2. aOS Aix-en-Provence
6 septembre 2016
Présentation du conférencier
Seyfallah Tagrerout
Microsoft MVP Cloud and Datacenter Management
Membre de la Communauté AOS http://aos.community/
Sogeti du groupe Capgemini
Migration; Design; Troubleshooting; Mise en place des infrastructures Microsoft / VMware / Citrix et Cisco
Formateur YNOV (école d’ingénieur Aix-En-Provence)
Technologies Microsoft (Virtualisation, Cisco)
Spécialité : Technologies Microsoft (Virtualisation)
Me joindre :
Mail : Seyfallah.t@gmail.com
Blog : http://seyfallah-it.blogspot.fr/
LinkedIn : https://fr.linkedin.com/in/seyfallahtagrerout
3. aOS Aix-en-Provence
6 septembre 2016
Agenda
• Azure Right Management
• Introduction
• L’approche de Microsoft avec Azure RMS
• Présentation d’Azure RMS
• AD RMS vs Azure RMS
• Fonctionnement
• Azure RMS template
• Type de déploiement d’Azure RMS
• Prérequis pour Azure RMS
• Quel abonnement choisir
• Type d’annuaire
• Client & devices
• Application
• Mise en œuvre d’Azure RMS
• Etapes de déploiement d’Azure RMS
• Azure RMS templates
• Gestion et Troubleshooting
• Rapport
• Administration via PowerShell
• Gestion des templates
• RMS analyzer
5. aOS Aix-en-Provence
6 septembre 2016
Introduction
• Selon Microsoft …
Plus de 87 % upload
leur document de
travail via une adresse
perosonnelle ou un
compte cloud
87%
58% ont envoyés de
manière accidentelle
des informations à
une personne non
concernée
58%
6. aOS Aix-en-Provence
6 septembre 2016
L’approche de Microsoft avec Azure RMS
Protection des données à
l’interieur comme à l’exterieur
business to business
Répondre au besoin business
des entreprises
Contrôle de l'accès des
données
Protection de tout type de
fichiers (PDF, Office doc,
Text, Images)
7. aOS Aix-en-Provence
6 septembre 2016
Présentation d’Azure RMS
Azure Right Management:
• Service dans le cloud Azure de Microsoft
• Web service implémenter dans les régions suivante ( South america , North America,
Europe; Asie)
• Protège les informations sensibles d’une entreprise
• Chiffrement
• Gestion des droits
• Identité
• Contrôle d’accés
8. aOS Aix-en-Provence
6 septembre 2016
AD RMS vs AZURE RMS
Les avantages d’Azure RMS:
• Pas d’infrastructure complexe
• Authentification basée sur le cloud Azure avec Azure AD
• Gestion des appareils mobiles intégrée par défaut
• Modèle –Template par défaut
• Gestion de Scop
• Monitoring, révocation, notification …
9. aOS Aix-en-Provence
6 septembre 2016
Bref RMS c’est …
RMS en quelques mots:
• Protection des emails
• Protection des fichiers
• Protection des fichiers dans les emails
• Prise en charge avec Office 365 ou scenarios hybrides
• Simplicité
• BYOK pour une conservation de clé
• L’audite / traçages / authentification / sécurité
11. aOS Aix-en-Provence
6 septembre 2016
Fonctionnement
• Chiffrements utilisé dans Azure RMS:
CONTRÔLES DE CHIFFREMENT UTILISATION DANS AZURE RMS
Algorithme : AES
Longueur de clé : 128 bits et 256
bits
Protection de documentation
Algorithme : RSA
Longueur de clé : 2 048 bits
Protection de clé
SHA-256 Signature de certificat
12. aOS Aix-en-Provence
6 septembre 2016
Fonctionnement
• Etapes de fonctionnement classique: « Initialisation »
Authentification
Emission de certificats
13. aOS Aix-en-Provence
6 septembre 2016
Fonctionnement
• Etapes de fonctionnement classique: « Protection »
Création d’une clé aléatoire
qui chiffre le document
Création de certificats
14. aOS Aix-en-Provence
6 septembre 2016
Fonctionnement
• Etapes de fonctionnement classique: « Protection »
Signature de la stratégie avec
le certificat initial
15. aOS Aix-en-Provence
6 septembre 2016
Fonctionnement
• Etapes de fonctionnement classique: « Lecture - Consommation »
Demande d’accès au service
RMS
17. aOS Aix-en-Provence
6 septembre 2016
Fonctionnement
• Etapes de fonctionnement classique: « Lecture - Consommation »
Déchiffrement avec la clé privé
de l’utilisateur
18. aOS Aix-en-Provence
6 septembre 2016
Azure RMS Templates
• Modèles qui appliquent des restrictions granulaires
• Deux par défaut:
20. aOS Aix-en-Provence
6 septembre 2016
Type de déploiement
Microsoft propose plusieurs types de déploiement:
• Cloud Ready ( full cloud)
• Office 365 / Exchange Online / Azure AD
• Scenarios hybrides (avec un RMS connector)
• AD local vers Azure AD
• Exchange / SharePoint / Serveur de fichier
22. aOS Aix-en-Provence
6 septembre 2016
Quel abonnement choisir
• Office 365
• Entreprise E3 / Education A3 / Eecteur public G3
• Entreprise E4 / Education A4 / Eecteur public G4
• Entreprise E5 / Education A5
• EMS (Entreprise Mobility Suite)
• RMS for individuels
• Azure Right Management Premuim
23. aOS Aix-en-Provence
6 septembre 2016
Type d’annuaire
• Azure Active Directory
• Azure AD classique
• Scenario hybride avec l’intégration d’un AD on promise vers Azure AD
24. aOS Aix-en-Provence
6 septembre 2016
Client & devices
Computer Mobile
Windows 7 (32 & 64bits) Iphone / Ipad
Windows 8 (32 & 64bits ) Windows tablets ( Windows 10 mobile & windows 8.1
RT)
Windows 8.1 (32 & 64bits ) Android Phone / tablets
Windows 10 (32 & 64bits )
Mac OS X : version minimale Mac OS X 10.8
(Mountain Lion)
Windows phone (Windows 10 mobile & Windows
phone 8.1)
25. aOS Aix-en-Provence
6 septembre 2016
Application
• Suite Office
• Office pro plus 2010
• Office pro plus 2013
• Office pro plus
27. aOS Aix-en-Provence
6 septembre 2016
Serveurs
RMS connector :
Infra ADFS / WebProxy
Azure Right Management (RMS)
RMS connector
Https://
rmsconnector.test.com
28. aOS Aix-en-Provence
6 septembre 2016
Serveurs
Pour les scenarios hybrides: (via RMS connector)
• Exchange Server:
2010
2013
2016
• SharePoint Server
2010
2013
2016
• Serveur de fichier (ICF)
Windows Server 2012 R2
Windows Server 2012
29. aOS Aix-en-Provence
6 septembre 2016
Serveurs
RMS connector :
• Windows Server 2008 R2 / 2012 / 2012 R2
• 1 Go de ram Min
• 64 Go d’espace disk Min
• Access internet
• Firewall rules pour Exchange :
• 80 / 433 (bidirectionnel)
32. aOS Aix-en-Provence
6 septembre 2016
Mise en œuvre
• Création des Templates:
Nom Template Restriction
corp-confidential Print, Reply, Reply All, View, Open,
read
coporate-strictement confidentiel View, Open, Read
34. aOS Aix-en-Provence
6 septembre 2016
Mise en œuvre
• Création des Templates:
• Sur la console d’administration Azure (ancien portail)
• Via Azure Powershell
• Azure Rights Management Administration Tool
• https://www.microsoft.com/en-us/download/confirmation.aspx?id=30339
37. aOS Aix-en-Provence
6 septembre 2016
Mise en œuvre
Chiffrement de
documents + mails
L’utilisateur peut chiffrer des
mails + documents
38. aOS Aix-en-Provence
6 septembre 2016
Mise en œuvre
Chiffrement de
documents + mails
l’utilisateur peut
chiffrer un mail
avec les Azure
Template définies
39. aOS Aix-en-Provence
6 septembre 2016
Mise en œuvre
Chiffrement de
documents + mails
l’utilisateur peut
chiffrer un
Document avec les
Azure Template
définies
42. aOS Aix-en-Provence
6 septembre 2016
Gestion et Troubleshooting
• Gestion avec PowerShell:
• Azure Rights Management Administration Tool
• https://www.microsoft.com/en-us/download/confirmation.aspx?id=30339
43. aOS Aix-en-Provence
6 septembre 2016
Gestion et Troubleshooting
• Gestion des templates
• Archivage
• Refresh
• Copie
• Import / Export
Chiifrement des données mail / fichier
Gestion des drit avec les template
Identité: seul les personne auoriser auront acces
Control d’acces : alert quand le doc est consulté et par qui etc
Leur montrer les deux template apr defaut dans Azure AD
Leur montrer les deux template apr defaut dans Azure AD
Explication sur les clé note 1
Explication sur les clé note 1
Chifrrement clé alatoir symetrique AESe
Le client RMS crée ensuite un certificat incluant une stratégie pour le document, soit en se basant sur un modèle, soit en spécifiant des droits spécifiques pour le document. Cette stratégie inclut les droits de différents utilisateurs ou groupes, ainsi que d'autres restrictions telles qu'une date d'expiration.
: l’utilisateur authentifié envoie la stratégie de document et les certificats de l’utilisateur à Azure RMS. Le service déchiffre et évalue la stratégie, puis génère la liste des droits (éventuels) de l'utilisateur sur le document.
le service extrait ensuite la clé de contenu AES de la stratégie déchiffrée. Cette clé est alors chiffrée avec la clé RSA publique de l'utilisateur obtenue avec la demande.
Après cela, la clé de contenu re-chiffrée est incorporée dans une licence d'utilisation chiffrée avec la liste des droits de l'utilisateur, qui est renvoyée au client RMS.
le service extrait ensuite la clé de contenu AES de la stratégie déchiffrée. Cette clé est alors chiffrée avec la clé RSA publique de l'utilisateur obtenue avec la demande.
Après cela, la clé de contenu re-chiffrée est incorporée dans une licence d'utilisation chiffrée avec la liste des droits de l'utilisateur, qui est renvoyée au client RMS.