer les Service Requests
• Réinitialiser les mots de passe (limité à certains
rôles)
• Administrer les utilisateurs / groupes
Cloud Application Administrator
• Gérer les applications Saas et Web App Proxy
Conditional Access Administrator
• Gérer les règles d’accès conditionnel

20. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Constat
• Manque de granularité dans les droits d’administration
• Les droits dans l’ancien et le nouveau portail Azure sont différents
Besoins
• Retranscrire la hiérarchie des permissions admin AD dans Azure
AD
• Limiter le champ d’actions des administrateurs
• Restriction des droits admin sur certains utilisateurs VIP

21. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Groupe RBAC : User Account AdministratorAzure AD Directory
US UA Admin
UK UA Admin
US Users
UK Users
FR Users
FR UA Admin

22. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Restrictions (Preview)
• Scope sur les utilisateurs uniquement
• 2 rôles attribuables (User Account et HelpDesk Administrator)
• Administration uniquement en PowerShell
Prochainement
• Intégration dans le portail O365

23. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS

24. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Voir l’activités des rôles à privilèges
• Définition de la période d’audit
• Définition de la cible à auditer
• Membre d’un groupe
• Utilisateurs d’une app SaaS
Revue du rapport d’audit
• Statuer pour chaque compte
• Action recommandée proposée

25. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Définir des administrateurs éligibles
• Basé sur les rôles RBAC Azure AD
Assigner des permissions admin
temporaires
• De 30min à 72h max
Approbation possible par un admin

27. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
De plus en plus de périphériques…
• PCs d’entreprise, PCs perso, Mac, tablettes…
• iPhone, Android et même… Windows Mobile ! (si si)
… qui consomment de plus en plus de services

28. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Comment contrôler l’accès aux services Office 365
quel que soit le canal utilisé ?
Comment assurer une expérience unifiée sur tous les
périphériques ?
 Accès conditionnel Azure AD et Microsoft Intune

29. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Accès aux applications SaaS pour les appareils
• Enrollés dans Intune et marqués comme « conformes »
• Joints à un domaine AD et enregistrés dans Azure AD
• Dotés d’un client applicatif approuvé
Systèmes supportés
• Windows 7 (MSI + ADFS)
• Windows 8.1 / Windows 10 (Natif)
• iOS, Android, Windows Mobile
• macOS (new)
Clients : compatibles Authent’ Moderne
Navigateurs : IE11, Edge, Chrome (extension), Safari (new)

30. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Accès aux applications SaaS
• Avec MFA obligatoire
• Avec MFA si en dehors de l’entreprise
• Blocage de l’accès si en dehors de l’entreprise
Définition de la localisation
• Basée sur l’IP publique de l’utilisateur
Définition du périmètre de l’entreprise
• Plages d’IP publiques
• Choix des pays
Clients : compatibles Authent’ Moderne
Navigateurs : Tous

31. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Accès aux applications SaaS pour les utilisateurs
• Détectés comme « à risque » via Identity Protection
• 3 niveaux de risque : Low, Medium ou High
Clients : compatibles Authent’ Moderne
Navigateurs : Tous

32. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Permet de contrôler les actions des utilisateurs
• Ex : bloquer le téléchargement d’un fichier depuis un
poste non-managé
App Restriction
• SharePoint Online uniquement
Proxy Restriction
• Via Cloud App Security (EMS E5)

33. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Accès conditionnel pour l’accès VPN
Accès conditionnel + Terms of Use
Custom Controls :aAutres contrôles au lieu du MFA (Premium P2)
• RSA, Duo ou Trusona

34. Démo
Risk-based conditional access
Session Control SharePoint / Salesforce

36. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Des données de plus en plus volatiles…
• Synchronisation des emails, contacts, fichiers…
• Multiplication des applications clientes mobiles
• Accès via un navigateur mobile
… qui peuvent être facilement perdues de vue
• Upload sur des stockages en ligne (iCloud, Dropbox, OneDrive…)
• Envoi par email
• Copie sur clé USB, disque externe

37. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Comment sécuriser le stockage des données sur des
périphériques mobiles ?
 Mobile Application Management (MAM)
Comment limiter l’accès aux documents sensibles ?
Comment auditer qui accède aux données à risque ?
 Azure Information Protection

38. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Stratégies Intune
• Aucun besoin d’enroller le périphérique
• Elles s’appliquent uniquement sur
les données d’entreprise
Exemples de restriction
• Demande de code PIN au démarrage
• Bloquer le copier / coller en dehors de l’app
• Forcer une version minimale de l’app mobile
• Chiffrer les données contenues dans l’app

39. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Protection des documents
• A l’initiative de l’utilisateur (manuellement)
• Basée sur des critères préétablis (classification auto)
• Sur toute les plateformes (Windows, Mac, smartphones)
Suivi de l’accès aux documents
• Voir qui a ouvert un document partagé
• Révoquer l’accès à un document sensible

40. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Accès conditionnel pour les fichiers protégés
Azure Information Protection Scanner
• Classification et protection des documents on-premises
• Serveurs de fichiers
• Serveurs SharePoint

41. Démo
Azure Information Protection

42. aOS Luxembourg – 04/12/2017#aOSCommSECURISEZ VOS SERVICES OFFICE 365 AVEC LA SUITE EMS
Protection des
informations
Sécurité centrée
sur les identités
La gestion de
productivité
mobile
Gestion des
accès et des
identités
Azure Information Protection
Premium P2
Classement intelligent et
chiffrement des fichiers partagés
dans et en dehors de votre
organisation
Azure Information Protection
Premium P1
Chiffrement de tous les fichiers
et de tous les emplacements de
stockage
Suivi des fichiers dans le Cloud
Microsoft Cloud App Security
Visibilité complète, contrôle et
protection de vos applications
dans le Cloud
Microsoft Advanced Threat
Analytics
Protection contre des attaques
sophistiquées grâce à l'analyse
comportementale des
utilisateurs et des entités
Microsoft Intune
Gestion des applis et des
appareils mobiles pour protéger
les applis et les données de
l'entreprise sur n'importe quel
appareil
Azure Active Directory
Premium P2
Gestion des accès et des
identités avec une protection
évoluée pour les utilisateurs et
les identités avec privilèges
Azure Active Directory
Premium P1
Ouverture de session unique
pour des applications dans le
Coud ou sur site
MFA, accès conditionnel et
rapport de sécurité avancé
EMS
E3
EMS
E5

43. aOS Luxembourg
4 décembre 2017
Merci à notre sponsor !