Microsoft Identity Protection -- MITPro Montreal

www.it-channels.com#faurejoris
2017-05-13
Microsoft Identity Protection
Joris FAURE
Responsable des Solutions Microsoft chez SII Canada
MVP Enterprise Mobility (Identity)

Bonjour ☺
Blog
http://it-channels.com
MVP Enterprise Mobility

Sommaire
• L’identité chez Microsoft
• Les scenarios possibles
• Avantages et inconvénients
• Qu’est-ce que l’hybride ?
• Démo
• Sécuriser mon identité

L'identité est partout…
Des milliers d'applis,
Une seule identité
Via une authentification à
plusieurs facteurs, l'utilisateur
reçoit une seule identité qui lui
donne accès à des milliers
d'applications sur site et dans le
Cloud.
Gestion évolutive
des accès
Gérez les identités et les
accès aussi bien sur site que
dans le Cloud.
Entreprise sans
frontières
Soyez efficace : chaque utilisateur
bénéficie d'un accès universel aux
applications et aux fonctionnalités
de collaboration et de libre-service.

L’identité chez Microsoft - 4 services pour les gouverner tous
GESTION DES
IDENTITÉS
GESTION DES
IDENTITÉS
PROTECTION
NUMÉRIQUE DES
DOCUMENTS
FÉDÉRATION
D’IDENTITÉS
Automatisation, sur la base de
règles, des identités (comptes,
groupes, habilitations) au sein du
SI
Gestion des identités entre Active
Directory DS et Azure Active Directory
Chiffrement et droits d’usages
dans les documents de
l’entreprise: Messagerie,
SharePoint, Office, …
Permet le SSO applicatif en mode
WEB pour les services supportant
le protocole SAML

Les scenarios possibles
Online On-Pemises
Hybrid

Déploiement 100% dans vos locaux (On-Premise)
✓Le niveau de sécurité est choisi par l’entreprise
✓Les développements spécifiques sont libres (SharePoint Online a des limites)
✓Les données sensibles restent en local (légal-financier-R&D)
✓On utilise les ressources internes : investissement existant
✓On maîtrise le calendrier des montées de version (Coexistence logiciel plus simple)
✓Le niveau de sécurité choisi par l’entreprise ne suit pas forcement les
recommandations Microsoft
✓Les développements spécifiques libres mais parfois lourds de conséquences lors
de migration
✓Les ressources serveur interne ne peuvent pas facilement s’adapter à une charge
ponctuelle
✓Investissements nécessaires dans l’acquisition de licences et d’une infrastructure

Déploiement 100% dans le Nuage (Cloud)
✓Développements spécifiques limités sauf si déploiement dans Azure
✓Souscription à un service
✓Données dans le nuage (moins vrai aujourd’hui)
✓Manque d’intégration avec les ressources internes
✓Niveau de sécurité garanti par Microsoft
✓Mises à niveau automatiques et fréquentes
✓Focus sur le cœur de métier
✓Evolution simplifiée de la charge ou du nombre d’utilisateurs
✓Collaborer plus facilement avec les partenaires extérieurs
✓Disponible sur tous les appareils de l’utilisateur – Mobilité
✓Service Cloud accessible partout
✓Installation rapide

Evolution de l’offre
Synchronisation entre AD
Local et Azure AD
Cycle de vie complexe des
utilisateurs avec un connecteur
pour Synchroniser avec Azure AD
2010 2017

DEMO
• L’outil AAD Connect
• La gestion des attributs et des comptes sync

Positionnement de mon projet d’identité

Identité dans le nuage
✓ Saisie du mot de passe par l’utilisateur obligatoire
✓ Pas de SSO
✓ Peu d’utilisateur

Identité Synchronisée
✓ Saisie du mot de passe par l’utilisateur obligatoire
✓ Pas de SSO
✓ Possibilité de synchroniser les mots de passe
joris@it-channels.com

joris@it-channels.com
Identité Fédérée

DEMO
Connexion à un service Office 365 :
• Sans la fédération d’identité
• Avec la fédération d’identité

Gestion des licences
✓ L’attribution des licences et du pays a été automatisé en se basant sur l’appartenance aux groupes

Personnalisation des interfaces
✓ Modification des images
✓ Modification des liens
✓ Modification des champs
✓ Configuration en powershell

DEMO
• Rôle du proxy pour l’expérience utilisateur
• Gestion des licences (script)

La sécurité mise à mal ?

Microsoft Enterprise Mobility + Security
Avoir accès à tout, à
partir de n’importe où
Sécuriser les données,
applications et dispositifs
Préserver les investissements
existants
Besoins client
L’identité sécurisée
intégrée
La protection
améliorée d’Office
It just works
La mobilité en toute sécurité

La sécurité centrée sur les identités en 3 étapes
1. Protection dès l'entrée
Protégez vos ressources dès l'entrée via un accès
conditionnel innovant basé sur le risque.
2. Protection des données contre des
erreurs de l'utilisateur
Bénéficiez d'une grande visibilité sur les données et sur les
activités des utilisateurs et des appareils, sur site et dans le
Cloud.
3. Détection des attaques avant qu'elles
ne provoquent des dommages
Détectez des activités anormales et des menaces grâce à
des analyses comportementales avancées.

Protection dès l'entrée
Conditions
Autoriser l'accès
ou
Bloquer l'accès
Actions
Appliquer une
authentification
à plusieurs facteurs
(MFA) par utilisateur
/ par appareil
Emplacement
État de l'appareil
Utilisateur/Application
MFA
Risque
Utilisateur
Applications
sur site

Protection des données contre des erreurs de l'utilisateur
Azure Information Protection
Classement et étiquetage
Protection
Comment contrôler
les données sur site et
dans le Cloud ?
Contrôle et remédiation
Microsoft Intune
Comment empêcher la
fuite des données à
partir des applis mobiles
?
Protection des applis métier
Protection des applis
communes d’entreprise
Gestion optionnelle des
appareils mobiles (MAM)
Cloud App Security
Évaluation du risque
Découverte du Shadow IT
Stratégies pour le contrôle
des données
Comment contrôler
mes applis dans le
Cloud ?

Détection des attaques avant qu'elles ne provoquent des dommages
Microsoft Advanced Threat Analytics (ATA)
Analyse comportementale
Détection des attaques connues
Détection des problèmes de sécurité connus
Détection sur site
Cloud App Security + Azure Active Directory Premium
Analyse comportementale
Détection dans le Cloud
Détection d'anomalies
Surveillance et rapports de sécurité

Placer RMS dans mon projet de sécurisation du système
d’information
DRM : Digital Rights
Management
VS DLP : Data Loss Prevention
Signature Numérique des documents
Exemple :
AD RMS : Active Directory Rights Management
Services / Azure RMS
Consiste à monitorer les événements de
l’infrastructure
Exemple :
Digital Guardian
La classification de documents est le socle de base d’un projet de DRM ou DLP !!!

Fournir une plate-forme de protection des données holistique,
agile, complète et flexible pour les entreprises d'aujourd'hui ☺
Classification Labélisation Protection
Orchestration

Classification automatique
basée sur le contenu
• Les politiques appliquées à l'information par Azure Information
Protection peuvent être automatiquement appliquées aux
données ou comme une recommandation pour les utilisateurs
de l'appliquer aux données
• Vous pouvez remplacer une classification et éventuellement être
tenus d’en fournir la justification
Classification de contenu
initiée par l’utilisateur
• A l'inverse, avec Azure Information Protection, un utilisateur
peut choisir d’appliquer lui-même un label au document, donc
une classification. Cela lui permet d'appliquer des marques
visuelles et de contrôler qui a accès au contenu par le biais des
gabarits RMS selon la définition de la politique.
SECRET
CONFIDENTIEL
INTERNE
NON RESTREINT
PERSONNEL
Authentification

DEMO
• Acces conditionnel
• Azure Information Protection

Limitations

Sécurité + mobilité en entreprise
Microsoft
Intune
Azure Information
Protection
Protégez les utilisateurs,
les appareils et les applis
Détectez très tôt les
menaces grâce à une
meilleure visibilité et à
l'analyse des menaces
Protégez vos
données, partout
Étendez la sécurité de haut niveau à
vos applis dans le Cloud et SaaS
Gérez les identités dans un
environnement hybride afin de
protéger les applications contre
des attaques d’identité
Microsoft
Advanced Threat Analytics
Cloud App Security
Azure Active Directory
Premium

Avantages de la suite Enterprise Mobility pour les clients O365
Enterprise
Mobility
+ Sécurité
Gestion de base des identités
via Azure AD pour O365
• Ouverture de session unique sur
O365
• Authentification de base à
plusieurs facteurs (MFA) pour O365
Gestion de base des appareils
mobiles via la Gestion des
appareils mobiles (MDM) pour
O365
• Gestion des paramètres des
équipements
• Effacement sélectif
• Intégré dans la console
d'administration O365
Protection RMS via RMS (service
de gestion des droits) for O365
• Protection pour le contenu stocké
dans Office (sur site ou dans Office
365)
• Accès au SDK RMS
• Travaillez avec votre propre
appareil (BYOD)
Azure AD pour O365+
• Rapports de sécurité avancés
• Ouverture de session unique pour
toutes les applis
• Authentification évoluée à plusieurs
facteurs
• Gestion des groupes et réinitialisation
des mots de passe en libre-service avec
synchronisation de l'annuaire de
l'entreprise
• Groupes dynamiques, affectation de
licences à des groupes
MDM pour O365+
• Administration des PC
• Gestion des applis mobiles
(empêcher
Couper/Copier/Coller/Enregistrer
sous/ entre les applis de
l'entreprise et les applis
personnelles)
• Visionneuses de contenu
sécurisées
• Création de certificats
• Intégration dans System Center
RMS pour O365+
• Classement et étiquetage
intelligents et automatiques des
données
• Notifications par emails et suivi lors
du partage de documents
• Protection pour les partages de
fichiers Windows Server sur site
Gestion avancée de la sécurité
• Analyses de toute activité suspecte
dans Office 365
Cloud App Security
• Visibilité et contrôle sur toutes les
applis dans le Cloud
Advanced Threat Analytics
• Identification avancée des menaces
sur les identités sur site
Azure AD Premium P2
• Accès conditionnel basé sur les
risques
Protection des
informations
Sécurité centrée sur
les identités
Productivité grâce aux
mobiles gérés
Gestion des accès et
des identités

Questions ?

Microsoft Identity Protection -- MITPro Montreal

Contenu connexe

Tendances

Similaire à Microsoft Identity Protection -- MITPro Montreal

Plus de Joris Faure

Microsoft Identity Protection -- MITPro Montreal