SlideShare une entreprise Scribd logo
palais des
congrès
Paris




7, 8 et 9
février 2012
PAR304 : Sécuriser vos
accès nomades pour
accéder à Exchange et
Jeudi 9 Février 2012
Lync
Patrick ISAMBERT
Architecte
ALSY
Spécialiste Microsoft                      Notre identité


                        •   +20 ans d’existence
                        •   +15 ans de partenariat avec Microsoft
                        •   190 experts
                        •   Filiale d’Orange Business Services
                        •   Centre des usages Microsoft Rhône-Alpes
Agenda

  Différents accès nomades
  Eléments d’infrastructure nécessaires
  Publication des sites et services Web
  Mise en œuvre du rôle Edge de Lync Server
  Sécurisation des usages
Agenda

  Différents accès nomades
    Accès via navigateur
    Clients des postes de travail
    Clients mobiles
  Eléments d’infrastructure nécessaires
  Publication des sites et services Web
  Mise en œuvre du rôle Edge de Lync Server
  Sécurisation des usages
Accès via navigateur
  Outlook Web App
    Successeur d’Outlook Web Access
    Intègre les fonctions de messagerie instantanée avec Lync
    Server
  Lync Web App
    Permet aux utilisateurs ne disposant pas de client Lync
    installé de participer à des conférences,
    Ne nécessite pas forcement de compte Active Directory
    Fournit la plupart des fonctions Lync 2010 pour une réunion :
       Affichage et présentation de diapositives PowerPoint,
       Messagerie instantanée de groupe pour la réunion,
       Connexion audio par téléphone,
       Pas de connexion vidéo ,
       Distribution de fichiers et le partage d’applications et de bureau.
    Ne permet pas la messagerie instantanée de Lync Server et
Clients des postes de travail

  Outlook Anywhere : synchronisation de son client
  Outlook depuis n'importe quel réseau
    Opération en tâche de fond
    Aucun VPN à établir, communications sur HTTPS


  Lync 2010
    Utilisation du client Lync pour les nomades
    Aucun VPN à établir, communications directes (HTTPS
    et port 443 par défaut)
Clients mobiles
  Outlook Mobile : Accès à la messagerie depuis un
  téléphone portable
     Windows Phone, Windows Mobile, Androïd, iOS, BlackBerry
     (sans BES), Symbian, WebOS

     Fonctionnement
        Accès aux serveurs Exchange de l’entreprise à travers un canal de
        communication sécurisé en HTTPS
        Aucune donnée ne transite sur des systèmes tiers
        C’est l’utilisateur qui accède à la boite aux lettres
            Pas de comptes système ou super utilisateur,
            Accès aux données stockées sur le périphérique,
            Confidentialité des données garantie de bout en bout
  Lync Mobile : Accès à Lync Server depuis un téléphone
  portable
     Windows Phone, iPhone, iPad, Android, Nokia Symbian
Agenda
  Différents accès nomades
  Eléments d’infrastructure nécessaires
     Reverse Proxy
        Rôle du Reverse Proxy
        Quel Reverse Proxy ?
        Positionnement du Reverse Proxy
        Exemples de topologies
     Lync Edge Server
        Rôle du serveur Edge
        Topologies possibles pour le serveur Edge
  Publication des sites et services Web
  Mise en œuvre du rôle Edge de Lync Server
  Sécurisation des usages
Rôle du Reverse Proxy
  Publication des applications web (flux B2C/B2E)
     Outlook Web App
        Installé sur les serveurs CAS
     Lync Web App
        Installé par défaut,
        Publié au sein des urls simples : reunions.domaine.com
        (meet.domain.com)

  Publication des services web (flux B2B)
     Exchange Web Services
        Installé sur les serveurs CAS
        Intègre les services « autodiscover », les carnets d’adresses en
        mode hors connexion, les services de disponibilité , …
     Lync Web Services
        Les urls simples, à publier de préférence vers le directeur,
        Les autres services web vers les différents « pool ».
Quel Reverse Proxy ?
  Tout reverse proxy peut convenir mais…
  L’usage de filtres applicatifs est très fortement conseillé
     Les filtres contrôlent le contenu des trames
         Analyse HTTP (URL, entêtes, contenu…)
         Contrôles de l’encapsulation HTTPS
             S’agit-il de MAPI au sein de RPC/HTTPS ?
  Une réécriture d’URL peut être nécessaire
  L’usage de la délégation d’identification est fortement conseillée
     Sinon ce sont les serveurs qui effectuent le travail (et encourent
     les risques)
         Serveurs CAS pour Exchange 2010
         Serveurs Directeur et Front End pour Lync Server 2010

  La gamme Microsoft Forefront inclue tous ces besoins :
     Forefront Threat Management Gateway 2010
     Forefront Unified Access Gateway 2010
Positionnement du Reverse
Proxy ? groupe de travail ou dans un domaine
  En mode
       Le mode groupe de travail ne permet pas certaines délégations
       d’identification
            Seule l’identification par formulaire et l’authentification HTTP 1.1 de
            base sont possibles
            Il peut en résulter des fenêtres d’ouverture de session intempestives
       On peut inclure le reverse proxy dans la forêt interne de l’entreprise
       mais…

    Usage d’une « forêt de connexion »
       La forêt AD-DS est la limite de sécurité et d’isolation,
       Les derniers outils d’administration gèrent bien une topologie multi-forêts,
       Il existe plusieurs scenarii de liaison inter-forêts
             Les relations d’approbation de forêt
                  Mise en œuvre de l’identification sélective
                  Application du SID Filtering
                  Usage de Kerberos
             Les fédérations de forêts

    Double niveau de reverse proxy
       Premier niveau de reverse proxy hors domaine
       Deuxième niveau de reverse proxy dans la forêt
Exemples de topologies
  Reverse Proxy dans la foret interne,
  Reverse Proxy dans une forêt distincte en relation
  d’approbation de forêt avec la forêt interne,
  Reverse Proxy dans une forêt distincte fédérée avec
  la forêt interne,
  Double niveau de Reverse Proxy
     1er niveau : Entre DMZ publique et DMZ privée
      Reverse Proxy hors domaine, avec délégation
      (identification formulaire ou HTTP 1.1 de base) via
      RADIUS ou LDAP,
     2ème niveau : Entre DMZ privée et réseau interne
      Reverse Proxy dans la forêt interne avec délégation
      (identification HTTP 1.1 intégrée), et usage de la
      délégation contrainte Kerberos pour les serveurs publiés.
Rôle du serveur Edge

  Accès des utilisateurs externes
    Les clients Lync se connectent de manière
    transparente à Lync Server à travers Internet
  Public IM Connectivity (PIC)
    Connexions avec les fournisseurs publics de
    messagerie instantanée (Live, Yahoo, AOL)
  Fédération
    Fédération avec d’autres entreprises
    Fédération avec Office 365
    Présence et messagerie instantanée ou…
    Toutes possibilités A/V et partage d’applications
Topologie 1 : Edge avec une
 seule adresse IP


edge.contoso.com                             edge-int.contoso.com
131.107.155.10                               172.25.33.10
                Externe   Edge Server   Interne
SIP: 5061                                    SIP: 5061
Web Conf: 444                                Web Conf: 8057
A/V Conf: 443, 3478                          A/V Conf: 443, 3478
Topologie 2 : Edge avec
  plusieurs adresses IP
                 SIP Externe
sip.contoso.com
131.107.155.10 443, 5061
                                           edge-int.contoso.com
                                           172.25.33.10
           Web Conf Externe Edge Server   Interne
wcnf.contoso.com                           SIP: 5061
131.107.155.20 443                         Web Conf: 8057
                                           A/V Conf: 443, 3478


                 AV Externe
av.contoso.com
131.107.155.30
443, 3478
Topologie 3 : Edge avec adresses IP
   derrière un NAT.
Adresses IP
                           IP1’              IP1
publiques n’a pas
 Lync Server
                                         SIP Externe
 besoin de connaitre
 les adresses
 translatées pour
 SIP et Web Conf
                           IP2’              IP2
  Client                          NAT   W.Conf Externe   Edge Server   Int

 Les clients se
 connectent à
 l’adresse                 IP3’              IP3
 IP pour le trafic A/V:
 L’adresse IP
                                          AV Externe
 translatée pour AV doit
 être configurée dans
Topologie 4 : Edge avec DNS LB
Adresses IP publiques
                                            IP1
Enregistrements A DNS
sip.contoso.com                IP1 et IP4         Edge Server
                                            IP2                 Int
wcnf.contoso.com      IP2 et IP5                       1
av.contoso.com        IP3 et IP6            IP3


 Client

Les clients peuvent maintenir               IP4
plusieurs adresses IP et peuvent                  Edge Server
ainsi basculer la connexion.
                                            IP5                 Int
                                                       2
                                            IP6
Topologie 5 : Edge avec DNS LB
  et NAT
Adresses IP                     IP1’       IP1
publiques
Enregistrements A DNS A                           Edge
sip.contoso.com IP1’ et IP4’    IP2’       IP2   Server   Int
wcnf.contoso.com IP2’ et IP5’                      1
av.contoso.com IP3’ et IP6’
                                IP3’       IP3
                                       N
Les adresses IP AV
                                       A
doivent être configurées        IP4’   T   IP4
individuellement dans                             Edge
Lync Server                     IP5’       IP5   Server   Int
    IP3 vers IP3’                                  2
    IP6 vers IP6’               IP6’       IP6
Topologie 6 : Edge avec Hardware
Load Balancer
Adresses IP publiques                    IP1
Enregistrements A DNS                           Edge
sip.contoso.com    VIP1                  IP2   Server   Int
wcnf.contoso.com VIP2                            1
av.contoso.com     VIP3       VIP1       IP3
                              VIP    H
                               2
                              VIP
                                     L
Les connexions clients AV
sont initiées sur la VIP.      3     B   IP4
Par la suite, le trafic client AV               Edge
(UDP) se connecte directement sur        IP5   Server   Int
le Edge. Le trafic TCP continue à                2
utiliser la VIP.                         IP6

NAT et HLB sont incompatibles
Agenda

  Différents accès nomades
  Eléments d’infrastructure nécessaires
  Publication des sites et services Web
    Besoins pour Exchange Server
    Besoins pour Lync Server
    Publications B2C/B2E et B2B
    Types de certificat à utiliser
    Identification vis-à-vis des serveurs publiés
  Mise en œuvre du rôle Edge de Lync Server
  Sécurisation des usages
Besoins pour Exchange Server
  Publication Outlook Web App
     Les risques liés à l’accès navigateur
         Session restée active, réutilisation des informations de sécurité,
         Analyse du cache à posteriori, récupération de pièces téléchargées,
         Exécution de scripts cachés dans des courriels,
         Téléchargement d’images sur des liens externes,
         Divulgation de l’adresse du site OWA via les « referrer headers »
  Publication Outlook Mobile
     Les risques liés
         Divulgation d’informations lors de la perte du périphérique,
         Accès aux données stockées sur le périphérique,
         Communications entre le périphérique et l’entreprise non sécurisées .
  Publication Outlook Anywhere
     Les risques liés
         Perte de l’ordinateur portable,
         Analyse des flux échangés avec le serveur,
  Publication Exchange Web Services
     Accès aux informations Exchange depuis les clients externes
         Sera traité avec les besoins du client Lync en externe
     Les risques liés
         Analyse des flux échangés avec le serveur.
Publication Outlook Web App
 Pré-Authentification sur :
   -Active Directory                 Périmètre de          Serveur de boites
   -LDAP (AD)                     l’entreprise (DMZ)          aux lettres
   -SecureID
   -Radius OTP                     Analyse HTTP
   -Radius                      (URL, entêtes, con
 Délégation                      tenu…) Réécriture
 d’authentification                   d’URLs
                          SSL                      SSL ou HTTP      MS- RPC




                                                            Serveur d'accès
                                   Forefront TMG
 Client OWA                                                  client (CAS)
                                   Forefront UAG
Gestion des sessions avec
OWA
  Le service OWA est délivré par le serveur ayant le
  rôle CAS (Client Access Server)
  Accès par défaut en HTTPS.
  Mode d'authentification par formulaire par défaut
     Méthodes d'authentification tierces supportées (avec
     FTMG, FUAG) :           RSA SecurID, Radius.
     Authentifications classiques supportées nativement
     (NTLM, Kerberos, de base).
  Cookie de session chiffré
     Chiffrement effectué coté serveur
     Durée de vie des clefs courte : Moitié de la durée de vie de
     la session utilisateur.
Cookie de session avec OWA
              Pièces d’identité transmises
                    Cookie chiffré

              7,5 minutes s'écoulent

                 Cookie transmis             Serveur CAS

Client OWA        Cookie chiffré                   Clé 1
                                                   Clé 2
              7,5 minutes s'écoulent               Clé 3
 Activité
utilisateur
                 Cookie transmis

                  Cookie chiffré                   Clé 4
Gestion des sessions avec
OWA
  Activité utilisateur sur le poste de client
     Toutes les interactions initiées par l'utilisateur sont
     considérées comme activité utilisateur,
     Sur "OWA Light" toutes les actions sont considérées
     comme activité sauf la saisie de texte,
  Expiration des sessions (publique ou privée)
  basée sur l'activité du poste client
     15 minutes par défaut pour un accès public,
     8 heures par défaut pour un accès privé,
Publication Outlook Mobile
                                    Périmètre de
                                 l’entreprise (DMZ)              Serveur de boites
                                                                    aux lettres
         URL: mail.mycompany.com/Microsoft-
         Server-ActiveSync/*,        Analyse HTTP de l’URL : 1024
                                              Taille max
         Méthodes: POST, OPTIONS
         Extensions autorisées : .
                                   (URL, entêtes,Query length : 512
                                              Max co
                                              Bloquer les signatures
                                    ntenu…) 
                                         ./           .. %   :

                       SSL                        SSL ou HTTP
                                                                          MS- RPC




                                 Forefront TMG                     Exchange CAS
Périphérique Mobile              Forefront UAG
Publication Outlook Anywhere
                                  Périmètre de              Serveur de boites
                               l’entreprise (DMZ)              aux lettres
                   Méthodes HTTP :
                   • RPC_IN_DATA
                                 Analyse HTTP
                             (URL,
                   • RPC_OUT_DATA     entêtes, co
                   Extension : *.DLLntenu…)
                   Signature : ./ .. % &

                                                                      MS- RPC


                      SSL                             SSL
                  RPC sur HTTP                      RPC sur HTTP


                                 Forefront TMG                 Serveur CAS
Outlook 2003, 2007, 2010         Forefront UAG                (Accès Client)
Besoins pour le client Lync
  Publications HTTPS et HTTP vers les serveurs Front
  End et le directeur pour Lync Server
  Publications HTTPS vers les serveurs CAS pour
  l’accès aux services web d’Exchange Server
  Publications HTTPS pour Lync Server
    Urls simples
    Carnet d’adresses
    Expansion des listes de distribution
    « Web Ticket »
  Publications HTTP pour Lync Server
    Mise à jour des périphériques (Firmware)
    Journalisation des mises à jour de périphériques
Besoins pour Lync Server
                                                 Front End
                                                   Pool1


                                                 Front End
 Client                 Reverse Proxy
                                                   Pool2


                                                 Directeur
appels.contoso.com                 vers le
directeur
reunions.fabrikam.com       vers le directeur   DNS LB non
lync1.contoso.com           vers le pool 1    supporté pour le
lync2.contoso.com           vers le pool 2     trafic HTTP/S
Besoin de SAN sur le
certificat
Publications HTTPS B2C/B2E et
B2B
  Les flux publiés B2C/B2E sont mis à disposition d’utilisateurs via des
  navigateurs (exemple : Outlook Web App)
      L’utilisateur a besoin de préciser ses pièces identités,
      L’authentification par formulaire est donc un bon choix,
      L’utilisateur peut accepter un certificat non reconnu.

  Les flux publiés B2B sont accédés par des applications externes
      L’application connait les pièces d’identités à utiliser,
      Il est inutile de les redemander à l’utilisateur,
           Risque de fenêtres d’ouverture de session multiples,
           Risque de confusion,
      L’authentification HTTP 1.1 convient mieux
      Normalement, un certificat non reconnu interdit la connexion

  Deux ports d’écoute Web (FTMG) ou Trunk (FUAG)
      Le premier pour les accès avec identification en mode formulaire
           Peut être mutualisé pour les autres accès de ce type (site extranet, SharePoint,…)
      Le second pour les accès avec identification HTTP 1.1
           Peut être mutualisé pour tout besoin de ce type (services web Lync Server, Outlook
           Anywhere, Services web Exchange Server, AD-RMS, RDS Gateway…)
Types de certificat à utiliser
  De manière générale :
     En interne, des certificats issus d’une PKI interne
         Coût, disponibilité, cycle de vie, …
     En externe, des certificats issus d’une PKI publique
         Pour être reconnus et validés par les différents clients
  Si usage de certificats d’une PKI interne en externe :
     Permet notamment de limiter les accès aux flux B2B
         Attention aux périphériques permissifs
     Attention la PKI doit exposer les AIA et CRL à l’extérieur
         Une architecture à 2 niveaux (AC racine hors ligne et AC de distribution
         d’infrastructure d’entreprise suffit)

  On peut éventuellement doubler les ports d’écoute (ou
  trunk) en fonction du type de certificat utilisé pour
  restreindre les usages.
Identification vis-à-vis des
serveurs publiés
  Ne concerne que les accès publiés avec délégation
  d’identification
  Si possible, utiliser la délégation contrainte Kerberos
     Nécessite que le service dispose d’un SPN (Service Principal
     Name)
          Exemple : http/outlook.contoso.com
     Nécessite que le compte d’ordinateur du Reverse Proxy soit
     configuré pour la délégation sur ce SPN
          Propriété du compte ordinateur dans Active Directory Users &
          Computers
     La délégation contrainte Kerberos doit être choisie dans la règle
     de publication
  Sinon
     Utiliser l’identification NTLM
     Utiliser l’identification de base
Agenda

  Différents accès nomades
  Eléments d’infrastructure nécessaires
  Publication des sites et services Web
  Mise en œuvre du rôle Edge de Lync Server
    Comment sécuriser le serveur Edge
    Quels ports dois-je ouvrir ?
  Sécurisation des usages
Comment sécuriser le serveur
Edge
  Utiliser un sous-réseau différent
  Verrouiller les règles de routage pour ce sous-
  réseau
    Désactiver broadcast, multicast, et le trafic vers les
    autres sous réseaux de périmètre
  Placer le serveur Edge entre deux murs pare feux
  Suivre le
  Lire et appliquer les informations de l’article
  «

       »
Les communications
sécurisées dans Lync
  Quelqu’un peut-il analyser les paquets et accéder à mes
  données IM/audio/vidéo/données ?
Lync Server Security Filter :
qu’est ce que c’est ?
  Script SPL + service .Net à installer dans le serveur Edge
  A enregistrer sur le serveur Edge via PowerShell
  Intercepte tout trafic d’authentification des utilisateurs
  distants
                           2
                           3
                  Compteur:1         Seuil : 2
                                     Timeout : 5 minutes
Lync Server Security Filter : Que
fait il?
   Intercepte l’identification NTLM ou TLS-DSK dans
   la requête SIP,
   Extrait l’authentification unique du paquet :
      TLS-DSK : extraction du certificat client
      NTLM : extraction du nom d’utilisateur et du domaine
   Contrôle le nombre d’ouvertures de session
   échouées,
   Si le nombre d’essais atteint le seuil choisi, les
   futures requêtes d’identification sont bloquées,
   Une fois, le timeout expiré, l’utilisateur peut de
   nouveau tenter de s’authentifier
Quels ports dois-je ouvrir ?

  Bien connaitre les ports réseau
    Les équipes de sécurité réseau sont paranoïaques,
       Et c’est leur métier 
    Elles veulent bloquer tous les ports externes,
    Toute demande d’ouverture de port doit être justifiée et
    clairement comprise,
    Il vous faut fournir une explication claire et précise
    pour chaque port à ouvrir
Présence et messagerie instantannée
Partages d’applications
A/V et conférences Web
“Enterprise Voice”
Port TCP 5062 (interne
uniquement)
  Les serveurs Front End doivent disposer d’un
  certificat valide dont le nom du sujet correspond au
  FQDN de ce serveur.
  De même les serveurs Front End font le même
  contrôle par rapport au certificat A/V du serveur Edge,
  Le FQDN du serveur Front End doit appartenir à une
  liste de confiance du serveur Edge.
  De même, le FQDN du serveur Edge doit appartenir à
  une liste de confiance des serveurs Front End,
  Toute signalisation SIP est protégée par un
  chiffrement TLS 128-bit.
Ports UDP 3478 et TCP 443

  L’allocation de port est protégée par une
  authentification de type “challenge 128-bit
  digest”, utilisant un mot de passe généré par
  l’ordinateur et modifié toutes les 8 heures,
  Un numéro de séquence ainsi qu’un nombre
  aléatoire sont utilisés afin de déjouer les attaques
  par répétition,
  Les paquets de messages (UDP3478/TCP443)
  sont protégés avec une signature HMAC 128-bit.
Ports UDP/TCP 50000 à 59999
  Les ports sont alloués de manière aléatoire par
  communication.
  Une attaque doit deviner quel port est utilisé et être
  terminée avant que la communication ne se finisse.
  Le trafic entrant est filtré en fonction des adresses IP
  des terminaux distants.
  Même si une attaque trouve le bon port, elle doit
  aussi usurper la bonne adresse IP.
  Ces deux mécanismes rendent l’usage de la plage de
  port plus sûr.
  Si l’ensemble du trafic est multiplexé sur un
  port, alors tout le trafic de toutes les adresses IP des
  terminaux distants est accepté.
Trafic média

  Les paquets “média” sont protégés de bout en
  bout avec SRTP (Secure Real Time Protocol)
  empêchant ainsi toute interception ou toute
  injection.
  La clé utilisée pour chiffrer et déchiffrer le flux
  média est transmise par le canal de signalisation
  TLS sécurisé.
Agenda

  Différents accès nomades
  Eléments d’infrastructure nécessaires
  Publication des sites et services Web
  Mise en œuvre du rôle Edge de Lync Server
  Sécurisation des usages
    Ordinateurs publics ou partagés sur Outlook Web App
    Gestion des périphériques mobiles
Ordinateurs publics ou
partagés sur Outlook Web App
  La gestion des pièces jointes se fait selon le type
  d’accès
     Interdire l’ouverture des pièces jointes,
     Forcer l’usage du WebReady,
        Exchange lit des documents et les affiche au format web,
     Forcer la sauvegarde des pièces jointes,
  Cette gestion est granulaire selon le type de document
Gestion des périphériques
mobiles
  En cas de perte ou de vol
      Périphérique verrouillé par code PIN,
      Effacement du contenu du périphérique ,automatiquement
      après plusieurs tentatives (nombre défini par
      l’administrateur),
      Chiffrement de données enregistrées sur carte de stockage,
      Code IMEI pour bloquer l’appareil sur les réseaux,
  Effacement déclenchable depuis Exchange Control Panel
  (ECP) par l’utilisateur,
  En cas d’oubli, code de déverrouillage du mobile accessible sur
  ECP
  Support des stratégies ActiveSync
Ressources et remerciements

  Ressources :




  Un grand merci à Rui Maximo,
    Auteur de nombreux ouvrages sur OCS et Lync
    Présentateur au Tech-Ed 2011 d’Atlanta
Vous souhaitez approfondir


  Venez rencontrer nos   Profitez d’une
  experts sur notre      démonstration gratuite
  stand                  Posez vos questions
                         Exposez vos besoins
Vous êtes dans la salle 243
Questions …. et réponses ….

Contenu connexe

Tendances

Techdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-VTechdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-V
fabricemeillon
 
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...
Microsoft Technet France
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Microsoft Technet France
 
Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2
Microsoft Technet France
 
Windows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau DistantWindows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau Distant
Microsoft Technet France
 
Atelier CITRIX
Atelier CITRIXAtelier CITRIX
Atelier CITRIX
pimp uncle
 
Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Microsoft Technet France
 
Windows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFTWindows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFT
groupe_hisoft
 
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
Microsoft Technet France
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Microsoft Technet France
 
Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...
Kouotou Aboubakar Sidiki, Eng, PMP
 
Lync : Bonnes pratiques d'Architecture
Lync : Bonnes pratiques d'ArchitectureLync : Bonnes pratiques d'Architecture
Lync : Bonnes pratiques d'Architecture
Microsoft Technet France
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2
Georgeot Cédric
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
fabricemeillon
 
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
fabricemeillon
 
Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365
Microsoft Technet France
 
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...
Microsoft Technet France
 
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisationTechdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
fabricemeillon
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
Microsoft Technet France
 
Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08
actualblog
 

Tendances (20)

Techdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-VTechdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-V
 
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2
 
Windows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau DistantWindows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau Distant
 
Atelier CITRIX
Atelier CITRIXAtelier CITRIX
Atelier CITRIX
 
Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010
 
Windows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFTWindows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFT
 
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
 
Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...
 
Lync : Bonnes pratiques d'Architecture
Lync : Bonnes pratiques d'ArchitectureLync : Bonnes pratiques d'Architecture
Lync : Bonnes pratiques d'Architecture
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
 
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
 
Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365
 
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...
 
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisationTechdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
 
Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08
 

Similaire à Sécuriser vos accès nomades pour accéder à Exchange et Lync

Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts
Microsoft Technet France
 
LyncConference2013 - Extension de Lync 2013 côté Serveur
LyncConference2013 - Extension de Lync 2013 côté ServeurLyncConference2013 - Extension de Lync 2013 côté Serveur
LyncConference2013 - Extension de Lync 2013 côté Serveur
Microsoft Technet France
 
Architecture Décentralisée
Architecture DécentraliséeArchitecture Décentralisée
Architecture Décentralisée
parigot
 
Quoi de neuf sous le capot de Lync 2013
Quoi de neuf sous le capot de Lync 2013Quoi de neuf sous le capot de Lync 2013
Quoi de neuf sous le capot de Lync 2013
Microsoft Décideurs IT
 
Webcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeWebcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de charge
iTProFR
 
Etendez votre Lync
Etendez votre LyncEtendez votre Lync
Etendez votre Lync
Microsoft
 
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
Microsoft Technet France
 
Bisatel voi p protocol sip
Bisatel voi p protocol sipBisatel voi p protocol sip
Bisatel voi p protocol sip
Bisatel
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
Microsoft Technet France
 
Ecosystème Lync : le Big Bang
Ecosystème Lync : le Big BangEcosystème Lync : le Big Bang
Ecosystème Lync : le Big Bang
Microsoft Ideas
 
Intégrer Lync dans vos applications métiers, ou le contraire
Intégrer Lync dans vos applications métiers, ou le contraireIntégrer Lync dans vos applications métiers, ou le contraire
Intégrer Lync dans vos applications métiers, ou le contraire
Microsoft Ideas
 
Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm
 
Présentation VOIP
Présentation  VOIPPrésentation  VOIP
Présentation VOIP
Cynapsys It Hotspot
 
LyncConference2013 - Extension de Lync 2013 côté Client
LyncConference2013 - Extension de Lync 2013 côté ClientLyncConference2013 - Extension de Lync 2013 côté Client
LyncConference2013 - Extension de Lync 2013 côté Client
Microsoft Technet France
 
02 tp asterisk_trunk
02 tp asterisk_trunk02 tp asterisk_trunk
02 tp asterisk_trunk
Rakoto Zafy
 
S51 vos projets web services ibm i a l aide de php
S51   vos projets web services ibm i a l aide de phpS51   vos projets web services ibm i a l aide de php
S51 vos projets web services ibm i a l aide de php
Gautier DUMAS
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU  SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU  SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
AlbertSmithTambwe
 
Les nouveautés de Microsoft BizTalk Server 2013
Les nouveautés de Microsoft BizTalk Server 2013Les nouveautés de Microsoft BizTalk Server 2013
Les nouveautés de Microsoft BizTalk Server 2013
Microsoft
 
LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source
LINAGORA
 

Similaire à Sécuriser vos accès nomades pour accéder à Exchange et Lync (20)

Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts
 
LyncConference2013 - Extension de Lync 2013 côté Serveur
LyncConference2013 - Extension de Lync 2013 côté ServeurLyncConference2013 - Extension de Lync 2013 côté Serveur
LyncConference2013 - Extension de Lync 2013 côté Serveur
 
Architecture Décentralisée
Architecture DécentraliséeArchitecture Décentralisée
Architecture Décentralisée
 
Quoi de neuf sous le capot de Lync 2013
Quoi de neuf sous le capot de Lync 2013Quoi de neuf sous le capot de Lync 2013
Quoi de neuf sous le capot de Lync 2013
 
Webcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeWebcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de charge
 
Etendez votre Lync
Etendez votre LyncEtendez votre Lync
Etendez votre Lync
 
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
 
Bisatel voi p protocol sip
Bisatel voi p protocol sipBisatel voi p protocol sip
Bisatel voi p protocol sip
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Ecosystème Lync : le Big Bang
Ecosystème Lync : le Big BangEcosystème Lync : le Big Bang
Ecosystème Lync : le Big Bang
 
Intégrer Lync dans vos applications métiers, ou le contraire
Intégrer Lync dans vos applications métiers, ou le contraireIntégrer Lync dans vos applications métiers, ou le contraire
Intégrer Lync dans vos applications métiers, ou le contraire
 
Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)
 
Présentation VOIP
Présentation  VOIPPrésentation  VOIP
Présentation VOIP
 
LyncConference2013 - Extension de Lync 2013 côté Client
LyncConference2013 - Extension de Lync 2013 côté ClientLyncConference2013 - Extension de Lync 2013 côté Client
LyncConference2013 - Extension de Lync 2013 côté Client
 
02 tp asterisk_trunk
02 tp asterisk_trunk02 tp asterisk_trunk
02 tp asterisk_trunk
 
S51 vos projets web services ibm i a l aide de php
S51   vos projets web services ibm i a l aide de phpS51   vos projets web services ibm i a l aide de php
S51 vos projets web services ibm i a l aide de php
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU  SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU  SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
 
Les nouveautés de Microsoft BizTalk Server 2013
Les nouveautés de Microsoft BizTalk Server 2013Les nouveautés de Microsoft BizTalk Server 2013
Les nouveautés de Microsoft BizTalk Server 2013
 
VoIP
VoIPVoIP
VoIP
 
LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source
 

Plus de Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
Microsoft Technet France
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
Microsoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Microsoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
Microsoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
Microsoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
Microsoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
Microsoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
Microsoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Microsoft Technet France
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
Microsoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
Microsoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
Microsoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
Microsoft Technet France
 
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Microsoft Technet France
 

Plus de Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
 

Sécuriser vos accès nomades pour accéder à Exchange et Lync

  • 1. palais des congrès Paris 7, 8 et 9 février 2012
  • 2. PAR304 : Sécuriser vos accès nomades pour accéder à Exchange et Jeudi 9 Février 2012 Lync Patrick ISAMBERT Architecte ALSY
  • 3. Spécialiste Microsoft Notre identité • +20 ans d’existence • +15 ans de partenariat avec Microsoft • 190 experts • Filiale d’Orange Business Services • Centre des usages Microsoft Rhône-Alpes
  • 4. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
  • 5. Agenda Différents accès nomades Accès via navigateur Clients des postes de travail Clients mobiles Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
  • 6. Accès via navigateur Outlook Web App Successeur d’Outlook Web Access Intègre les fonctions de messagerie instantanée avec Lync Server Lync Web App Permet aux utilisateurs ne disposant pas de client Lync installé de participer à des conférences, Ne nécessite pas forcement de compte Active Directory Fournit la plupart des fonctions Lync 2010 pour une réunion : Affichage et présentation de diapositives PowerPoint, Messagerie instantanée de groupe pour la réunion, Connexion audio par téléphone, Pas de connexion vidéo , Distribution de fichiers et le partage d’applications et de bureau. Ne permet pas la messagerie instantanée de Lync Server et
  • 7. Clients des postes de travail Outlook Anywhere : synchronisation de son client Outlook depuis n'importe quel réseau Opération en tâche de fond Aucun VPN à établir, communications sur HTTPS Lync 2010 Utilisation du client Lync pour les nomades Aucun VPN à établir, communications directes (HTTPS et port 443 par défaut)
  • 8. Clients mobiles Outlook Mobile : Accès à la messagerie depuis un téléphone portable Windows Phone, Windows Mobile, Androïd, iOS, BlackBerry (sans BES), Symbian, WebOS Fonctionnement Accès aux serveurs Exchange de l’entreprise à travers un canal de communication sécurisé en HTTPS Aucune donnée ne transite sur des systèmes tiers C’est l’utilisateur qui accède à la boite aux lettres Pas de comptes système ou super utilisateur, Accès aux données stockées sur le périphérique, Confidentialité des données garantie de bout en bout Lync Mobile : Accès à Lync Server depuis un téléphone portable Windows Phone, iPhone, iPad, Android, Nokia Symbian
  • 9. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Reverse Proxy Rôle du Reverse Proxy Quel Reverse Proxy ? Positionnement du Reverse Proxy Exemples de topologies Lync Edge Server Rôle du serveur Edge Topologies possibles pour le serveur Edge Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
  • 10. Rôle du Reverse Proxy Publication des applications web (flux B2C/B2E) Outlook Web App Installé sur les serveurs CAS Lync Web App Installé par défaut, Publié au sein des urls simples : reunions.domaine.com (meet.domain.com) Publication des services web (flux B2B) Exchange Web Services Installé sur les serveurs CAS Intègre les services « autodiscover », les carnets d’adresses en mode hors connexion, les services de disponibilité , … Lync Web Services Les urls simples, à publier de préférence vers le directeur, Les autres services web vers les différents « pool ».
  • 11. Quel Reverse Proxy ? Tout reverse proxy peut convenir mais… L’usage de filtres applicatifs est très fortement conseillé Les filtres contrôlent le contenu des trames Analyse HTTP (URL, entêtes, contenu…) Contrôles de l’encapsulation HTTPS S’agit-il de MAPI au sein de RPC/HTTPS ? Une réécriture d’URL peut être nécessaire L’usage de la délégation d’identification est fortement conseillée Sinon ce sont les serveurs qui effectuent le travail (et encourent les risques) Serveurs CAS pour Exchange 2010 Serveurs Directeur et Front End pour Lync Server 2010 La gamme Microsoft Forefront inclue tous ces besoins : Forefront Threat Management Gateway 2010 Forefront Unified Access Gateway 2010
  • 12. Positionnement du Reverse Proxy ? groupe de travail ou dans un domaine En mode Le mode groupe de travail ne permet pas certaines délégations d’identification Seule l’identification par formulaire et l’authentification HTTP 1.1 de base sont possibles Il peut en résulter des fenêtres d’ouverture de session intempestives On peut inclure le reverse proxy dans la forêt interne de l’entreprise mais… Usage d’une « forêt de connexion » La forêt AD-DS est la limite de sécurité et d’isolation, Les derniers outils d’administration gèrent bien une topologie multi-forêts, Il existe plusieurs scenarii de liaison inter-forêts Les relations d’approbation de forêt Mise en œuvre de l’identification sélective Application du SID Filtering Usage de Kerberos Les fédérations de forêts Double niveau de reverse proxy Premier niveau de reverse proxy hors domaine Deuxième niveau de reverse proxy dans la forêt
  • 13. Exemples de topologies Reverse Proxy dans la foret interne, Reverse Proxy dans une forêt distincte en relation d’approbation de forêt avec la forêt interne, Reverse Proxy dans une forêt distincte fédérée avec la forêt interne, Double niveau de Reverse Proxy 1er niveau : Entre DMZ publique et DMZ privée Reverse Proxy hors domaine, avec délégation (identification formulaire ou HTTP 1.1 de base) via RADIUS ou LDAP, 2ème niveau : Entre DMZ privée et réseau interne Reverse Proxy dans la forêt interne avec délégation (identification HTTP 1.1 intégrée), et usage de la délégation contrainte Kerberos pour les serveurs publiés.
  • 14. Rôle du serveur Edge Accès des utilisateurs externes Les clients Lync se connectent de manière transparente à Lync Server à travers Internet Public IM Connectivity (PIC) Connexions avec les fournisseurs publics de messagerie instantanée (Live, Yahoo, AOL) Fédération Fédération avec d’autres entreprises Fédération avec Office 365 Présence et messagerie instantanée ou… Toutes possibilités A/V et partage d’applications
  • 15. Topologie 1 : Edge avec une seule adresse IP edge.contoso.com edge-int.contoso.com 131.107.155.10 172.25.33.10 Externe Edge Server Interne SIP: 5061 SIP: 5061 Web Conf: 444 Web Conf: 8057 A/V Conf: 443, 3478 A/V Conf: 443, 3478
  • 16. Topologie 2 : Edge avec plusieurs adresses IP SIP Externe sip.contoso.com 131.107.155.10 443, 5061 edge-int.contoso.com 172.25.33.10 Web Conf Externe Edge Server Interne wcnf.contoso.com SIP: 5061 131.107.155.20 443 Web Conf: 8057 A/V Conf: 443, 3478 AV Externe av.contoso.com 131.107.155.30 443, 3478
  • 17. Topologie 3 : Edge avec adresses IP derrière un NAT. Adresses IP IP1’ IP1 publiques n’a pas Lync Server SIP Externe besoin de connaitre les adresses translatées pour SIP et Web Conf IP2’ IP2 Client NAT W.Conf Externe Edge Server Int Les clients se connectent à l’adresse IP3’ IP3 IP pour le trafic A/V: L’adresse IP AV Externe translatée pour AV doit être configurée dans
  • 18. Topologie 4 : Edge avec DNS LB Adresses IP publiques IP1 Enregistrements A DNS sip.contoso.com IP1 et IP4 Edge Server IP2 Int wcnf.contoso.com IP2 et IP5 1 av.contoso.com IP3 et IP6 IP3 Client Les clients peuvent maintenir IP4 plusieurs adresses IP et peuvent Edge Server ainsi basculer la connexion. IP5 Int 2 IP6
  • 19. Topologie 5 : Edge avec DNS LB et NAT Adresses IP IP1’ IP1 publiques Enregistrements A DNS A Edge sip.contoso.com IP1’ et IP4’ IP2’ IP2 Server Int wcnf.contoso.com IP2’ et IP5’ 1 av.contoso.com IP3’ et IP6’ IP3’ IP3 N Les adresses IP AV A doivent être configurées IP4’ T IP4 individuellement dans Edge Lync Server IP5’ IP5 Server Int IP3 vers IP3’ 2 IP6 vers IP6’ IP6’ IP6
  • 20. Topologie 6 : Edge avec Hardware Load Balancer Adresses IP publiques IP1 Enregistrements A DNS Edge sip.contoso.com VIP1 IP2 Server Int wcnf.contoso.com VIP2 1 av.contoso.com VIP3 VIP1 IP3 VIP H 2 VIP L Les connexions clients AV sont initiées sur la VIP. 3 B IP4 Par la suite, le trafic client AV Edge (UDP) se connecte directement sur IP5 Server Int le Edge. Le trafic TCP continue à 2 utiliser la VIP. IP6 NAT et HLB sont incompatibles
  • 21. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Besoins pour Exchange Server Besoins pour Lync Server Publications B2C/B2E et B2B Types de certificat à utiliser Identification vis-à-vis des serveurs publiés Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
  • 22. Besoins pour Exchange Server Publication Outlook Web App Les risques liés à l’accès navigateur Session restée active, réutilisation des informations de sécurité, Analyse du cache à posteriori, récupération de pièces téléchargées, Exécution de scripts cachés dans des courriels, Téléchargement d’images sur des liens externes, Divulgation de l’adresse du site OWA via les « referrer headers » Publication Outlook Mobile Les risques liés Divulgation d’informations lors de la perte du périphérique, Accès aux données stockées sur le périphérique, Communications entre le périphérique et l’entreprise non sécurisées . Publication Outlook Anywhere Les risques liés Perte de l’ordinateur portable, Analyse des flux échangés avec le serveur, Publication Exchange Web Services Accès aux informations Exchange depuis les clients externes Sera traité avec les besoins du client Lync en externe Les risques liés Analyse des flux échangés avec le serveur.
  • 23. Publication Outlook Web App Pré-Authentification sur : -Active Directory Périmètre de Serveur de boites -LDAP (AD) l’entreprise (DMZ) aux lettres -SecureID -Radius OTP Analyse HTTP -Radius (URL, entêtes, con Délégation tenu…) Réécriture d’authentification d’URLs SSL SSL ou HTTP MS- RPC Serveur d'accès Forefront TMG Client OWA client (CAS) Forefront UAG
  • 24. Gestion des sessions avec OWA Le service OWA est délivré par le serveur ayant le rôle CAS (Client Access Server) Accès par défaut en HTTPS. Mode d'authentification par formulaire par défaut Méthodes d'authentification tierces supportées (avec FTMG, FUAG) : RSA SecurID, Radius. Authentifications classiques supportées nativement (NTLM, Kerberos, de base). Cookie de session chiffré Chiffrement effectué coté serveur Durée de vie des clefs courte : Moitié de la durée de vie de la session utilisateur.
  • 25. Cookie de session avec OWA Pièces d’identité transmises Cookie chiffré 7,5 minutes s'écoulent Cookie transmis Serveur CAS Client OWA Cookie chiffré Clé 1 Clé 2 7,5 minutes s'écoulent Clé 3 Activité utilisateur Cookie transmis Cookie chiffré Clé 4
  • 26. Gestion des sessions avec OWA Activité utilisateur sur le poste de client Toutes les interactions initiées par l'utilisateur sont considérées comme activité utilisateur, Sur "OWA Light" toutes les actions sont considérées comme activité sauf la saisie de texte, Expiration des sessions (publique ou privée) basée sur l'activité du poste client 15 minutes par défaut pour un accès public, 8 heures par défaut pour un accès privé,
  • 27. Publication Outlook Mobile Périmètre de l’entreprise (DMZ) Serveur de boites aux lettres URL: mail.mycompany.com/Microsoft- Server-ActiveSync/*, Analyse HTTP de l’URL : 1024 Taille max Méthodes: POST, OPTIONS Extensions autorisées : . (URL, entêtes,Query length : 512 Max co Bloquer les signatures ntenu…) ./ .. % : SSL SSL ou HTTP MS- RPC Forefront TMG Exchange CAS Périphérique Mobile Forefront UAG
  • 28. Publication Outlook Anywhere Périmètre de Serveur de boites l’entreprise (DMZ) aux lettres Méthodes HTTP : • RPC_IN_DATA Analyse HTTP (URL, • RPC_OUT_DATA entêtes, co Extension : *.DLLntenu…) Signature : ./ .. % & MS- RPC SSL SSL RPC sur HTTP RPC sur HTTP Forefront TMG Serveur CAS Outlook 2003, 2007, 2010 Forefront UAG (Accès Client)
  • 29. Besoins pour le client Lync Publications HTTPS et HTTP vers les serveurs Front End et le directeur pour Lync Server Publications HTTPS vers les serveurs CAS pour l’accès aux services web d’Exchange Server Publications HTTPS pour Lync Server Urls simples Carnet d’adresses Expansion des listes de distribution « Web Ticket » Publications HTTP pour Lync Server Mise à jour des périphériques (Firmware) Journalisation des mises à jour de périphériques
  • 30. Besoins pour Lync Server Front End Pool1 Front End Client Reverse Proxy Pool2 Directeur appels.contoso.com vers le directeur reunions.fabrikam.com vers le directeur DNS LB non lync1.contoso.com vers le pool 1 supporté pour le lync2.contoso.com vers le pool 2 trafic HTTP/S Besoin de SAN sur le certificat
  • 31. Publications HTTPS B2C/B2E et B2B Les flux publiés B2C/B2E sont mis à disposition d’utilisateurs via des navigateurs (exemple : Outlook Web App) L’utilisateur a besoin de préciser ses pièces identités, L’authentification par formulaire est donc un bon choix, L’utilisateur peut accepter un certificat non reconnu. Les flux publiés B2B sont accédés par des applications externes L’application connait les pièces d’identités à utiliser, Il est inutile de les redemander à l’utilisateur, Risque de fenêtres d’ouverture de session multiples, Risque de confusion, L’authentification HTTP 1.1 convient mieux Normalement, un certificat non reconnu interdit la connexion Deux ports d’écoute Web (FTMG) ou Trunk (FUAG) Le premier pour les accès avec identification en mode formulaire Peut être mutualisé pour les autres accès de ce type (site extranet, SharePoint,…) Le second pour les accès avec identification HTTP 1.1 Peut être mutualisé pour tout besoin de ce type (services web Lync Server, Outlook Anywhere, Services web Exchange Server, AD-RMS, RDS Gateway…)
  • 32. Types de certificat à utiliser De manière générale : En interne, des certificats issus d’une PKI interne Coût, disponibilité, cycle de vie, … En externe, des certificats issus d’une PKI publique Pour être reconnus et validés par les différents clients Si usage de certificats d’une PKI interne en externe : Permet notamment de limiter les accès aux flux B2B Attention aux périphériques permissifs Attention la PKI doit exposer les AIA et CRL à l’extérieur Une architecture à 2 niveaux (AC racine hors ligne et AC de distribution d’infrastructure d’entreprise suffit) On peut éventuellement doubler les ports d’écoute (ou trunk) en fonction du type de certificat utilisé pour restreindre les usages.
  • 33. Identification vis-à-vis des serveurs publiés Ne concerne que les accès publiés avec délégation d’identification Si possible, utiliser la délégation contrainte Kerberos Nécessite que le service dispose d’un SPN (Service Principal Name) Exemple : http/outlook.contoso.com Nécessite que le compte d’ordinateur du Reverse Proxy soit configuré pour la délégation sur ce SPN Propriété du compte ordinateur dans Active Directory Users & Computers La délégation contrainte Kerberos doit être choisie dans la règle de publication Sinon Utiliser l’identification NTLM Utiliser l’identification de base
  • 34. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Comment sécuriser le serveur Edge Quels ports dois-je ouvrir ? Sécurisation des usages
  • 35. Comment sécuriser le serveur Edge Utiliser un sous-réseau différent Verrouiller les règles de routage pour ce sous- réseau Désactiver broadcast, multicast, et le trafic vers les autres sous réseaux de périmètre Placer le serveur Edge entre deux murs pare feux Suivre le Lire et appliquer les informations de l’article « »
  • 36. Les communications sécurisées dans Lync Quelqu’un peut-il analyser les paquets et accéder à mes données IM/audio/vidéo/données ?
  • 37. Lync Server Security Filter : qu’est ce que c’est ? Script SPL + service .Net à installer dans le serveur Edge A enregistrer sur le serveur Edge via PowerShell Intercepte tout trafic d’authentification des utilisateurs distants 2 3 Compteur:1 Seuil : 2 Timeout : 5 minutes
  • 38. Lync Server Security Filter : Que fait il? Intercepte l’identification NTLM ou TLS-DSK dans la requête SIP, Extrait l’authentification unique du paquet : TLS-DSK : extraction du certificat client NTLM : extraction du nom d’utilisateur et du domaine Contrôle le nombre d’ouvertures de session échouées, Si le nombre d’essais atteint le seuil choisi, les futures requêtes d’identification sont bloquées, Une fois, le timeout expiré, l’utilisateur peut de nouveau tenter de s’authentifier
  • 39. Quels ports dois-je ouvrir ? Bien connaitre les ports réseau Les équipes de sécurité réseau sont paranoïaques, Et c’est leur métier  Elles veulent bloquer tous les ports externes, Toute demande d’ouverture de port doit être justifiée et clairement comprise, Il vous faut fournir une explication claire et précise pour chaque port à ouvrir
  • 40. Présence et messagerie instantannée
  • 44. Port TCP 5062 (interne uniquement) Les serveurs Front End doivent disposer d’un certificat valide dont le nom du sujet correspond au FQDN de ce serveur. De même les serveurs Front End font le même contrôle par rapport au certificat A/V du serveur Edge, Le FQDN du serveur Front End doit appartenir à une liste de confiance du serveur Edge. De même, le FQDN du serveur Edge doit appartenir à une liste de confiance des serveurs Front End, Toute signalisation SIP est protégée par un chiffrement TLS 128-bit.
  • 45. Ports UDP 3478 et TCP 443 L’allocation de port est protégée par une authentification de type “challenge 128-bit digest”, utilisant un mot de passe généré par l’ordinateur et modifié toutes les 8 heures, Un numéro de séquence ainsi qu’un nombre aléatoire sont utilisés afin de déjouer les attaques par répétition, Les paquets de messages (UDP3478/TCP443) sont protégés avec une signature HMAC 128-bit.
  • 46. Ports UDP/TCP 50000 à 59999 Les ports sont alloués de manière aléatoire par communication. Une attaque doit deviner quel port est utilisé et être terminée avant que la communication ne se finisse. Le trafic entrant est filtré en fonction des adresses IP des terminaux distants. Même si une attaque trouve le bon port, elle doit aussi usurper la bonne adresse IP. Ces deux mécanismes rendent l’usage de la plage de port plus sûr. Si l’ensemble du trafic est multiplexé sur un port, alors tout le trafic de toutes les adresses IP des terminaux distants est accepté.
  • 47. Trafic média Les paquets “média” sont protégés de bout en bout avec SRTP (Secure Real Time Protocol) empêchant ainsi toute interception ou toute injection. La clé utilisée pour chiffrer et déchiffrer le flux média est transmise par le canal de signalisation TLS sécurisé.
  • 48. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages Ordinateurs publics ou partagés sur Outlook Web App Gestion des périphériques mobiles
  • 49. Ordinateurs publics ou partagés sur Outlook Web App La gestion des pièces jointes se fait selon le type d’accès Interdire l’ouverture des pièces jointes, Forcer l’usage du WebReady, Exchange lit des documents et les affiche au format web, Forcer la sauvegarde des pièces jointes, Cette gestion est granulaire selon le type de document
  • 50. Gestion des périphériques mobiles En cas de perte ou de vol Périphérique verrouillé par code PIN, Effacement du contenu du périphérique ,automatiquement après plusieurs tentatives (nombre défini par l’administrateur), Chiffrement de données enregistrées sur carte de stockage, Code IMEI pour bloquer l’appareil sur les réseaux, Effacement déclenchable depuis Exchange Control Panel (ECP) par l’utilisateur, En cas d’oubli, code de déverrouillage du mobile accessible sur ECP Support des stratégies ActiveSync
  • 51. Ressources et remerciements Ressources : Un grand merci à Rui Maximo, Auteur de nombreux ouvrages sur OCS et Lync Présentateur au Tech-Ed 2011 d’Atlanta
  • 52. Vous souhaitez approfondir Venez rencontrer nos Profitez d’une experts sur notre démonstration gratuite stand Posez vos questions Exposez vos besoins
  • 53. Vous êtes dans la salle 243
  • 54. Questions …. et réponses ….