Windows 10 pour l'entreprise - Amazon S3...Font correspondre la clé publique Passport avec un...

Windows 10 pour l’entreprise

Arnaud Lheureux, Stanislas Quastana , Pascal Sauliere

Architectes Infrastructure, CISSP

Microsoft DX

pour l’entreprise

Plus de productivité

Des appareils innovants pour votre business

Managé pour une innovation continue

Protection contre les menaces modernes

Une même plateforme pour une gamme

étendue d’appareils

Formes Interfaces Performance Prix

Appareils modernes

2-en-1 Stylet Tactile

Nouveaux types d’appareils

IoT HoloLens Surface Hub

Options de déploiement

Wipe-and-Load

Processus traditionnel

• Capture données et paramètres

• Déploiement image personnalisée de

l’OS

• Injection des drivers

• Installation des applications

• Restauration données et paramètres

Encore une option pour tous les

scénarios

Mise à jour système existant

Laisser Windows faire le travail

• Conserve données, paramètres,

applications, drivers

• Installe l’image standard de l’OS

• Restaure tout

Recommandé pour les systèmes

existants (Windows 7/8/8.1)

Provisionnement

Configuration de nouveaux appareils

• Transformation en un système

Entreprise

• Suppression d’éléments, ajouts

d’applis et configurations de

l’organisation

Nouvelles possibilités pour les

nouveaux appareils

Compatibilité applications et appareils

Provisionnement dynamique

Appareils du commerce

Configuration avec un seul fichier

Fichier envoyé par mail

Workflow très simple

Matériel sur étagère

Appareil prêt pour

utilisation productive

Appliquer un

provisioning package

tech.days 2015#mstechdays

Titre session pied de page

tech.days 2015#mstechdays

Titre session pied de page

tech.days 2015#mstechdays

Titre session pied de page

tech.days 2015#mstechdays

Promotion depuis SKU Pro vers Enterprise 1/4

tech.days 2015#mstechdays

Promotion depuis SKU Pro vers Enterprise 2/4

tech.days 2015#mstechdays

Promotion depuis SKU Pro vers Enterprise 3/4

tech.days 2015#mstechdays

Promotion depuis SKU Pro vers Enterprise 4/4

La sécurité dans Windows 10

Protection de l’appareil

Protection de l’Information

Protection de l’identité

Protection de l’identité

Microsoft Passport

Hyper-V Virtual Secure Mode (VSM)

Windows Hello

Microsoft Passport

Remplace le mot de passe par une clé privée Débloquée uniquement avec un « geste utilisateur » (PIN, Windows Hello)

Familier pour l’IT (paire de clés ou certificat)

Familier pour l’utilisateur (Windows Hello ou PIN)

Choix de fournisseurs d’identités (IDP) Les fournisseurs d’identités valident les utilisateurs par OTP, MFA…

Font correspondre la clé publique Passport avec un compte utilisateur

La clé privée n’est jamais partagée Idéalement, les clés sont générées dans le matériel (TPM)

Les clés liées au matériel sont attestées (protocoles du TCG)

Un seul « geste » (Windows Hello) déverrouille plusieurs credentials

Windows Hello

Authentificationbiométrique

Visage

Iris

Empreinte digitale

Windows HelloAuthentification biométrique

Visage, iris, empreinte digitale

Conditions sur le matériel Taux de faux positif 1/100 000

Détection de « vie »

Détection anti-spoofing

Intégration avec Windows Biometric Framework

Défis

Attaques Pass the Hash

1. La machine d’un IT Pro est

compromise

L’IT Pro gère des machines partagées / en libre service

L’attaquant vole le jeton d’accès de l’IT Pro

2. Grâce au jeton volé,

l’attaquant se connecte aux machines partagées et y cherche d’autres jetons

d’accès

3. Répète.

L’accès à une machine peut conduire à l’accès

à beaucoup

Virtual Secure ModeIsolation des jetons d’accès (LSASS)

OS VSM

CPU avec extensions de virtualization

Hyper-V

Enterprise Data Protection (EDP)Protection de l’information

Windows 10 + Intune, SCCM ou autre MDM

Chiffrement des données de l’entreprise Sur machine de l’employé ou de l’entreprise

Suppression à distance des données de l’entreprise Le cas échéant, sans toucher aux données personnelles

Possibilité de limiter l’accès à des applications privilégiées

Enterprise Data Protection

Une expérience Données isolées

Données chiffrées au repos

Blocage / audit des échanges de données

Clés gardées par l’organisation

Applications compatibles

API pour applications tierces

Géré par le MDM

Applications et

données

personnelles

(non gérées)

Applications et

données

professionnelles

(gérées)

Echange de données contrôlé

Device Protection

Secure Boot

Device Guard

Device Health

Windows Defender

Windows Update for Business

Device Guard

Matériel + logiciel

Contrôle de ce qui est autorisé à s’exécuter Apporte au PC la même protection que sur les mobiles, tout en supportant les

applications existantes

Contrôle d’intégrité du code Secure Boot, KMCI, UMCI, AppLocker

Sécurité basée sur la virtualisation (isolation) Isoler la fonction de contrôle du noyau lui-même

Gérable par GPO, MDM ou PowerShell

PC appartenant à l’organisation PC personnel (BYOD)

• L’ordinateur joint et devient membre de l’AD

• Les utilisateurs s’authentifient avec leur compte AD

• GPO + System Center

• L’ordinateur s’enregistre auprès d’AD ou Azure AD via l’enregistrement de périphérique (Device Registration) pour établir une relation de confiance pour l’accès aux ressources distantes

• L’utilisateur se connecte avec un compte Microsoft associé à un compte Azure AD

• Intune/MDM

• L’ordinateur joint Azure AD et établit une relation de confiance

• Les utilisateurs s’authentifient avec leur compte Azure AD

• Intune/MDM

• Settings roaming

SSO avec les ressources d’entreprise + les services Cloud

Windows 10 : le choix en terme d’identité

Azure Active Directory Join

Nécessite AAD avec enregistrement des périphériques activé MFA optionnel

MDM optionnel (Intune, Office365, autre…)

Le Business Store

Portail dédié aux organisations Utilisé par les IT

Acquérir, déployer les applications Scénarios de distribution flexibles

Y compris les applications métiers

Améliorations / Windows 8.x Identité professionnelle

Achat en masse, gestion des licences

Scénarios online et offline

Provisionnement

Options de déploiement de versions« Windows as a Service »

Windows System Update Services (WSUS)

Windows Update (WU)

Consumer devices

BYOD Scenarios

Test Machines

Special Systems

Factory floor machines

Emergency Room systems

Windows Update for Business (WUB)

Knowledge Workers

Salesforce

Non mission critical systems

Windows Update for Business

Anneaux de déploiement

Fenêtres de maintenance

Transferts peer to peer

Intégration avec outils existants tels que System Center

Les organisations peuvent mixer et choisir en fonction de leurs scénarios d’usage

Identité Administration Mises à jour Infrastructure Propriété

Active Directory

Azure Active

Directory

Group Policy

System Center

Configuration

Manager

3rd party PC

management

Intune

MDM Tiers

Windows Update

Windows Update for

Business

Windows Server

Update Services

(WSUS)

Intune

3rd party MDM

On-premises

In the cloud

Corporate-owned

CYOD

BYOD

Différentes technologies disponibles

Gestion de périphériques mobiles (MDM)

Un ensemble cohérent de

capacités MDM sur mobiles, PC, et

IoT

• Inventaire avancé pour décisions de conformité

•Provisionnement•Enregistrement en masse•Bootstrap simple•Protocol convergé• Intégration Azure AD

• Ensemble de politiques• Politiques contextuelles• Certificats clients : install

directe (PFX)• Profils Wi-Fi d’entreprise• Profils VPN• Email• Push MDM lorsque

utilisateur non connecté• Mode kiosque,

configuration de l’écran d’accueil

•Windows Store contrôlé•Achat en volume et distribution des applications•Réutilisation de licences•Gestion des applications•Applications métiers• Inventaire d’applications (MDM, store)• Listes blanches/noires d’applications•Protection des données (EDP)

•Verrouillage, reset de PIN, sonnerie, localisation à distance•Effacement complet de l’appareil

•Désenregistrement avec alertes•Suppression configuration et données protégées par EDP

Existing Differentiated Features in Win7 /Win8.1

Domain Join and Group Policy Management

Existing Win7 / Win 8.1 Enterprise features

Windows 10: Management and Deployment

Side-loading of LOB apps

MDM Enablement

Azure AD Join

The Business Store

Private Catalog

Granular UX Control and Lockdown

In Place Upgrade from Home to Education Edition

Windows 10: Security

Microsoft Passport

Enterprise Data Protection

Hardware–based Hyper-V isolation (VSM) scenarios

Device Guard

Windows 10: Windows as a Service, Support & Entitlements

Windows Update for Business and Current Branch for Business

Long Term Servicing Branch

Fo

nct

ion

nalité

sp

ar

éd

itio

nHome Pro Enterprise Education

Retrouvez nous dans un IT Camp - http://aka.ms/ITCampFr

http://aka.ms/Arnaud

Twitter : @arnaudlheureux

Stanislas Quastana

http://aka.ms/Stanislas

Twitter : @squastana

Arnaud Lheureux Pascal Sauliere

http://aka.ms/pascals

Twitter : @psauliere

#coursMVA

© 2015 Microsoft Corporation. All rights reserved. Microsoft, Windows, Microsoft Azure and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other

countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond

to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date

of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION