aOS Monaco 2019 - Dois-je protéger mes données Office 365 - Christopher Glémot
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Management v2.0
1. aOS Genève
22 juin 2017
Sécurisez vos services Office 365 avec Azure AD
et Advanced Security Management
@MaximeRastello – Lead Architect @AZEO / Microsoft MVP / P-Seller
2. Maxime Rastello
Infrastructure Lead Architect @ AZEO
Microsoft MVP Enterprise Mobility
Microsoft P-Seller Device, EMS
Auteur, conférencier, animateur podcast ITcast
@MaximeRastello
www.maximerastello.com - itcast.io
5. Fonctionnalités Free Basic Premium P1 Premium P2 Office 365
Commun
Objets Active Directory 500 000 Illimité Illimité Illimité Illimité
SSO avec les applications SaaS 10 / utilisateur 10 / utilisateur Illimité Illimité 10 / utilisateur
Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓ ✓
Synchronisation d’annuaire ✓ ✓ ✓ ✓ ✓
Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓ ✓
Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés Avancés 3 rapports
Basic
Gestion / provisionning des utilisateurs basés sur les groupes ✓ ✓ ✓
Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓
Personnalisation des pages et portails ✓ ✓ ✓ ✓
Azure App Proxy ✓ ✓ ✓
SLA 99,9% ✓ ✓ ✓ ✓
Premium
Réinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓ ✓
Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓ ✓
Accès conditionnel / Administrative Units ✓ ✓
Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ ✓ Cloud uniquement
MIM : CALs + licence serveur ✓ ✓
Connect Health ✓ ✓
Cloud App Discovery ✓ ✓
Azure AD Identity Protection / Azure AD Privileged Identity Management ✓
Les éditions d’Active Directory
6. Azure Active Directory dans EMS
Protection des
informations
Sécurité centrée sur
les identités
La gestion de
productivité
mobile
Gestion des accès
et des identités
Azure Information
Protection Premium P2
Classement intelligent et
chiffrement des fichiers
partagés dans et en dehors
de votre organisation
Azure Information
Protection Premium P1
Chiffrement de tous les
fichiers et de tous les
emplacements de stockage
Suivi des fichiers dans le
Cloud
Microsoft Cloud App
Security
Visibilité complète, contrôle
et protection de vos
applications dans le Cloud
Microsoft Advanced
Threat Analytics
Protection contre des
attaques sophistiquées
grâce à l'analyse
comportementale des
utilisateurs et des entités
Microsoft Intune
Gestion des applis et des
appareils mobiles pour
protéger les applis et les
données de l'entreprise sur
n'importe quel appareil
Azure Active Directory
Premium P2
Gestion des accès et des
identités avec une
protection évoluée pour les
utilisateurs et les identités
avec privilèges
Azure Active Directory
Premium P1
Ouverture de session unique
pour des applications dans
le Coud ou sur site
MFA, accès conditionnel et
rapport de sécurité avancé
EMS
E3
EMS
E5
8. Device-Based Conditional Access
• Accès aux applications SaaS pour les appareils :
o Enrollés dans Intune
o Enrollés dans Azure AD Join (W10)
o Joints à un domaine AD et enregistrés dans Azure AD
• Systèmes supportés :
o Windows 7 (MSI)
o Windows 8.1 (Natif)
o Windows 10 (Natif)
o iOS, Android, Windows Mobile
• Clients : compatibles Authent’ Moderne
• Navigateurs : IE11, Edge (natif), Chrome (extension)
Licences : Premium P1 & P2
General Availability
9. Enregistrement dans Azure AD
Possible d’enregistrer dans Azure AD des PCs joints à un domaine
AD
1. Utiliser Azure AD Connect
2. Synchroniser les objets AD Computers à enregistrer
3. Déployer une GPO d’enregistrement (avant W10 1607)
4. Optionnel : configurer ADFS pour l’enregistrement direct
ADFS est requis pour les scénarios d’accès conditionnel W7
Licences : Premium P1 & P2
General Availability
10. Location-Based Conditional Access
• Accès aux applications SaaS
o Avec MFA obligatoire
o Avec MFA si en dehors de l’entreprise
o Blocage de l’accès si en dehors de l’entreprise
• Définition de la localisation
o Basée sur l’IP publique de l’utilisateur
• Définition du périmètre de l’entreprise
o Plages d’IP publiques
o Groupes d’IP publiques en Preview
• Clients : compatibles Authent’ Moderne
• Navigateurs : Tous
Licences : Premium P1 & P2
General Availability
11. Risk-Based Conditional Access
• Accès aux applications SaaS pour les utilisateurs :
o Détectés comme « à risque » via Identity Protection
o 3 niveaux de risque : Low, Medium, High
• Clients : compatibles Authent’ Moderne
• Navigateurs : Tous
Licences : Premium P2
General Availability
13. Pass-Through Authentication (1/2)
Les problèmes remontés
• Certains clients ne veulent pas synchroniser les hashs de mot de
passe
• Avoir un mécanisme d’authentification on-premises nécessite le
déploiement d’ADFS (ou équivalent)
Solution proposée
• Exploiter la puissance d’Azure AD App Proxy pour gérer
l’authentification auprès de l’annuaire local AD
• Intégrer l’installation/configuration du connecteur à Azure AD
Connect
Licences : Toutes
Preview
15. Seamless SSO (1/2)
Les problèmes remontés
• ADFS ou équivalent necessaire pour le SSO
• Infrastructure lourde (2 ADFS, 2 ADFS Proxies mini pour la
HA)
Solution proposée
• Utiliser le ticket Kerberos fourni par l’AD pour s’authentifier
dans Azure
• Automatiser la configuration dans Azure AD Connect
Licences : Toutes
Preview
17. Azure AD Certificate-Based Auth
Nécessite un serveur de fédération
Accès aux applications Office 365
Upload des certs Root + CRL
Accès à Exchange Online
Licences : Toutes
General Availability
Application
iOS
9.0+
Android
5.0+
Word / Excel / PowerPoint ✓ ✓
OneNote ✓ ✓
OneDrive ✓ ✓
Outlook ✓ ✓
Yammer ✓ ✓
Skype for Business ✓ ✓
Fonctionnalité iOS Android
Exchange Active Sync ✓ ✓
Utilisez le nouveau module
PowerShell Azure AD 2.0
New-AzureADTrustedCertificateAuthority
18. Azure AD Identity Protection
• Détecte les activités suspectes des utilisateurs
o Connexion depuis différents endroits physiques
o Utilisation de proxys anonymes (Tor…)
o Leak des identifiants sur le Dark Web
• Force l’enregistrement MFA des utilisateurs
• Permet de faire de la remédiation automatique
o Demander le MFA à la connexion
o Demander un changement de mot de passe
Licences : Premium P2
General Availability
19. Azure AD Privileged Identity Management
• Définir des administrateurs éligibles
o Basé sur les rôles RBAC Azure AD
• Assigner des permissions admin
temporaires
o De 30min à 72h max
• Monitorer l’utilisation des droits
admins dans Azure AD
Licences : Premium P2
General Availability
22. Reprenez le contrôle !
Rachat de la société Adallom (Sept. 2015)
Scindé en 2 produits distincts :
o Office 365 Advanced Security Management
o Cloud App Security
Applications Cloud
Détection des apps SaaS
Détection des menaces / comportements
Stratégies avancées de contrôle
24. Le Shadow IT chez Microsoft
Azure AD Cloud
App Discovery
Advanced Security
Management
Cloud App Security
Méthode de détection Agent sur le poste Upload des logs réseau Upload des logs réseau
Catalogue des apps SaaS
~2100
Apps gérables via AAD
~1000
Apps similaires à O365
~13000
Catalogue complet
Classification des apps
SaaS
Non Non Score automatique
Prévention des risques Non Apps O365 uniquement
Google / Dropbox / Salesforce /
Service Now / Box / Okta /
O365 / AWS
Intégration SIEM Non Non Oui
Notifications des
admins
Mail hebdo
Dashboard Identity Protection
Non Email / SMS
27. Cloud App Discovery dans EMS
Protection des
informations
Sécurité centrée sur
les identités
La gestion de
productivité
mobile
Gestion des accès
et des identités
Azure Information
Protection Premium P2
Classement intelligent et
chiffrement des fichiers
partagés dans et en dehors
de votre organisation
Azure Information
Protection Premium P1
Chiffrement de tous les
fichiers et de tous les
emplacements de stockage
Suivi des fichiers dans le
Cloud
Microsoft Cloud App
Security
Visibilité complète, contrôle
et protection de vos
applications dans le Cloud
Microsoft Advanced
Threat Analytics
Protection contre des
attaques sophistiquées
grâce à l'analyse
comportementale des
utilisateurs et des entités
Microsoft Intune
Gestion des applis et des
appareils mobiles pour
protéger les applis et les
données de l'entreprise sur
n'importe quel appareil
Azure Active Directory
Premium P2
Gestion des accès et des
identités avec une
protection évoluée pour les
utilisateurs et les identités
avec privilèges
Azure Active Directory
Premium P1
Ouverture de session unique
pour des applications dans
le Coud ou sur site
MFA, accès conditionnel et
rapport de sécurité avancé
EMS
E3
EMS
E5